Checklist de segurança para sites WordPress em 16 etapas

8/05/2024 | Desenvolvimento

Wp Security Checklist (1)

Não podemos enfatizar o suficiente a importância de ter uma segurança robusta no site. Quando você está correndo para cumprir um prazo, proteger adequadamente o seu site WordPress pode não ser sua maior prioridade, por isso elaboramos checklist de segurança para garantir que você não perca nenhum dos itens essenciais.

Em um mar de mais de 2 bilhões de sites, é compreensível que muitas pessoas não pensem que seus sites correm o risco de serem hackeados.

E se você nunca foi vítima de um ataque, talvez não se preocupe tanto com a possibilidade quanto deveria.

No entanto, é melhor ter a proteção certa e não precisar dela do que ficar sem ela e se arrepender.

Reunimos checklist de segurança de 16 etapas que você pode querer seguir ao proteger seu site – o que facilitará a organização de sua segurança:

Escolha um provedor de hospedagem segura na web

Você pode seguir todas as outras etapas deste artigo e ir além para proteger seu site; no entanto, se estiver usando hospedagem compartilhada barata, é como ter uma porta frontal de titânio reforçada e ultra-forte – e deixar uma chave embaixo o capacho.

Desenho de Devman obtendo uma chave debaixo de um capacho.
Nunca facilite as coisas para visitantes indesejados (desculpe, Devman!)

Mesmo sem considerar a segurança, a hospedagem compartilhada tem desvantagens suficientes para convencer a maioria das pessoas a evitar isso – mas isso é um assunto em si. Confira nosso artigo sobre como escolher o melhor tipo de hospedagem para suas necessidades para uma análise aprofundada de todos os prós e contras da hospedagem compartilhada.

Possivelmente a maior desvantagem é a falta de segurança. Uma vulnerabilidade no site de outra pessoa pode resultar no comprometimento do servidor e no ataque ao seu site – sem que você tenha culpa.

Embora as empresas de hospedagem tentem tomar todas as precauções para impedir a propagação de ataques maliciosos como esse, nem sempre é possível com hospedagem compartilhada, pois os sites são hospedados no mesmo servidor.

Se você não quer se preocupar com o que está acontecendo no servidor do seu site, opte por VPS ou hospedagem dedicada.

A hospedagem Napoleon oferece memória dedicada, CPU e armazenamento SSD que é independente de qualquer outro site – incluindo outros que você hospeda conosco!

Dicas:

  • Escolha um provedor de hospedagem que seja conhecido por ter uma segurança robusta.
  • Não economize no preço – gastar um pouco mais em uma boa hospedagem é melhor do que comprar barato e ser hackeado.
  • Aproveite os recursos que seu host oferece, como backups automáticos , WAF ou a capacidade de bloquear endereços IP suspeitos .

Proteja sua página de login

Raramente uma tentativa de hacking é pessoal. Você pode ter apenas um pequeno site de um clube náutico em sua vila local, mas isso não significa que estará protegido contra hackers.

Bots maliciosos farejam a Internet em busca de vulnerabilidades em sites e não discriminam. Se eles descobrirem que existe uma rota além da sua página de login do WordPress, eles infectarão seus arquivos antes que você possa dizer “malware!”.

Existem algumas etapas que você pode seguir para garantir que sua página de login esteja protegida contra esses tipos de ataques.

Mascare seu URL de login

A primeira é usar um plugin como o Defender para ocultar seu URL de login.

Isso torna substancialmente mais difícil para os bots realizarem ataques de força bruta – se eles não conseguirem encontrar sua página de login, não haverá lugar para eles tentarem quebrar sua senha.

É muito fácil ativar no Defender. Basta escolher um novo slug para o seu URL de login.

Captura de tela do uso do recurso de mascaramento de URL para alterar o URL para "URL de login oculto"
Certifique-se de manter uma nota segura do seu novo URL!

Você também pode redirecionar as pessoas que tentam acessar seu antigo link wp-admin para uma página de sua escolha.

Captura de tela da opção de redirecionar o tráfego.
Hoje não, bots!

Use um gerenciador de senhas

Existem duas regras principais quando se trata de senhas:

  • Certifique-se de que suas senhas tenham um bom comprimento e contenham uma variedade de caracteres diferentes.
  • Não use a mesma senha para mais de uma conta.

Aderir a essas duas regras pode tornar quase impossível lembrar todas as suas senhas, e é por isso que você pode se beneficiar de um gerenciador de senhas.

LastPass e 1Password são dois dos melhores gerenciadores de senhas do mercado e irão ajudá-lo a criar e armazenar senhas complexas para todas as suas contas.

Tudo que você precisa lembrar é uma senha mestra forte e segura – o resto será resolvido para você.

Habilite a autenticação de dois fatores

Sua senha pode parecer longa e complexa, no entanto, se uma sequência de 15 caracteres for tudo o que separa seus dados de um hacker astuto, infelizmente, nem sempre será suficiente.

A autenticação de dois fatores envolve vincular seu telefone ou outro dispositivo ao administrador do WordPress para que não seja possível fazer login sem inserir um código exclusivo.

O Defender usa Google Authenticator, Microsoft Authenticator e Authy para fazer isso.

Basta configurá-lo para cada uma de suas contas de usuário e cada vez que alguém passar pela tela de nome de usuário e senha, será solicitado que abra seu autenticador e insira o código.

Captura de tela da página do Defender solicitando que você insira o código de autenticação.
Sem senha, sem entrada!

Isso torna quase impossível para hackers entrarem no seu site sem ter acesso ao seu nome de usuário, senha E ao seu dispositivo móvel.

Para colocar isso em perspectiva, um site que uso exclusivamente para testar plug-ins e temas recebe em média 40 tentativas de login por dia por bots. Esses são bots cuja única função é tentar combinações aleatórias de senhas na esperança de entrar no seu site.

Basta uma dessas tentativas para ter sucesso e você poderá perder completamente o acesso ao seu site.

Posso ver essas tentativas nos logs de auditoria do Defender.

Captura de tela mostrando uma série de tentativas de login no site durante um período de cerca de 8 horas.
Mais tentativas fracassadas, mas os bots nunca desistem!

Embora meu site seja muito obscuro e não tenha a intenção de ser voltado ao público, ele ainda está no radar de bots maliciosos.

E mesmo que minha senha seja segura, eu ficaria muito mais preocupado se não tivesse a autenticação de dois fatores habilitada.

Dicas:

  • Usar senhas exclusivas para cada conta também pode ajudá-lo a identificar a origem de um ataque caso sua senha seja comprometida.
  • Configure um endereço de e-mail de backup caso você perca seu dispositivo móvel e não consiga acessar seu site.
  • Se você esquecer seu URL de login mascarado, poderá recuperá-lo em seu banco de dados.
  • Para segurança extra, você pode remover o link de redefinição de senha da sua página de login com um plugin como o Branda .

Proteção de login

O Defender tem algumas ferramentas extras em seu currículo quando se trata de bloquear intrusos em seu site.

Você pode configurar a proteção de login para garantir que hackers não consigam entrar na sua conta com força bruta, enviando spam para combinações de senha.

Escolha o número máximo de tentativas de login que você deseja permitir dentro de um determinado período e exiba uma mensagem personalizada para qualquer pessoa fora do limite.

Captura de tela da tela de proteção de login mostrando a configuração para banimento após 5 falhas de login em 300 segundos?
Você também pode escolher se deseja definir um bloqueio temporário – ou bani-los para sempre!

Endereços IP podem ser banidos diretamente dos registros do Defender. Se você vir o mesmo IP repetidamente tentando acessar seu site, basta clicar em ‘BAN IP’.

Captura de tela de uma tentativa de login malsucedida mostrando o endereço IP, a data e a hora.
Você também pode banir endereços IP em massa.

Apenas certifique-se (e nossa equipe de suporte me agradecerá por dizer isso) de que não é o seu próprio IP que você está banindo, pois você ficará completamente bloqueado no seu site!

O Defender também oferece algumas maneiras extras de gerenciar endereços IP suspeitos.

Dicas:

  • Adicione seu próprio IP à lista de permissões para não ser acidentalmente atingido por um bloqueio.
  • Se você notar um grande número de tentativas de login de um país específico, poderá banir completamente os endereços IP desse país usando o Defender.
  • Não dê nomes comuns aos seus usuários, como Admin ou Administrador. Os bots costumam usá-los ao tentar quebrar seus dados de login; portanto, se você usar um nome de conta comum, eles já estarão no meio do caminho!

Configurar um Firewall de Aplicativo Web (WAF)

Um Web Application Firewall (WAF) é um tipo especial de firewall que define regras definidas para ajudar a proteger um aplicativo da Web contra ataques.

Todas as solicitações recebidas e as respostas do servidor web são examinadas por um WAF. Ele monitora, filtra e bloqueia tráfego indesejado, protegendo seu site contra hackers e outros tráfegos nocivos.

WAF é simplesmente um intermediário entre a aplicação web e o cliente.

Normalmente, um WAF é usado contra ataques para os quais as soluções tradicionais não oferecem proteção, como cross-site scripting e injeção de SQL; no entanto, também pode ser usado para proteger contra acesso ilegal a recursos – sequestro de sessão, por exemplo.

Use um plugin de segurança

Se você deseja uma chance real de evitar o sucesso de qualquer forma de ataque ao seu site, sua melhor aposta é um bom plugin de segurança completo.

O Defender tem vários recursos que funcionam juntos para tornar seu site um osso duro de roer.

Eu poderia escrever um artigo completo sobre todas as maneiras pelas quais o Defender pode ajudá-lo a proteger seu site.

Só para você ter uma ideia, alguns de seus recursos incluem:

  • Autenticação de dois fatores
  • Mascaramento de login
  • Bloqueio de login
  • 404 Detecção
  • Firewall de segurança WordPress
  • Capacidade de desativar trackbacks e pingbacks
  • Recomendações de atualização de núcleo e servidor
  • Opção para desativar o editor de arquivos
  • Capacidade de ocultar relatórios de erros
  • Atualizar chaves de segurança
  • Impedir a divulgação de informações
  • Impedir a execução do PHP

A maioria dos recursos do Defender são gratuitos, então acesse WordPress.org , clique em download e comece a impedir esses ataques.

Automatize tarefas usando plug-ins

Fato: os computadores não esquecem das coisas.

Seja fazendo backup do seu site ou atualizando seus plugins, nada é tão confiável quanto um processo automatizado.

É por isso que você deve deixar essas tarefas para os especialistas – alguns plug-ins incríveis do WordPress!

Backup instantâneo

O plano, claro, é evitar ser hackeado.

No entanto, se o pior acontecer, ter um backup do seu site pode salvar o dia.

Basta escolher com que frequência e a que horas você deseja que seus backups sejam realizados e está tudo pronto.

Dicas:

  • Além de atualizar seus plug-ins e temas regularmente, fique atento às novas versões de PHP e SQL, que também devem ser atualizadas o mais rápido possível após o lançamento.
  • É sempre bom fazer backups manuais periódicos e salvá-los localmente – você nunca estará muito seguro quando se trata de segurança do site!

Prevenir ataques DDoS

Um ataque distribuído de negação de serviço (DDoS) ocorre quando um site é inundado com tráfego para causar interrupção de seu serviço.

É realizado por uma rede de computadores (às vezes computadores de membros do público desatentos que foram infectados com malware). O invasor usa esses dispositivos para formar uma ‘botnet’, que pode instruir para atacar um alvo específico.

O objetivo desses ataques é muitas vezes exigir resgate dos proprietários do site, e houve alguns casos de ataques DDoS de alta publicidade no passado. Alguns são realizados simplesmente por diversão e para causar o caos, mas seja qual for o motivo do ataque, ser vítima de um nunca é o ideal.

Felizmente, existem algumas etapas que você pode seguir para evitar que isso aconteça em seu site.

Esses incluem:

  • Desativando XML-RPC
  • Usando um firewall
  • Desativando trackbacks e pingbacks
  • Desativando API Rest
  • Usando um CDN.

Verifique regularmente se há contas não autorizadas

Quando você trabalha frequentemente no WordPress e está acostumado a alternar entre as mesmas telas, é fácil que certas coisas escapem da rede.

É por isso que você precisa reservar um tempo para verificar manualmente se ninguém mais tem acesso ao seu site.

Algo que você deve verificar regularmente são contas não autorizadas.

Isso se aplica não apenas a usuários adicionais do WordPress, mas também a contas FTP e SSH.

Captura de tela das contas de usuário SFTP.Uma verificação rápida para ter certeza de que você reconhece todas as contas ativas é tudo que você precisa.

Proteja seu arquivo WP-Config

Seu wp-config contém as chaves de todo o seu site WordPress e é a última coisa que você deseja que os hackers coloquem em mãos.

Uma maneira de garantir que ele esteja fora de alcance é movê-lo para fora da pasta raiz da web.

Dê uma olhada nos conselhos do próprio WordPress sobre isso para decidir se é o caminho certo para você.

Se não quiser movê-lo completamente, você pode bloquear o acesso adicionando o seguinte código ao seu arquivo .htaccess.

<files wp-config.php>

order allow, deny

deny from all

</files>

Dicas:

  • Dê um passo adiante, bloqueando o acesso ao seu .htaccess também!

Adicione um certificado SSL

Um certificado SSL verifica se o site que você acessou é o destino pretendido, verificando as credenciais do seu certificado.

Isso ajuda a evitar falsificação de domínio e outros ataques semelhantes.

Uma conexão que envolve um certificado SSL é mais confiável, segura e passa uma impressão muito melhor ao cliente.

Isso ocorre porque um certificado SSL transforma uma conexão HTTP em uma conexão HTTPS – o ‘S’ adicionado significa literalmente seguro.

Captura de tela mostrando a mensagem que você recebe ao visitar uma página sem certificado SSL no Chrome.
A última coisa que você deseja que seus visitantes vejam é esta mensagem!

Você pode obter um certificado SSL através de um provedor confiável como Let’s Encrypt.

Impedir links diretos

Se alguém estiver fazendo um hotlink para suas fotos, ele estará usando o link para sua imagem original em seu site, o que significa que os visitantes estão obtendo os benefícios da imagem, mas seu servidor está cuidando da conta.

Além de ser considerado antiético, pode sobrecarregar muito o servidor, causar problemas ao site e também resultar em custos extras.

Existem várias maneiras de proteger suas imagens, sendo uma das mais fáceis adicionar um trecho de código ao seu arquivo .htaccess.

Este código garantirá que apenas determinados sites tenham permissão para exibir suas imagens. Você pode especificar os sites individuais.

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?example.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?youtube.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ - [F]

Este é o código necessário para sites executados em servidores Apache.



location ~ .(gif|png|jpeg|jpg|svg)$ {
valid_referers none blocked ~.google. ~.bing. ~.yahoo. yourdomain.com *.yourdomain.com;
if ($invalid_referer) {
return 403;
}
}

Use este código se o seu site estiver sendo executado em um servidor NGINX.

Dicas:

  • Você também pode proteger suas imagens usando um plugin ou CDN com proteção de hotlink.
  • Adicione um aviso de direitos autorais ao rodapé do seu tema para desencorajar as pessoas de tentarem roubar suas imagens.

Bloqueie Spam

Comentários de spam em seu blog não são apenas frustrantes – eles também podem representar um risco à segurança.

Muitos comentários de spam contêm links maliciosos na esperança de enganar os visitantes para que enviem suas informações pessoais.

Portanto, embora você possa não ser o alvo pretendido desses tipos de ataques, você tem o dever de mantê-los seguros para com os visitantes do seu site.

Se você for atingido por uma tonelada de spam, você tem duas opções: desativar completamente seus comentários ou instalar um plugin anti-spam .

Se você escolher a última opção, o Akismet pode ser exatamente o que você precisa.

Cada comentário deixado em seu site, MAIS os envios de seus formulários, são executados em seu banco de dados global de spam para evitar que conteúdo malicioso entre em seu site.

É grátis – e funciona!

Melhor ainda, o reCaptcha está em desenvolvimento para o Defender e protegerá funções nativas do WordPress, como sua página de login e comentários do blog.

Visite seu site regularmente

Às vezes, a solução mais simples pode fazer maravilhas.

Se o seu site foi hackeado e seu conteúdo sofreu interferência, uma rápida olhada em seu site deverá dizer isso em segundos.

Visitar seu site e vê-lo do ponto de vista do cliente é bom não apenas do ponto de vista da segurança, mas também do ponto de vista estético e de acessibilidade.

Então pegue um café, sente-se e navegue em seu site como se fosse um visitante regular.

Dicas:

  • Não se esqueça de visualizar seu site enquanto estiver conectado, desconectado e também no modo anônimo!

Considere um site estático

Se você administra um site que requer pouca participação do usuário, ou seja, é principalmente para compartilhar informações, em vez de uma loja de comércio eletrônico ou um blog movimentado, a conversão para um site estático pode ser benéfica.

Para fazer isso, você precisa criar cópias de seus arquivos e agrupá-los em um arquivo .ZIP que pode ser armazenado em seu servidor.

Isso significa que sua instalação real do WordPress pode ser ocultada com segurança e fora do alcance de bots e hackers.

Não é o caminho certo para muitos sites, mas sinta-se à vontade para verificar serviços como Strattic ou Simply Static se quiser pesquisar mais.

Melhor prevenir do que remediar

Sabemos que implementar tantas etapas diferentes pode parecer uma tarefa tediosa, mas, felizmente, depois de marcar a maioria delas em sua lista, elas cuidarão de si mesmas.

Os plug-ins são executados silenciosamente em segundo plano e fazem o trabalho pesado para você; portanto, depois de configurar toda a segurança do seu novo site, não deverá ser necessária muita entrada manual contínua.

Quando você tem outros aspectos do site com os quais se preocupar, a segurança pode ficar em segundo plano, no entanto… retrospectiva é uma coisa maravilhosa.

Reserve um tempo agora para implementar os procedimentos de segurança corretos para o seu site e esperamos que você nunca tenha que lidar com a frustração de seu site ser hackeado e desejar ter tomado precauções antes.

Desenvolvido por Daniel Peres

Profissional especialista em WordPress com 10 anos de experiência na área. Já atuei em diversas empresas na área de tecnologia e marketing a fim de consolidar negócios baseados em sites WordPress. Voluntário nos Meetups WordPress e Divi Rio de Janeiro.

Agora é a sua vez!

Compartilhe sua opinião e deixe seu comentário no post. Queremos ouvir o que você pensa!

0 comentários

Enviar um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *