É muito comum ver os proprietários de sites WordPress irritados com questões de segurança.

A opinião mais comum é que um software de código aberto (open source) é vulnerável a todos os tipos de ataques. Mas isso não é verdade – normalmente é o contrário. Ou, ok, digamos que é parcialmente verdade, mas mesmo assim você não deve culpar o WordPress.

Por quê? Porque costuma ser sua culpa que seu site tenha sido hackeado. Existem algumas responsabilidades que você precisa ter como proprietário de um site. Então, a questão-chave é sempre: o que você está fazendo para garantir a segurança do seu site?

Vamos ver abaixo alguns truques simples que podem ajudá-lo a proteger seu site WordPress:

Parte (a): Proteja a página de login e evite ataques de força bruta

Todos conhecem a URL padrão da página de login do WordPress. O backend do site é acessado a partir daí, e essa é a razão pela qual as pessoas tentam entrar na força bruta. Basta adicionar /wp-login.php ou /wp-admin/ no final do seu nome de domínio e pronto, o hacker já sabe a URL que deve atacar.

O que recomendamos é personalizar o URL da página de login. Essa é a primeira coisa a ser feita para começar a proteger seu site.

Abaixo estão mais algumas sugestões para proteger sua página de login:

1. Configurar bloqueio do site e proibir os usuários Um recurso de bloqueio limitando o número de tentativas de login pode resolver um enorme problema, pois não dará mais para ficar usando força-bruta, testando milhares de senhas. Sempre que alguém tentar hackear com senhas erradas e de forma repetitiva, o site ficará bloqueado e você será notificado dessa atividade não autorizada.

   O plugin iThemes Security é um dos melhores plugins desse tipo, e já o uso há muito tempo. Esse plugin tem muito a oferecer a esse respeito. Você pode especificar um certo número de tentativas de login, após as quais o plugin proíbe acessos do endereço IP do invasor.

   (Alternativamente, você também pode usar o plugin Login LockDown que foi criado para ajudá-lo especificamente com esse problema.)

2. Use a autenticação de dois fatores Apresentar a autenticação de 2 fatores (2FA) na página de login é outra boa medida de segurança. Nesse caso, o usuário fornece detalhes de login para dois componentes diferentes. O proprietário do site decide o que esses são esses dois fatores. Pode ser uma senha regular seguida de uma pergunta secreta, um código secreto, um conjunto de caracteres, etc.

   Há pessoas que preferem usar um código secreto ao implantar o 2FA em seus sites. O plugin do Google Authenticator pode ajudar com isso em apenas alguns cliques.

3. Use o email como login Por padrão, você deve inserir seu nome de usuário para fazer login. Usar uma ID de email em vez de um nome de usuário é uma abordagem mais segura. Os motivos são bastante óbvios. Os nomes de usuário são fáceis de prever, enquanto as IDs de e-mail não são. Além disso, qualquer conta de usuário do WordPress sempre é criada com um endereço de e-mail exclusivo, tornando-se um identificador válido para iniciar sessão.

   O plug-in de Login por Email do WP funciona muito bem para isso. Ele começa a funcionar logo após a ativação e não requer nenhuma configuração.

   Para testá-lo, basta sair do seu site e, em seguida, fazer login novamente, mas desta vez use o endereço de e-mail com o qual você criou a conta.

4. Renomeie seu URL de login Alterar a URL de login é algo muito fácil de ser feito. Por padrão, a página de login do WordPress pode ser acessada facilmente em wp-login.php ou wp-admin, adicionado à URL principal do site. Exemplo: http://seublog.com/wp-admin

   Quando os hackers conhecem a URL da sua página de login, eles podem tentar entrar na força bruta. Tentam fazer login com o GWDb (Guess Work Database, ou seja, um banco de dados de nomes de usuário e senhas, por exemplo, nome de usuário: admin e senha: p@ssword … com milhões de tais combinações).

   Então, até este momento – se você acompanhou – já restringimos as tentativas de login do usuário e trocamos os nomes de usuário por IDs de e-mail. Agora podemos substituir o URL de login e eliminar 99% dos ataques diretos de força bruta.

   Este pequeno truque restringe a entrada de alguém mal intencionado na página de login. Somente alguém com a URL exata pode fazer isso. Mais uma vez, o plugin iThemes Security pode ajudá-lo a alterar seus URLs de login. Algo como:

   • Altere wp-login.php para algo único; por exemplo my_new_login
   • Alterar /wp-admin/ para algo único; por exemplo my_new_admin
   • Mude /wp-login.php?action=register para algo único, ex: my_new_registration

5. Ajuste suas senhas Trabalhe com as senhas do site e mude-as regularmente. Melhore sua força adicionando letras maiúsculas e minúsculas, números e caracteres especiais. Esse Gerador de Senha, por exemplo, pode te ajudar nessa tarefa.

Parte (b): proteja seu painel de administração

Para um hacker, a parte mais desejada de um site é o Painel do Administrador, que é de fato a seção mais protegida de todos. Então, atacar a parte mais forte é o verdadeiro desafio e, se cumprido, dá ao hacker uma vitória moral e o acesso para causar um dano enorme.

Veja o que você pode fazer para se proteger:

6. Proteja o diretório wp-admin O diretório wp-admin é o coração de qualquer site do WordPress. Portanto, se esta parte do seu site for violada, todo o site pode ficar danificado.

   Uma maneira de evitar isso é proteger com senha o diretório wp-admin. Com essa medida de segurança, o proprietário do site pode acessar o painel exibindo duas senhas. Uma protege a página de login e a outra a área de administração do WordPress. Se os usuários do site forem obrigados a acessar algumas partes específicas do wp-admin, você pode desbloquear essas partes enquanto bloqueia o resto.

   Você pode usar o plugin AskApache Password Protect para proteger a área de administração. Ele gera automaticamente um arquivo .htpasswd, criptografa a senha e configura as permissões de segurança do arquivo.

7. Use SSL para criptografar dados A implementação de um certificado SSL (Secure Socket Layer) é uma jogada inteligente para proteger o painel de administração. O SSL garante a transferência segura de dados entre os navegadores dos usuários e o servidor, dificultando a invasão de hackers ou a falsificação de suas informações.

   Obter um certificado SSL para o seu site WordPress não é um problema. Você pode comprar um de algumas empresas dedicadas, ou mesmo utilizar um Certificado SSL Gratuito.

   O certificado SSL também afeta o ranking do seu site no Google. O Google classifica sites com SSL superiores aos que não possuem. Isso significa mais tráfego. Quem não quer isso?

8. Adicione contas de usuários com cuidado Se você tiver um blog do WordPress com vários autores, então você precisa lidar com várias pessoas que acessam seu painel de administração. Isso pode tornar seu site mais vulnerável a ameaças de segurança.

   Você pode usar um plugin que force seus usuários a usarem senhas fortes, assim você garante que as senhas que utilizam sejam seguras. Esta é apenas uma medida de precaução.

9. Altere o nome de usuário do administrador Durante a instalação do WordPress, você nunca deve escolher “admin” como o nome de usuário da sua conta de administrador principal. Esse nome de usuário é fácil de adivinhar e acessível para hackers. Metade do trabalho dos hackers já estará feita, só vão precisar descobrir a senha, pois já sabem o ID do administrador.

   Novamente, o plugin de iThemes Security pode interromper tentativas de Login do usuário Admin, de forma inteligente, proibindo imediatamente qualquer endereço IP que tente fazer login com esse nome de usuário.

10. Monitore seus arquivos Se você quiser alguma segurança extra adicionada, você pode monitorar as alterações nos arquivos do site através de plugins como Wordfence ou, novamente, iThemes Security.

Parte (c): Proteja o banco de dados

Todos os dados e informações do seu site são armazenados no banco de dados. Cuidar disso é crucial. Aqui estão algumas coisas que você pode fazer para torná-lo mais seguro:

11. Altere o prefixo da tabela de banco de dados do WordPress Se você já instalou o WordPress, você está familiarizado com o prefixo wp- table que é usado pelo banco de dados. É recomendado que você mude isso para algo único.

    O uso do prefixo padrão torna o banco de dados do site propenso a ataques de injeção SQL. Esse ataque pode ser evitado mudando wp- para algum outro termo, por exemplo, você pode usar mywp-, wpnew-, etc.

    Se você já instalou seu site do WordPress com o prefixo padrão, então você pode usar alguns plugins para alterá-lo. Plugins como WP-DBManager ou iThemes Security podem ajudá-lo a fazer o trabalho com apenas um clique de um botão. (Certifique-se de fazer uma cópia de segurança do seu site antes de fazer qualquer coisa no banco de dados).

12. Faça backup de seu site regularmente Não existe nada que possa garantir 100% a segurança do seu site. Se os sites do governo podem ser hackeados, então o seu também pode. Você pode sempre tomar precauções para reduzir os riscos de hacking.

    Fazer backups regulares do seu site é a coisa mais importante que você deve fazer. Se você tiver um backup, pode restaurar seu site a qualquer momento, caso seu site seja hackeado. Além disso, backups devem ser feitos não apenas dos arquivos da sua base de dados, mas também de tudo relacionado ao seu WordPress.

    Muitas plugins podem ajudar a fazer o trabalho; o que eu mais recomendo é o BackupBuddy. Este plugin pode ajudar a fazer backups completos, agendados e restaurar seu site. Além disso, faz backups completos, incluindo todos os arquivos, e a programação pode ser configurada de acordo com sua conveniência – diariamente, semanalmente ou mensalmente.

    Alternativamente, você pode fazer backups de banco de dados com o WP-DB-Backup. Esse plugin permite fazer backups do seu banco de dados e enviá-los por e-mail em um horário especificado.

Parte (d): Proteja seu site de dados

13. Configure o plugin de scaner de malware A maneira mais segura de proteger seu site é escanear regularmente. Como vimos no início deste artigo, o Wordfence é uma das melhores opções de scanner de malware disponível no WordPress.

    Esses plugins fazem varreduras regulares no seu site e, caso encontrem algum malware, te notificam imediatamente, além de fornecerem várias outras funcionalidades de segurança.

14. Adicione plugin de segurança com firewall Usar um plugin de segurança que inclua um firewall é uma ótima maneira de proteger seu site WordPress. Os plugins de segurança de firewall monitoram o tráfego de entrada e saída e bloqueiam qualquer atividade suspeita.

    iThemes Security e Wordfence Security são dois dos melhores plugins de segurança de firewall para WordPress. Eles ajudam a proteger seu site, bloqueando tentativas de login maliciosas, detectando malware, monitorando atividades suspeitas e muito mais.

Parte Conclusiva

Ao seguir essas práticas recomendadas, você estará bem encaminhado para proteger seu site WordPress contra hackers e outras ameaças de segurança. Lembre-se de que a segurança do site é um processo contínuo e exige atenção e atualizações regulares. Uma boa hospedagem, como o RamHost, que oferece suporte qualificado e recursos avançados de segurança, pode ser uma grande ajuda nesse processo.