Dicas de Segurança para Sites em WordPress

As dicas e tutorias de seguranças desse post tem como foco os usuários de sites criado em WordPress.

O WordPress é uma plataforma de criação de sites popular e poderosa, com mais de 40% de todos os sites na internet. No entanto, essa popularidade também o torna um alvo para hackers e ataques maliciosos.

Para proteger seu site WordPress contra ataques e garantir a segurança dos seus dados e dos seus visitantes, é fundamental seguir algumas dicas de segurança.

Manter o site protegido contra vulnerabilidades e com informações atualizadas garante uma experiência positiva para os usuários, protege dados importantes e impulsiona o crescimento do negócio.

É importante ter em mente que, embora as medidas de segurança sejam essenciais, nenhum sistema é 100% seguro.

Hospedagem segura e inteligente (Hostinger)

Um site por mais que esteva atualizado e seguindo as práticas recomendadas não garante a segurança, a hospedagem do site tem um papel fundamental na proteção contra vírus.

A Hostinger se destaca no mercado por oferecer planos de hospedagem que combinam segurança robusta com recursos inteligentes, garantindo tranquilidade e alto desempenho para o seu site.

• Proteção contra malware: A Hostinger utiliza tecnologia de ponta para detectar e remover automaticamente malwares do seu site, protegendo-o contra ataques e garantindo a segurança dos seus dados e dos seus visitantes.
• Certificado SSL grátis: Todos os planos da Hostinger incluem um certificado SSL grátis, que criptografa as informações trocadas entre o seu site e os visitantes, protegendo-os contra hackers e roubo de dados.
• Firewalls avançados: Firewalls de última geração impedem o acesso não autorizado ao seu site, bloqueando ataques e garantindo sua segurança.
• Backups automáticos: A Hostinger realiza backups automáticos regulares do seu site, para que você possa restaurá-lo facilmente em caso de problemas.

Com a Hostinger, você pode ter certeza de que seu site estará sempre seguro, protegido e funcionando com alto desempenho.

Acesse o site da Hostinger e escolha o plano ideal para você!

https://www.hostinger.com.br/

Ações de segurança no painel ADM do WordPress

O WordPress é uma plataforma poderosa e versátil para a criação de sites, mas como qualquer plataforma online, está sujeito a ataques e vulnerabilidades.

Para aumentar a segurança do seu site WordPress, é fundamental tomar medidas de precaução no painel ADM.

Medidas básicas de segurança iniciais.

• Use senhas fortes e exclusivas: Crie senhas complexas e diferentes para cada conta de usuário no painel ADM, evite usar palavras comuns ou informações pessoais, no entanto não é obrigatório usar senha forte mas não é recomendo para dificultal.
• Mantenha o WordPress e plugins atualizados: Atualizações frequentes corrigem falhas de segurança e vulnerabilidades. Certifique-se de manter o núcleo do WordPress, plugins e temas sempre atualizados.
• Limite as tentativas de login: Defina um limite de tentativas de login para evitar ataques de força bruta.

Medidas de segurança média

• Instale um plugin de segurança: Existem diversos plugins de segurança disponíveis para o WordPress que oferecem recursos como firewall, varredura de malware, proteção contra spam e muito mais.
• Crie backups regulares: Faça backups regulares do seu site para que você possa restaurá-lo em caso de ataque ou problema técnico.
• Restrinja o acesso ao painel ADM: Limite o acesso ao painel ADM apenas aos usuários que realmente precisam dele.

Plugins de segurança recomendados para WordPress

Os plugins tem como objetivo ajudar na segurança do site, você como ADM do site precisa ter uma rotina de verificar o status do site através dos plugins para aplicar as correções.

All-In-One Security

All-In-One Security oferece ferramentas de segurança de login para manter os bots afastados e proteger seu site contra os ataques de força bruta.

Link para baixar o plugin All-In-One Security

https://br.wordpress.org/plugins/all-in-one-wp-security-and-firewall/

Plugin Wordfence Security – Firewall, Malware Scan, and Login Security

É obrigatório criar um cadastro gratuito no site oficial para pegar a chave e assim ativar o plugin. O plugin fornece um conjunto abrangente de recursos de segurança, o Wordfence Security inclui um firewall de proteção aos endpoints e varredura de malware que foram construídos do zero para proteger o WordPress.

Link para baixar o pluginWordfence.

https://br.wordpress.org/plugins/wordfence/

Plugin Sucuri Security – Auditing, Malware Scanner and Security Hardening

O plugin Sucuri Security WordPress é gratuito para todos os usuários do WordPress, é um pacote de segurança destinado a complementar sua segurança existente.

Link para baixar o plugin Sucuri.

https://br.wordpress.org/plugins/sucuri-scanner/

Plugin WPScan – WordPress Security Scanner

Esse plugin verifica vulnerabilidades conhecidas do WordPress, vulnerabilidades de plugins e vulnerabilidades de temas, faz verificações de segurança adicionais, mostra um ícone na barra de ferramentas Admin com o número total de vulnerabilidades de segurança encontradas

Pode ser utilizado como um complemento para analisar o que o outros plugin não vão identificar, para utilizar o poder total é necessário fazer o cadastro no site oficial.

Link para baixar o plugin WPScan.

https://br.wordpress.org/plugins/wpscan/

Defender Security – Malware Scanner, Login Security & Firewall

O Defender adiciona o melhor em segurança de plug-ins do WordPress ao seu site com apenas alguns cliques, incluindo scanner de malware, firewall e recursos de segurança de login.

Link para baixar o plugin Defender Security

https://wordpress.org/plugins/defender-security

Plugin miniOrange’s

O plugin miniOrange WordPress 2FA é uma solução de segurança versátil e confiável que protege seu site contra várias ameaças, como ataques de força bruta, ataques de dicionário e adivinhação automatizada de senha.

Link para baixar o plugin miniOrange.

https://wordpress.org/plugins/miniorange-2-factor-authentication/

Anti-Malware from GOTMLS.NET

Link para baixar o plugin GOTMLS

https://wordpress.org/plugins/gotmls

Ações de segurança nos arquivos do site (FTP)

Essa ação é para usuários mais avançados com conhecimento em programação e com acesso aos arquivos do site.

Em sua hospedagem você pode acessar os arquivos para realizar o ajuste necessário que vou mostrar abaixo.

Protegendo arquivos

Muitos vírus tem a ação de modificar ou adicionar uma linha de comando nos arquivos.

Dica de como bloquear acesso aos arquivos.

<Files *.php>
deny from all
</Files>

<files wp-config.php>
order allow,deny
deny from all
</files>

RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Permissão do INDEX.PHP no WordPress

No FTP encontre o arquivo Index.php e remova a permissão de escrever.

E dentro do arquivo tem que ter pouca informação, se tiver mais pode deletar ficando igual da imagem.

Bloqueio de acesso para outros países (Hospedagem Hostinger)

Você que utiliza a hospedagem de site HOSTINGER consegue bloquear o acesso de outros países ativando a configuração de CDN na hospedagem.

Atenção o CDN da HOSTINGER só pode ser ativado se o DNS no Registro BR estiver sendo apontado direto para hospedagem HOSTINGER.

Verificação e limpeza no Google Search Console

Com o seu site conectado no Google Search Console, você pode verificar a segurança e limpar o URL que está na busca.

Confira abaixo o caminho.

Acesso o site https://search.google.com/search-console/ e procure por seu domínio.

Ações manuais

Problemas de segurança

Limpar URL em Cache

Outras dicas para analise de segurança

Para uma análise mais rápida e superficial você pode utilizar sites gratuitos para verificar a confiabilidade do domínio e a segurança do site.

Confira abaixo os sites gratuitos para analisar o site.

Opswat

https://metadefender.opswat.com/

Urlvoid

https://www.urlvoid.com/

URL Scanner Cloudflare

https://radar.cloudflare.com/scan

Google Status do site

https://transparencyreport.google.com/safe-browsing/search?hl=pt_BR

Quttera

https://quttera.com

DRweb

https://vms.drweb.com/online/?utm_medium=glavnaya&utm_source=drweb_site&utm_campaign=urlonline

Ao seguir estas dicas, você pode proteger seu site WordPress contra ataques e garantir mais segurança do seu conteúdo e dos seus visitantes.

Comece agora a proteger seu site WordPress!