Instruções sobre como aumentar a segurança do seu site WordPress para que você esteja protegido contra software malicioso e hackers. Proteja seu site.
Você sabia que até 30.000 sites são invadidos todos os dias? A segurança de um site é importante para todos os proprietários. O WordPress é o sistema CMS mais utilizado no mundo. Portanto, é um alvo frequente de ataques de hackers.
Obsah
Segurança do site WordPress
Um site bem protegido também é importante para os negócios. Se os hackers roubarem informações e senhas e instalarem malware, ele poderá alcançar seus clientes por meio do seu site.
Vamos orientá-lo nas etapas que você deve seguir para manter seu site seguro e protegido.
Selecione um modelo seguro
Šablóna tvorí podstatnú časť celej stránky. Zabezpečuje množstvo funkcií a preto štandardne obsahuje množstvo kódu. Je podstatné vybrať si overenú, kvalitnú šablónu. Niektoré z nich si dokonca platia bezpečnostný audit a získavajú bezpečnostný certifikát.
? Tip: Odporúčam vsadiť na overené multifunkčné šablóny Divi a Avada. Výborné skúsenosti mám taktiež so šablónami StudioPress.
Výber bezpečného hostingu
Escolher uma hospedagem de qualidade é importante para proteger um site WordPress. A hospedagem deve ter certificado SSL e garantir 99,9% de disponibilidade . Além disso, certifique-se de que a administração da hospedagem escolhida esteja criptografada com HTTPS.
Use hospedagem adequada para sites WordPress. Essa hospedagem oferece um backup do seu site, atualizações automáticas do WordPress e oferece suporte à segurança do seu site. Uma vantagem significativa é o suporte técnico de qualidade. Eu me concentro no tópico de escolha de hospedagem no meu artigo Como Escolher a Melhor Hospedagem WordPress.
? Dica: Para um site WooCommerce rápido, é crucial escolher a hospedagem certa. Recomendo apostar na qualidade comprovada: WebSupport , Webglobe-Yegon ou Wedos .
Nastavte zálohovanie dát
Todos os dados precisam ser copiados. Não use apenas sua hospedagem. Você precisa fazer backup de mais um lugar. Você pode usar Dropbox ou Amazon. Configure um sistema para fazer backup de todo o banco de dados, todos os plugins e o modelo usado. Após o backup, verifique a funcionalidade do backup. Não pule esta etapa.
Certifique-se de que o backup pode ser usado. É necessário fazer backup pelo menos uma vez por dia ou em intervalos regulares. O backup também pode ser configurado em um plug-in de backup especial ou em um plug-in de segurança.
? Dica: eu uso o plugin UpdraftPlus para backup. Eu também escrevi as instruções exatas sobre como fazer um backup automático através deste plugin
Instale o plug-in de segurança
A segurança do site WordPress também requer a instalação de um plugin de segurança. O popular plugin Sucuri irá protegê-lo de tipos comuns de ataques. Protege efetivamente o site contra malware. Depois de instalá-lo, passe por todas as configurações necessárias.
? Dica: Plugins semelhantes estão disponíveis gratuitamente no Wordfence Security ou no iThemes Security premium. A vantagem deste último é o backup automático da página, que o plugin cria caso sua página seja comprometida.
Atualize a página regularmente
A atualização regular do modelo e de todos os plugins é uma parte importante da segurança do site WordPress. Os desenvolvedores do WordPress estão trabalhando constantemente para melhorar os templates e plugins. Suas atualizações podem resolver algumas vulnerabilidades de segurança .
Execute esta etapa manualmente. No menu de administração, vá para a seção Quadro de avisos e atualizações. Verifique quais plugins precisam ser atualizados e atualize-os.
Não use plugins desatualizados
Ao selecionar os plugins apropriados para o seu site, use apenas aqueles que foram atualizados recentemente. Certifique-se de não usar aqueles que não foram atualizados por mais de dois anos. Você arrisca não apenas a segurança do site, mas também a compatibilidade do plug-in com seu modelo.
Use senhas fortes
Um ponto importante para proteger o site WordPress é o uso de senhas fortes . Você deve usar essas senhas para seu próprio acesso ao Site, bem como para acesso de outros usuários. O ataque de hackers mais comum é roubar sua senha. Cabe a você tornar este passo difícil para eles. Use também senhas fortes para hospedagem, endereço de e-mail e contas de FTP.
Não use as mesmas senhas em todos os lugares, as senhas não devem conter seu nome, sequência simples de números e afins. Escolha uma combinação de letras maiúsculas e minúsculas, números e caracteres. A melhor senha é aquela que não pode ser lembrada.
Use um gerenciador de senhas para lembrá-los você mesmo. O gerenciador de senhas ajuda você a criar senhas fortes e salva todas elas. Você pode acessar essas senhas com uma única senha.
Para aumentar a segurança de um site WordPress, também é importante que você conceda a outra pessoa acesso à sua administração apenas quando necessário. Também é importante que qualquer pessoa que tenha essa abordagem entenda suas competências na criação e manutenção do site.
Criptografia SFTP
Para a segurança do site WordPress, é importante que você envie os dados em FTP criptografados ao editar a página. Use criptografia SFTP.
Proteja seu certificado SSL
Um certificado SSL (Secure Socket Layer) garante sua comunicação segura e criptografada com os servidores. Esta comunicação também se aplica à sua senha. Sem um certificado SSL, sua senha é enviada pela web sem criptografia.
Excluir conteúdo em excesso no servidor
O conteúdo que reside no espaço da web (FTP) representa um risco. Por exemplo, backups de todo o site no diretório wp-content/backup, que armazena as configurações da página e o conteúdo do banco de dados, podem ser um risco. Arquivos em excesso e arriscados devem ser excluídos do espaço do site.
Alterar o prefixo
Durante a instalação do template do WordPress, o WordPress perguntará qual prefixo você deseja usar. O WordPress usa o prefixo padrão. A seleção do prefixo wp_ padrão facilitará o trabalho dos hackers. Portanto, recomendo ajustá-lo a qualquer outra coisa.
Alterar prefixo após a instalação (somente avançado)
Faça backup de todo o banco de dados do site antes de fazer a alteração. Em seguida, abra o arquivo wp-config.php. Você pode encontrá-lo no diretório raiz do WordPress.
Configuração padrão $ table_prefix = 'wp_'; alterar por exemplo: $ table_prefix = 'newprefix_';
Se você fez esse ajuste durante a instalação do WordPress, não precisa mais fazer nada. Se você já tinha o WordPress instalado, também precisa atualizar o banco de dados. Você pode fazer isso usando o plugin iThemes Security, que fará isso por você ou através do PHPMyAdmin:
RENOMEAR tabela `wp_links` PARA` newprefix_links`;
Você também deve executar este comando para cada tabela de banco de dados e tabela de plug-in. Se você estiver usando a hospedagem cPanel WordPress, encontre o phpMyAdmin e altere o nome de cada tabela. Este processo pode ser um pouco demorado. Você pode facilitar usando os seguintes comandos:
RENOMEAR tabela `wp_commentmeta` TO` newprefix_commentmeta`; RENOMEAR tabela `wp_comments` PARA` newprefix_comments`; RENOMEAR tabela `wp_links` PARA` newprefix_links`; RENOMEAR tabela `wp_options` TO` newprefix_options`; RENOMEAR tabela `wp_postmeta` TO` newprefix_postmeta`; RENOMEAR tabela `wp_posts` TO` newprefix_posts`; RENOMEAR tabela `wp_terms` PARA` newprefix_terms`; RENOMEAR tabela `wp_termmeta` TO` newprefix_termmeta`; RENAME tabela `wp_term_relationships` TO` newprefix_term_relationships`; RENOMEAR tabela `wp_term_taxonomy` TO` newprefix_term_taxonomy`; RENOMEAR tabela `wp_usermeta` TO` newprefix_usermeta`; RENOMEAR tabela `wp_users` TO` newprefix_users`;
Você pode adicionar linhas adicionais para outros plugins que tenham suas próprias tabelas em seu banco de dados.
Para concluir o processo, você precisa procurar arquivos adicionais que usem o prefixo wp_. Este processo tornará este processo mais fácil para você:
SELECT * FROM `newprefix_options` WHERE` option_name` LIKE ' %wp_% '
Altere os nomes de pesquisa.
Ativar firewall (WAF)
Para proteger melhor seu site WordPress, use um Firewall (WAF) que bloqueie o malware antes que ele chegue ao seu site. Eu recomendo usar Sucuri para esta finalidade. Garante proteção contra malware.
Não use o nome de usuário “admin”
Para a segurança do site WordPress , é necessário alterar o nome de usuário básico. Crie uma nova conta de administrador e exclua o padrão. Faça isso assim que instalar o template do WordPress.
Escolha um nome de usuário que não possa ser adivinhado. Se você já tem o WordPress instalado e usa o nome “admin”, isso pode ser alterado. Crie um novo usuário e exclua o original. A solução também é usar o plugin para alterar o nome de usuário.
Desabilitar a edição de templates e plugins
O WordPress inclui um recurso de edição de código integrado que permite editar o modelo e os plugins no menu de administração . É aconselhável desativá-lo para que essa opção não caia em mãos erradas. Para fazer isso, adicione o seguinte código ao arquivo wp-config.php :
// Não permite a edição do arquivo
define ('DISALLOW_FILE_EDIT', true);
Desabilitar arquivo PHP (avançado)
Em alguns diretórios do WordPress é necessário desabilitar o arquivo PHP. Como em / wp-content / uploads / . Você faz isso em um editor de texto. Você pode usar o Bloco de Notas. Digite este código:
negar de todos
Na próxima etapa, salve-o como .htaccess e faça o upload para o arquivo /wp-content/uploads/ files.
Isso também é fornecido pelo recurso Hardening no plug-in Sucuri .
Editando um arquivo .htaccess (avançado)
Editar o arquivo .htaccess também aumentará a segurança do site WordPress. Se você não tiver pelo menos um conhecimento mínimo de programação, pule esta etapa. Faça um backup do seu site antes de editar. Use o procedimento a seguir para permitir o acesso ao painel de administração apenas para endereços IP definidos. Para outros, o acesso será bloqueado.
Tipo de autenticação básico ordem negar, permitir negar de todos # seu endereço IP residencial permitir de xxx.xxx.xxx.xxx # seu endereço IP no trabalho permitir de xxx.xxx.xxx.xxx
Cole o .htaccess modificado no diretório wp-admin.
Verifique os arquivos que você envia para o site
Faça upload apenas de arquivos que não sejam de vírus para o site. Verifique regularmente se há software antivírus em seu computador.
Certifique-se de estar logado no menu de administração
O WordPress permite um número ilimitado de tentativas de login no menu de administração. Você pode definir o número máximo de erros permitidos para proteger o login. Por exemplo, três logins incorretos.
Além disso, você pode definir o período de tempo para logins incorretos – três logins em três minutos. Se alguém fizer login incorretamente pela quarta vez, você bloqueará o endereço IP por alguns minutos. Faça isso instalando o plugin Login LockDown . Depois de ativá-lo, vá para Configurações »Login LockDown.
Usar verificação em duas etapas
Uma das maneiras confiáveis de proteger um site WordPress é a verificação em duas etapas. Isso permitirá que você proteja o acesso ao site com uma senha e por telefone.
Ocultar página de login
A segurança do site WordPress também aumentará a ocultação da página de login. O WordPress usa o endereço www.name-domain.com/wp-admin ou www.name-domain.com/wp-login.php para fazer login na administração. Você pode renomeá-lo usando o plug-in WPS Hide Login .
Cuidado com SPAM de comentários
Comentários SPAM geralmente contém links para sites que contêm malware. Se você não quiser desabilitar todos os comentários, precisará revisá-los. O verificador de comentários mais conhecido é o plugin Akismet , que avalia os comentários e os filtra. O Akismet está instalado em todos os templates do WordPress. No menu de modelos, encontre o Akismet e marque a caixa “ativar”.
Atenção: o plugin akismet é gratuito apenas para sites não comerciais.
Não faça login em uma rede wifi não segura
Também é importante para a segurança do site WordPress que você não use uma rede insegura para fazer login. Um hacker localizado na mesma rede pode descobrir seus detalhes de login ou um cookie para login permanente.
Mover wp-config.php
Para aumentar a segurança do site WordPress, recomendo mover o arquivo wp-config.php para o diretório acima. Só execute esta etapa se não interferir na funcionalidade do seu site e se você hospedar apenas um domínio. Neste arquivo você armazenou dados como nome do banco de dados, senha e assim por diante. Mova-o para escondê-lo dos hackers.
Configurações de direitos
O próximo passo para aumentar a segurança do site WordPress é definir direitos de acesso a pastas e arquivos. Você deve usar esta configuração de direitos para a página:
Todos os diretórios – 755 ou 750
Todos os arquivos – 644 ou 640
wp-config.php – 600
Desabilitar o relatório de erros do PHP
Uma mensagem de erro também pode mostrar o caminho do seu arquivo. Mas você pode desativá-lo. Adicione o seguinte ao arquivo wp-config.php:
@ini_set('display_errors','Off');
@ini_set('error_reporting',0);Desabilitar Pingback XML-RPC
O recurso XML-RPC Pingback permite que uma página seja vinculada a trackbacks e pingbacks. No entanto, também é uma oportunidade para hackers. A segurança XML-RPC Pingback é fornecida, por exemplo, pelo plugin iThemes Security .
Excluir o número da versão do WordPress
Há uma meta tag no código-fonte do WordPress com a versão do WordPress em uso. Essas informações podem ser exploradas por hackers. Você pode ocultá-lo facilmente usando o plugin Meta Generator e Version Info Remover ou adicionando código ao arquivo functions.php encontrado em seu modelo:
remove_action('wp_head', 'wp_generator');Definir usuários inativos para fazer logout automaticamente
Alguns usuários saem da tela por muito tempo, mesmo que ainda estejam logados. Para aumentar a segurança do seu site WordPress, você pode configurá-los para sair automaticamente. Você deve ter notado que os bancos usam configurações semelhantes. Isso ocorre porque os hackers podem fazer alterações em suas senhas ou contas enquanto o usuário conectado não estiver presente.
Você pode desconectar automaticamente usuários inativos por meio do plug-in Logout inativo .
Um resumo das dicas de segurança do WordPress
Considero a escolha de uma hospedagem de qualidade o mais importante. A hospedagem deve ter um certificado SSL . Recomendo apostar na qualidade comprovada: WebSupport , Webglobe-Yegon ou Wedos .
Além disso, não se esqueça de usar senhas fortes e instalar/configurar um dos plugins de segurança comprovados – Sucuri , Wordfence Security ou iThemes Security .
Was this article helpful for you? Support me by sharing, please. 👍
