Como deixar o WordPress mais seguro

Claylson Martins
15 minutos de leitura

O WordPress está em risco. Porém, estas precauções e plugins podem mantê-lo seguro. É um paradoxo interessante. O WordPress alimenta 35% de todos os sites na Internet, em parte porque é muito flexível e modular. Possui uma biblioteca robusta de mais de 50.000 plugins, cada um adicionando novos recursos e funções ao WordPress. Esses plug-ins foram baixados mais de 1,2 bilhões de vezes. Existem também milhares de temas pré-criados que fornecem aparência e estilos para novos sites. Então, veja como deixar o WordPress mais seguro.

No entanto, o paradoxo é que o próprio WordPress, juntamente com os plug-ins e temas adicionais. é de código aberto. O desenvolvimento do núcleo, plug-in e tema do WordPress é feito por uma comunidade de empresas, profissionais e entusiastas individuais. Cada um com vários graus de habilidades de desenvolvimento e implantação de software. Todo site WordPress é a soma de todos esses componentes; portanto, se um plug-in ou tema estiver com erros, corrompido ou cheio de malware, todo o site estará em risco.

Muitos malwares

Há uma variedade virulenta de malware do WordPress que está atacando sites com eficácia brutal. Curiosamente, ele ganha uma posição em novos sites apenas quando o operador do site faz algo desaconselhável e antiético: baixa uma versão gratuita e hackeada de um plug-in comercial.

Os operadores do WP-VCD criaram uma rede de sites de download de plugins do WordPress que oferecem versões gratuitas dos populares plugins premium ou freemium. Esses plug-ins foram “anulados”, o que significa que o código de licença foi removido. Infelizmente, no lugar desse código de licença, o WP-VCD inseriu malware.

E quais são as dicas de como deixar o WordPress mais seguro?

Como deixar o WordPress mais seguro

Não trapaceie

O primeiro conselho é básico: se algo parece bom demais para ser verdade, provavelmente é. Construir software dá muito trabalho e, embora existam pessoas que codificam apenas por diversão, oferecer suporte a um produto comercial requer receita, o que significa cobrar por produtos.

Se você vir um plugin que normalmente tem uma taxa, mas algum site está oferecendo gratuitamente, não é uma oportunidade. Isso é um alerta vermelho. Você não está simplesmente favorecendo um desenvolvedor de plugins “ganancioso” roubando seu código gratuitamente. O que você está fazendo é colocar você e os visitantes do seu site em risco quando são infectados por malware seriamente desagradável.

Em quase todos os casos, existem alternativas gratuitas para plugins comerciais. Portanto, se você não deseja pagar por desenvolvimento e suporte profissional, visite o repositório oficial de plugins do WordPress e procure o que precisa.

Instalar atualizações

Como deixar o WordPress mais seguro

 

Dado que grande parte da web é administrada pelo WordPress, é um alvo interessante para hackers e eles estão constantemente encontrando e explorando vulnerabilidades no código principal ou no código de plugins e temas. Felizmente, toda a comunidade de desenvolvedores do WordPress atualiza ativamente sua programação, fechando todos os buracos encontrados pelos hackers, geralmente em poucas horas.

Porém, se você não executar atualizações, não receberá essas correções. Não há desculpa para não manter seu site atualizado. O WordPress possui recursos de atualização automática e com um clique que permitem atualizar todos os plugins, todos os temas e o código principal de todo o site de uma só vez.

Obviamente, é uma boa ideia fazer um backup primeiro, caso algo ruim aconteça durante a atualização.

FAÇA BACKUPS REGULARES

Não é difícil fazer um backup do seu site WordPress. Existem vários plugins gratuitos, e você pode fazer isso apenas copiando arquivos e fazendo backup do seu banco de dados. Também existem muitos plugins e serviços comerciais excelentes que automatizam o processo para você.

ESCOLHA UM PROVEDOR DE HOSPEDAGEM COM SABEDORIA

Você pode manter os próprios servidores conectados à Internet. Pode alocar os servidores em data centers e executar instâncias virtuais de máquinas Linux na Digital Ocean e na Amazon. Do mesmo modo, pode usar uma grande variedade de provedores de hospedagem. Cada uma delas é uma abordagem válida para oferecer seu conteúdo da web ao público. Porém, a mais comum é usar um provedor de hospedagem que configure um conjunto completo de ferramentas da web que executam o WordPress.

Nem todos os provedores de hospedagem são iguais. Alguns são muito diligentes e realizam atualizações regulares de segurança e verificações de malware. Essas empresas também garantem que o software também esteja atualizado. Outros, nem tanto. Se você for usar um provedor de hospedagem, verifique o software, leia as análises e verifique se está confiando em algum que esteja fazendo a manutenção.

Sei que pode ser atraente se inscrever em um serviço que cobra menos de um dinheirinho por mês para hospedar seu site, mas pense: como eles podem ganhar dinheiro? Eles devem estar cortando cantos em algum lugar. Você pode encontrar hospedagem barata, mas não sacrifique seu futuro apenas porque deseja economizar alguns dólares. Faça sua pesquisa. Leia, no mínimo, os comentários que escrevi sobre alguns dos provedores de hospedagem mais conhecidos:

Se você ainda não tem certeza de como escolher um provedor de hospedagem, leia o guia Como escolher um provedor de hospedagem na web.

Plugins e serviços de segurança

Abordamos algumas práticas recomendadas. Agora, vamos ver alguns dos melhores plugins e serviços de segurança para o WordPress. A maioria deles é comercial e a maioria vale a pena.

WORDFENCE

O Wordfence surgiu do nada há alguns anos e conquistou o mundo do WordPress. Com mais de 3 milhões de instalações ativas, quase 3.500 avaliações e uma média de cinco estrelas e quase 200.000 downloads apenas na última semana, o plugin gratuito do Wordfence é uma potência.

versão comercial é ótima para gerenciar vários sites. O Wordfence não apenas verifica se há malware, mas cria seu próprio firewall para ajudar a evitar invasões. Ele, como todos os outros plugins, não pode impedir hacks autoinfligidos como os do WP-VCD, mas é uma solução de alto nível para cobertura de sites WordPress de ponta a ponta.

SUCURI

Este é um ótimo serviço, caso seu site tenha sido invadido É pago mas vale a pena.

plugin da Sucuri fará uma varredura regular de malware e a empresa oferece um firewall de aplicativo da web projetado para bloquear ataques no nível do aplicativo, em vez de no nível do pacote que o firewall do seu hardware foi projetado para gerenciar.

Assim como o Wordfence (e a maioria desses produtos), a Sucuri oferece um plug-in gratuito com mais de 600.000 instalações ativas e um serviço premium pago.

Jetpack

O Jetpack é um pacote gigante de recursos e funções adicionais do WordPress lançados pela Automattic, a empresa comercial por trás do WordPress. A idéia do Jetpack era tornar mais fácil para os novos operadores de sites ter uma ampla gama de recursos úteis. Porém, é tão grande que acaba poluindo demais a interface do seu site.

Dito isto, com mais de cinco milhões de instalações ativas, é definitivamente popular. Oferece proteção contra ataques de força bruta, filtragem de spam, monitoramento de tempo de inatividade, backup do site, atualização segura de login, verificação de malware e um log de todas as alterações do site. E esses são apenas os recursos de segurança!

Se você não tem certeza do que fazer para proteger seu site, pode fazer muito mais do que apenas instalar o Jetpack, ativar alguns de seus recursos e comprar um dos planos mais baratos.

DOIS FATORES E GOOGLE AUTHENTICATOR

O WordPress não oferece autenticação de dois fatores pronta para uso. Ao conectar-se à interface de gerenciamento de back-end, tudo o que você precisa é de um nome de usuário ou endereço de e-mail e uma senha forte.

Felizmente, é muito fácil adicionar autenticação de dois fatores usando o Two Factor ou o Google Authenticator. A instalação e configuração de qualquer um desses plug-ins facilita a adição de outra camada de segurança ao seu site.

A versão gratuita do Two Factor tem mais de 10.000 sites ativos e não há atualização premium. É simplesmente grátis. O Google Authenticator é uma ferramenta muito profunda com várias opções de atualização paga, que vão desde métodos de autenticação adicionais até autenticação em nível corporativo e recursos de gerenciamento de usuários.

MANAGEWP

O ManageWP, agora pertencente ao GoDaddy. Existem opções premium, mas você pode obter um gerenciamento sólido de atualizações e backups com o ManageWP gratuitamente.

Você instala um plug-in de trabalho do ManageWP (mais de 900.000 instalações ativas), que se comunica com o serviço ManageWP. Toda a mágica é feita na interface da web ManageWP.com. Eu o uso como uma das minhas principais ferramentas de backup e faz um backup diário ou mensal dos sites em um provedor de armazenamento em nuvem. Alguns sites nunca mais serão alterados; portanto, o backup mensal gratuito pode funcionar perfeitamente.

Mas o verdadeiro segredo está no gerenciamento de atualizações. Em vez de ter que fazer login na interface de administração de todos os sites, basta fazer o login uma vez no ManageWP, clicar em Atualizar, cruzar os dedos e aguardar todos os sites, temas, plugins e arquivos principais do WordPress atualizem automaticamente.

LIMITAR TENTATIVAS DE LOGIN RECARREGADAS

Limitar tentativas de login recarregadas é uma bifurcação do projeto original de código aberto que foi mantido atualizado por seus desenvolvedores.

Este plug-in gratuito (com mais de um milhão de instalações ativas) faz uma coisa e faz bem (e de graça): ele bloqueia tentativas excessivas de login de força bruta. Se algum hacker estiver tentando acessar seu site, O Limit Login Attempts deixará de responder após um número definido de tentativas.

Como os plugins 2FA e o ManageWP discutidos acima, esta é uma instalação fácil. Mesmo se você não estiver disposto a gastar um centavo em segurança, poderá reduzir a ameaça de forma satisfatória com esta instalação.

BBQ: BLOQUEAR CONSULTAS RUINS

O BBQ é outro firewall de aplicativo da web, mas é praticamente tudo o que faz. A versão gratuita (com mais de 100.000 instalações ativas) intercepta todas as solicitações de URL para o seu site e filtra qualquer coisa que possa ser um hacker tentando encontrar uma fraqueza no site por meio da interface de parâmetros da URL.

Portanto, o BBQ tem uma tonelada de profundidade para o que faz e é outra instalação inteligente. Existe uma versão profissional que vai ainda mais longe.

MAIS SUÍTES DE SEGURANÇA

Da mesma forma, existem quase mil plugins relacionados à segurança no repositório WordPress.org. Foram mostrados somente oito dos melhores acima. Cada um deles tem ofertas gratuitas e premium.

All In One WP Security & Firewall: Toneladas de recursos, uma interface de usuário clara e totalmente gratuita. Com mais de 800.000 instalações,

iThemes Security: outro plug-in de segurança abrangente de uma empresa que vende complementos do WordPress há anos. A versão gratuita possui mais de 900.000 instalações ativas. Essa é uma boa compra se você estiver usando alguns dos outros produtos da iThemes, principalmente o BackupBuddy.

SecuPress: Desenvolvido por conhecidos desenvolvedores de complementos do WordPress, o SecuPress (com apenas mais de 20.000 instalações ativas) possui uma das interfaces de usuário mais limpas nessa categoria. Ainda é relativamente novo, mas vale a pena conferir.

SiteGuard WP Plugin: Com mais de 200.000 instalações ativas, o SiteGuard adiciona muitos recursos de segurança, porém, se concentra nos logins como seu núcleo. É gratuito e um pouco difícil de começar, mas as configurações padrão funcionarão para a maioria dos sites.

Segurança anti-malware e firewall de força bruta: a versão gratuita possui mais de 200.000 instalações ativas e quase todas as revisões de cinco estrelas. Ele oferece proteção básica de login, verificação de malware e verificação de algumas vulnerabilidades históricas exclusivas do WordPress. É uma visão inteligente da defesa do WordPress.

BulletProof Security: está no final da lista, porque, embora faça seu trabalho, é um pouco difícil de usar. Dito isto, a versão premium é uma taxa única, diferentemente dos programas de assinatura.

Então, estas são algumas dicas de como deixar o WordPress mais seguro. Contudo, você precisa dedicar algum tempo (e gastar alguns dólares) para manter seus visitantes seguros.

Fonte ZDNet

Share This Article
Follow:
Jornalista com pós graduações em Economia, Jornalismo Digital e Radiodifusão. Nas horas não muito vagas, professor, fotógrafo, apaixonado por rádio e natureza.