Proteger seu site tornou-se fácil graças ao incrível trabalho que a equipe do WordPress faz continuamente para corrigir vulnerabilidades e melhorar a segurança da plataforma. Com a adição do Wordfence, é possível executar um site seguro do WordPress e dormir bem à noite sabendo que seu investimento está seguro.
Hoje eu vamos ver uma lista de verificação que você pode obter em 15 minutos que irá ajudá-lo a proteger o seu site WordPress. O tempo é curto, então vamos lá!
1. Certifique-se de fazer backup do seu site
Os backups são o primeiro passo para proteger seu site. Seus backups garantem que, mesmo que seu site esteja comprometido ou danificado de alguma forma, você sempre poderá recuperá-lo. Sugerimos executar um backup completo antes de fazer as alterações abaixo para que você possa recuperar seu site se quebrar qualquer coisa.
Seu provedor de hospedagem já pode fornecer backups gratuitos. Se não, há uma ampla gama de complementos de backup disponíveis para WordPress. Nós gostamos de UpdraftPlus que é bem mantido, tem avaliações excelentes e tem uma grande base de instalação de mais de 1 milhão de sites.
2. Exclua todas as instalações públicas antigas do WordPress e outros softwares antigos
Faça login no seu site WordPress usando FTP ou um gerenciador de arquivos. Você precisa ser capaz de visualizar todos os arquivos em sua conta de hospedagem. Verifique para ver se você tem alguma antiga instalação de WordPress . Por exemplo, em um diretório chamado ‘backup’, ‘doc_root.old’, ‘old_wordpress’ ou algo semelhante.
Se você não tiver certeza de que um diretório é, pergunte ao seu provedor de hospedagem ou um desenvolvedor se você trabalha com um. Todos os diretórios que são antigos e não mais usados devem ser excluídos. Eles provavelmente não estão sendo mantidos e os hackers podem eventualmente descobri-los e usar vulnerabilidades no software desatualizado para ter acesso ao seu site.
Agora faça o mesmo para qualquer outro software que você instalou, mas não está usando ou mantendo. Isso inclui aplicativos PHP antigos como phpmyadmin, MediaWiki, Joomla e Drupal.
3. Exclua quaisquer temas, plug-ins ou extensões que você não precisa ou que não são mantidos
Inicie sessão no seu site WordPress e vá para Plugins> Plugins instalados. Exclua todos os plugins que você não usa mais. Verifique tudo o mais e certifique-se de reconhecê-lo e usá-lo.
Você pode clicar no link “Detalhes” ao lado de cada plug-in para ver quando foi atualizado pela última vez. É altamente recomendável que você exclua qualquer plugin que não tenha sido atualizado por 2 anos ou mais. É improvável que o autor esteja mantendo o plug-in e se uma vulnerabilidade for relatada, ela pode não ser corrigida rapidamente.
Faça o mesmo com os temas do WordPress. Vá para Aparência> Temas. Em seguida, exclua todos os temas que você não usa mais . Se você mudou de tema em algum momento e ainda precisa de imagens em outro diretório de temas, recomendamos que você exclua o máximo possível do tema legado e apenas preserve recursos estáticos, como imagens e folhas de estilo.
Se você usa o Joomla, o Drupal ou outros aplicativos, faça login em cada aplicativo e remova extensões antigas que você não usa mais ou que não estão sendo mantidas pelo autor .
A exclusão de extensões antigas, plugins e temas os removerá como potenciais pontos de entrada para um hacker.
4. Proteja suas contas de administrador do WordPress e CPanel
Proteja todas as contas de administrador em seu site. Inicie sessão no WordPress. Vá para Usuários> Todos os usuários e, em seguida, clique em “Administrador” na parte superior da tela para exibir todas as contas de nível de administrador. Certifique-se de que reconhece todas as contas de administrador. Se você não reconhece uma conta, descubra a quem pertence. Se você tiver uma conta de administrador não autorizada e suspeitar que você pode ter sido hackeado, talvez seja necessário entrar em contato com nossa equipe de serviços de segurança .
Exclua as contas de administrador que não são mais necessárias.
Se você não tem certeza se suas senhas de administrador são seguras, entre e altere-as para algo aleatório e assegure-se de que seus proprietários de conta de administrador sejam alertados para a alteração. É altamente recomendável usar a senha gerada automaticamente do WordPress, que é muito segura. Use um gerenciador de senhas como 1Password para armazenar as senhas geradas.
Inicie sessão no CPanel e certifique-se de que está a utilizar uma palavra-passe segura também. Deve ser aleatório e de preferência 20 caracteres ou mais. Você pode usar 1Password ou outro gerenciador de senhas para gerar uma senha aleatória e armazená-lo.
5. Atualizar absolutamente todos os softwares em sua conta de hospedagem
Você precisa trazer tudo up-to-date. Sob absolutamente nenhuma circunstância você deve estar executando o software de data. Conclua as seguintes etapas:
- Atualize todas as instalações principais do WordPress.
- Atualize todos os plugins do WordPress.
- Atualize todos os temas do WordPress.
- Atualize qualquer Joomla, Drupal, MediaWiki, PHPMyAdmin ou outros aplicativos que você instalou.
- Atualize as extensões em qualquer aplicativo como o Joomla ou o Drupal que você instalou.
Uma nota especial sobre temas personalizados do WordPress
Se o seu tema é personalizado e você não é capaz de atualizá-lo, você vai precisar de um desenvolvedor para manter esse software. Esta é uma realidade infeliz e despesa de ter um tema personalizado instalado. Você não pode simplesmente instalar e esquecer.
Muitos temas usam bibliotecas que eventualmente têm vulnerabilidades descobertas nelas. Se o seu tema não for mantido, o seu site acabará por ser invadido por este software vulnerável. Ao contratar os serviços de uma empresa que projeta sites personalizados WordPress, você deve perguntar-lhes se eles vão manter qualquer software personalizado que instalar em seu site WordPress.
6. Instale o Firewall do Wordfence no modo “Proteção estendida”
Instale o plug-in Wordfence no seu site WordPress. Vá para o menu “Firewall” e ativar “Proteção estendida”. Isso garante o seguinte:
- O código de firewall do Wordfence irá inspecionar qualquer solicitação antes de executar qualquer código PHP, incluindo o código do núcleo do WordPress. Isso permite que o Wordfence intercepte e pare qualquer vulnerabilidade antes mesmo de atingir seus aplicativos PHP.
- Wordfence também irá proteger todos os outros aplicativos PHP que são instalados fora de seu diretório base do WordPress. Isso acontece automaticamente e é um benefício adicional do Wordfence que muitas pessoas não estão cientes de.
Recomendamos que você atualize para o Wordfence Premium se possível, para garantir que você receba a lista negra IP, as regras de firewall e as assinaturas de malware em tempo real à medida que surgem novos ataques.
7. Execute uma verificação completa do Wordfence no seu site
Vá para o menu Wordfence> Scan. Clique no botão para executar uma varredura do Wordfence. Isso irá realizar um grande número de verificações de segurança em seu site e irá garantir que seu site está livre de qualquer infecção. Quaisquer problemas encontrados serão exibidos de forma clara e precisam ser resolvidos.
Você pode visitar a página de opções do Wordfence e desloque-se para “Scans to Include”, onde encontrará uma opção para “Verificar arquivos fora da instalação do WordPress”. Você pode habilitar isto para que o Wordfence faça a varredura de todos os arquivos fora do seu diretório raiz do WordPress, até mesmo aplicativos da web que não fazem parte do WordPress. Esta é uma ótima maneira de obter cobertura de varredura estendida para todos os arquivos em sua conta de hospedagem.
8. Habilitar a autenticação de 2 fatores, aka Cellphone Sign-in
Vá para Wordfence> Ferramentas. Clique na guia na parte superior intitulada “Cellphone Sign-in”. Ativar o início de sessão do telemóvel em todas as contas de administrador. Você pode fazer login usando um SMS para o seu celular ou usando o aplicativo Google Authenticator.
Ativar esse recurso melhorará significativamente a segurança de suas contas de administrador do WordPress, porque qualquer pessoa que inicie sessão como administrador em seu site agora terá que verificar se eles sabem sua senha e também estão na posse de seu telefone celular. Um hacker terá que roubar seu celular e saber sua senha para poder entrar como você.
Note que o início de sessão do telemóvel é uma funcionalidade Premium Wordfence.
Agora compartilhe isso!
Concluindo essas simples etapas você terá um site significativamente mais seguro do que a maioria das instalações WordPress na web hoje. Compartilhe este post com a comunidade para ajudar outros administradores de sites do WordPress a proteger seus sites.
Agora que você está pronto, sugerimos tome um café e faça uma pausa bem merecida. Você ganhou!
Para um mergulho mais profundo na segurança do WordPress, confira o WordPress Security Learning Center .