Não há dúvida de que todos nós deixamos uma janela aberta em nossa casa enquanto fomos à loja para pegar um pouco de leite.
Pense no número de ocasiões em que deixaste teu carro destrancado por um momento enquanto pagavas uma multa de estacionamento ou deixavas algo.
Provavelmente mais de uma vez, certo?
É natural que nos esqueçamos de gerenciar situações de risco e as coloquemos em segundo plano.
A natureza humana nos encoraja a nos sentirmos positivos sempre que possível, e gostamos de pensar que a maioria das pessoas e circunstâncias são confiáveis e que nada de desagradável acontecerá.
Embora isso seja verdade na maioria dos casos, há momentos em que as probabilidades não estão a nosso favor e, quando isso ocorre, será tarde demais para fazer algo a respeito.
Se tua casa ou carro for arrombado devido a uma falha de segurança, tu ficarás pegando os pedaços sabendo que poderia ter evitado uma situação muito infeliz.
Com relação ao WordPress, a mesma lógica se aplica, e esperar que teu site não seja invadido definitivamente não é o melhor curso de ação.
Obviamente, ninguém quer que um site seja atacado e, se isso acontecer, provavelmente haverá sérias consequências; o site pode ser colocado na lista negra dos mecanismos de pesquisa, pode receber muito menos tráfego e, por último, mas não menos importante, tu podes perder clientes valiosos.
Neste artigo, aprenderás algumas etapas que podem ser seguidas para minimizar possíveis vulnerabilidades. Continue lendo para obteres algumas dicas úteis sobre como proteger teu site!
A paisagem do WordPress
O WordPress alimenta mais de 29% da Internet e possui cerca de 40.000 plugins projetados por desenvolvedores de todo o mundo. Além disso, existem dezenas de milhares de temas disponíveis para que possas personalizar a aparência do teu site.
Existe um equívoco popular de que o WordPress não é seguro de usar. No entanto, isso simplesmente não é o caso, pois a equipe do WordPress trabalha muito para evitar problemas de segurança. A realidade é que a maioria das vulnerabilidades no WordPress são causadas por plugins mal projetados e temas criados por desenvolvedores não qualificados.
Muitas pessoas adoram usar o WordPress por causa de sua extensibilidade, que permite que adaptes teu site especificamente às suas necessidades; no entanto, deves estar ciente de que, como o WordPress é tão comumente usado, é um alvo popular para ataques maliciosos e hackers.
Tipos de hack
Existem dois tipos principais de hacks que ocorrem em sites WordPress.
O primeiro tipo é um ataque direcionado em que um hacker toma uma decisão deliberada de violar teu site. Na maioria das vezes, é mais provável que isso aconteça com sites populares, onde um hacker ou grupo ativista pode discordar fortemente do conteúdo de um site ou talvez guardar rancor, por exemplo.
O segundo tipo de hack é um ataque geral não direcionado , que não é direcionado a ninguém em particular. Os hackers enviam ataques automatizados capazes de escanear uma ampla variedade de endereços IP que procuram problemas de segurança conhecidos em uma determinada versão do WordPress ou em um plugin ou tema. Uma vez que uma fraqueza é encontrada, pode haver uma chance de que ela possa ser explorada.
Um ataque de backdoor tem a capacidade de acessar o servidor do teu site remotamente, ignorando os procedimentos usuais de autenticação, como login. Uma vez que alguém tenha acesso ao teu servidor, eles podem roubar dados importantes, incluindo senhas e detalhes de contas bancárias.
A desfiguração ocorre quando um invasor altera deliberadamente a aparência de uma ou mais páginas de um site, desfigurando-a. Parte da desfiguração pode exibir a etiqueta com o nome do hacker para “mostrar” suas habilidades de hacker.
Se teu site for invadido, tua página da Web poderá ser substituída por um site de phishing , que tentará atrair o próximo visitante a fornecer credenciais valiosas.
Software malicioso conhecido como malware pode ser instalado em sites para espionar os usuários ou para espalhar mais vírus.
Os hackers podem derrubar um site lançando um ataque de negação de serviço , geralmente “recrutando” outros sites para ajudá-los.
Observação: antes de fazer qualquer alteração em seu site, você deve executar um backup completo para garantir que possa restaurá-lo se houver algum problema. Se não te sentires à vontade para fazer essas alterações, recomendamos contratar um desenvolvedor para implementar esses ajustes.
8 dicas de otimização de segurança do WordPress
Agora que tu sabes um pouco mais sobre a segurança do WordPress, é hora de implementar as seguintes medidas preventivas em teu site:
1. Instale um plugin de segurança do WordPress
Antes de instalar um plug-in de segurança , certifica-te de estudar as definições de configuração e qualquer documentação.
Um plug-in configurado corretamente pode mitigar muito do risco e reduzir a probabilidade de teu site ser invadido.
O iThemes Security pode impedir ataques de força bruta ao interromper tentativas de login ilegais; também é bom para encontrar bots que procuram pontos fracos. Além disso, este plugin pode ocultar vulnerabilidades e executar varreduras do sistema.
O Wordfence Security oferece verificação de segurança e permite que imponhas a autenticação de dois fatores. Outro ótimo recurso é que ele identifica invasores maliciosos.
2. Não use senhas comuns
Tu ficarias surpreso com quantas pessoas usam senhas fáceis de adivinhar, como qwerty ou senha.
As senhas com caracteres sequenciais também devem ser evitadas, pois o software de quebra de senhas as acha fáceis de descobrir.
Criar uma senha segura é essencial para fortalecer tua página de login. Para fazer isso, certifique-se de usar um gerador de senha forte que use uma combinação de caracteres.
3. Altere o nome de usuário padrão
Embora seja muito mais fácil manter o nome de usuário do seu site WordPress como o padrão de “admin”, ao fazer isso, estás se preparando para uma grave violação de segurança.
Muitos ataques usarão “admin” como login porque os hackers esperam que os proprietários do site não tenham tido a previsão de alterá-lo.
Vá em frente e faça essa mudança crítica criando um novo usuário em Usuários > Novo Usuário e, em seguida, conceda ao teu novo login direitos administrativos.
Depois, faça login com tua nova conta de administração e exclua a antiga conta “admin” padrão.
Nota: felizmente, muitos hosts agora evitam usar o nome de usuário padrão “admin”.
4. Configure a autenticação de dois fatores
Uma medida adicional que pode ser tomada para proteger ainda mais tua instalação do WordPress é configurar a autenticação de dois fatores.
Mesmo que tenhas usado uma senha forte e alterado teu nome de usuário de administrador. A ativação do 2FA impedirá o acesso a um invasor caso teus detalhes de login sejam comprometidos.
Para ajudá-lo a configurar esse recurso essencial, podes usar plugins como Rublon ou Keyy .
5. Atribuir princípios menos privilegiados
Ao conceder a uma nova pessoa acesso ao teu site, configure um novo login que não tenha mais privilégios de segurança necessários para permitir que ela faça teu trabalho.
Por exemplo, não darias a alguém acesso administrativo completo quando tudo o que eles precisam fazer é uma edição simples.
5. Desatives a edição de arquivos
Faça um backup do teu arquivo wp-config.php e alteres o original adicionando o texto abaixo:
define('DISALLOW_FILE_EDIT', true);
Ao adicionar essas poucas linhas úteis de código, tu podes impedir que hackers façam alterações em teu site por meio do editor de aparência no WordPress.
6. Oculte o número da sua versão
O WordPress gosta de saber quantos sites estão ativos atualmente verificando os números de versão. No entanto, isso pode causar problemas, pois algumas versões do WordPress são vulneráveis a ataques maliciosos.
Para remover seu número de versão da exibição, altere seu arquivo functions.php adicionando o seguinte código (lembre-se de fazer uma cópia dele primeiro):
add_filter( 'the_generator', '__return_null' );
7. Atualize o WordPress, plugins e temas regularmente
É uma dor constantemente ter que verificar se o teu site está sempre atualizado.
Ao implementar atualizações automáticas, você pode ter certeza de que os temas e plugins são atualizados automaticamente sempre que a versão mais recente é lançada.
Podes usar o plugin Advanced Automatic Updates ou, alternativamente, adicionar o código abaixo ao teu arquivo wp-config.php para configurar as atualizações automáticas:
add_filter( 'auto_update_theme', '__return_true' );
add_filter( 'auto_update_plugin', '__return_true' );
8. Uses os melhores temas e plugins
Nunca baixe plugins premium sem pagar por eles e sempre certifica-te de comprar teus plugins de sites respeitáveis.
A consequência de baixar plugins premium gratuitos é que eles podem ser infectados por malware, ou seja, se instalá-los, eles causarão sérias complicações.
Execute algumas verificações de pré-requisitos antes de baixar um plugin ou tema. Dês uma olhada nas avaliações e descubra quando foi a última atualização.
Se um plugin ou tema não for atualizado por um tempo, é possível que o desenvolvedor não esteja mais trabalhando nele e esteja desatualizado. Também é aconselhável verificar a compatibilidade com tua versão do WordPress.
Fique de olho nos plugins que já instalaste. Se não estiveres mais usando-os, desinstale-os.
Conclusão
Gerenciar um site seria muito mais fácil se não tivéssemos que nos preocupar com ataques maliciosos. No entanto, no mundo real, aumentar a segurança do teu site deve estar no topo da sua lista. Mesmo se possuires um site pequeno, os hacks automatizados ainda são motivo de preocupação.
Do lado positivo, ao configurar as poucas medidas de segurança acima e fazer backups regulares, podes reduzir drasticamente a chance de teu site ser invadido.
A ação proativa que tomas para fortalecer a segurança do teu site agora protegerá seu site no futuro.
