fbpx

Proteja seu site WordPress

Proteger o seu site WP nem sempre é um trabalho para aqueles que são administradores de sistemas especializados. 

Com algumas ferramentas novas, combinadas com uma hospedagem amigável, você pode fazer isso sozinho e ter um site seguro sem qualquer assistência externa. Hoje vou mostrar a você como fazer isso com a menor quantidade possível de plugins. Seguindo o meu próprio conselho de “menos plugins, melhor”, no artigo de hoje eu vou usar apenas um!

Na sua hospedagem

O primeiro passo para ter um site muito seguro vem diretamente da sua conta de hospedagem. Se o seu site não estiver protegido por um certificado, agora é a hora.Proteger o seu site com um certificado é bastante fácil e todos devem poder fazê-lo a partir de serviços baseados no cPanel & Plesk sem intervenção externa.

Antes de prosseguir para habilitar https dentro do WordPress, precisamos carregar o certificado em nosso domínio. Isso é totalmente automático no cPanel através de um botão e algumas instalações mais recentes do cPanel vêm com certificados automatizados Vamos Criptografar para que, assim que sua conta for criada, você tenha um certificado carregado em seu domínio.

Se você estiver usando o Plesk, você pode criar um certificado Vamos Criptografar no menu principal. Você também deve incluir o “www” e o certificado de correio. Isso aumentará a segurança do seu site ao não permitir o carregamento de conteúdo não seguro e é o primeiro passo mais recomendado para proteger seu site.

Alterando Permissões em Arquivos Importantes

A segunda regra de segurança mais importante é limitar o acesso a arquivos somente leitura nos seguintes arquivos:  wp-config.php, wp-settings.php e index.php na pasta raiz do WordPress.

Isso pode ser feito facilmente no cPanel & Plesk e na grande maioria dos painéis de controle, alterando as permissões da seguinte forma:

O único que deve ter “acesso de gravação” nesses arquivos específicos deve ser o proprietário. Nenhum outro grupo deve ter outras permissões aplicadas, pois esses arquivos serão lidos apenas pelo WordPress. Isso reduzirá efetivamente o risco de segurança do seu site, ao não expor nenhum tipo de acesso ao mundo externo.

Se por acaso seu site for invadido ou tiver um worm mal-intencionado, é assim que ele será.

Uma permissão de arquivo ruim ou tema desatualizado pode causar sérios danos à sua instalação do WordPress, permitindo a injeção de código malicioso em seu site. Este é um exemplo clássico. Observe o @include cercado por / * f2e34 * /? Esse código é na verdade um “worm” que foi injetado por permissões de arquivos ruins em um site do WP. Esse tipo de código poderia criar um backdoor para qualquer pessoa acessar seu site e injetar publicidade, roubar informações e qualquer tipo de mau comportamento. É por isso que alterar manualmente as permissões nesses arquivos importantes é tão essencial.

No seu WordPress

Agora, vamos ajustar o nosso site WordPress para melhorar ainda mais a segurança.

Agora que temos nosso certificado SSL, devemos alterar o endereço da URL para https.

Quando o nosso site mudar para https, podemos avançar e instalar um plugin de segurança. Para este tutorial, selecionei um dos melhores e é o All in One WP Security & FirewallEste é um plugin muito simples que não mexa com regras extras e não adiciona latência ao seu site.

A primeira coisa que vamos fazer é limitar o login ao nosso wp-admin, ativando o bloqueio de login.

Com esta opção ativada, teremos um máximo de 5 tentativas para uma tentativa de login antes que o WP bloqueie o acesso a esse IP específico. Você está livre para modificar essas variáveis ​​de acordo com suas necessidades, mas estas são as mais seguras até agora.

Este próximo ajuste irá desativar a assinatura do servidor e limitar o upload do arquivo, proteger o wp-config.php é algo que já fizemos no nível de hospedagem.

Uma boa técnica para bloquear as tentativas de login é apenas mudar a página de login para outra coisa, isso irá efetivamente remover o link wp-login do WordPress para que qualquer tentativa de login automático seja respondida com “página desativada”.Coloque a página desejada e o plug-in desativará a página de login padrão. Só não se esqueça de lembrar o que você fez antes de salvar as configurações!

Agora, para comentários spam:

Permitir as duas opções é quase essencial para proteger seu site contra spambots e todo tipo de publicidade intrusiva que atrapalha uma boa experiência no blog.

Protegendo seu banco de dados também é uma boa prática. Muitos ataques tentam seqüestrar o banco de dados acessando as tabelas wp_ padrão . Ao alterar o prefixo dessas tabelas para outra, você está criando uma etapa extra para qualquer invasor automatizado conseguir entrar.

O objetivo deste plugin é conseguir pelo menos 100 pontos em segurança. Não se esqueça de verificar se o bloqueio de login, a permissão de arquivo e o firewall básico estão todos ativados.

Mais conselhos de segurança

É sempre sugerido usar pelo menos uma letra, um número e um símbolo com um comprimento de caractere não inferior a 8. Se você se recusar a melhorar sua força de senha , nenhuma medida de segurança será boa o suficiente, também é recomendável nunca dar o seu Painel de Controle acessa qualquer pessoa que esteja disposta a ajudar, a menos que você realmente conheça essa pessoa ou se essa pessoa fizer parte da empresa de hospedagem que você está usando. Ao tomar emprestado o acesso do Painel de Controle de um usuário, um invasor pode causar muitos danos e qualquer aviso dado aqui será inutilizado. Guarde sempre as suas senhas do painel de controle e WP em um local seguro.

Use senhas complexas fornecidas pelo salvamento automático de serviços de senhas como o LastPass . Isso pode poupar seu tempo e melhorar sua segurança, não tentando lembrar cada senha, isso também removerá sua necessidade de colocar endereços, nomes de seus filhos e números de sua casa como senhas, pois isso pode ser a falha mais fatal que você poderia fazer.

Sempre use senhas de banco de dados muito complexas com no mínimo 10 caracteres compostos de números, letras e símbolos.

Atualize sempre seus plugins e temas. Não aceite nenhum tema com um ano de idade sem atualizações.

Temas e plugins mais antigos são a causa número um de tentativas de hackers e injeções de malware. E por último, mas não menos importante , você nunca usa temas rachados ou anulados, pois esses são os primeiros candidatos a ter o malware inserido.  Ninguém se beneficia mais de um tema hackeado do que do hacker que anulou esse tema, e a grande maioria se esforça para incluir suas práticas “sombrias” e links publicitários dentro do tema, então você terá um pesadelo em suas mãos, mais a maioria dos mecanismos de pesquisa pode segmentar seu site como mal-intencionada e penalizar severamente sua pontuação. Se você se preocupa com sua empresa e seus clientes, sempre compre temas legítimos para seus sites.

O conselho de segurança mais básico é sempre usar o bom senso.

Empacotando

Ter um site WP seguro é bastante simples e bastante fácil se você seguir essas etapas e reduzir o risco de infecções / ataques em mais de 90%. A grande maioria dos ataques vem de ter a segurança básica desativada, por não ter um certificado seguro carregado ou simplesmente permitir que qualquer pessoa faça o login na sua página básica de login do wp. E por último, mas não menos importante, muitos ataques vêm do uso de temas mais antigos e temas anulados. Reduza os riscos implementando essas etapas e você terá um tempo muito divertido de trabalhar com o WordPress sem ter que se preocupar muito com sua segurança.

(fonte: WRTD)

Click ↓


/* ]]> */