Você sabia que proteger um site WordPress é agora mais importante do que nunca devido à crescente frequência e complexidade dos ataques cibernéticos? É uma dura realidade que nenhuma empresa online pode ignorar.

Na verdade, de acordo com Relatórios Colorlib, mais de 13,000 sites WordPress foram hackeados diariamente em 2023.

Esse é um número impressionante e significa que você precisa estar extremamente vigilante quando se trata de proteger sua presença online.

Mas não há necessidade de entrar em pânico.

Nesta postagem, discutiremos as etapas que você pode seguir para manter seu site seguro e protegido contra ameaças cibernéticas, para que você possa se concentrar no crescimento do seu negócio sem preocupações.

Então, se você está pronto para levar a segurança do seu site para o próximo nível, vamos começar!

1 Por que proteger um site WordPress?

Seu site serve como sua casa online e o WordPress é a plataforma por trás dele. No entanto, assim como uma casa física, seu site WordPress precisa de paredes fortes para resistir a ameaças potenciais. 

Veja por que é essencial proteger seu site:

Protegendo o seu site e a privacidade dos visitantes

De acordo com os dados, uma média de 69% dos sites WordPress hackeados são vítimas de software desatualizado e senhas fracas. É como deixar a porta da frente aberta com um tapete de boas-vindas para ladrões cibernéticos.

As perdas por crimes cibernéticos para empresas chegam a trilhões anualmente, e o WordPress é um alvo frequente. 

Portanto, proteger dados confidenciais como senhas, e-mails e detalhes financeiros é fundamental. Um site seguro promove a confiança e o envolvimento do usuário, e os usuários têm maior probabilidade de retornar a um site seguro, aumentando a fidelidade e as conversões dos visitantes.

Prevenção de violações de dados e injeções de malware

As violações de dados podem causar danos à reputação, problemas jurídicos e perda de confiança do cliente, custando às empresas uma recuperação média de US$ 9.44 milhões nos EUA. 

Além disso, injeções de malware em sites WordPress hackeados podem redirecionar visitantes para sites maliciosos, prejudicando sua classificação de SEO e a experiência do usuário. Portanto, você precisará manter seu site seguro para evitar tais situações.

Aumente o desempenho de SEO do seu site

O Google prioriza a segurança, e sites seguros costumam desfrutar melhores classificações de SEO. Proteger seu site WordPress pode melhorar as classificações nos mecanismos de pesquisa, atraindo mais tráfego orgânico.

Além disso, scripts e plug-ins maliciosos podem paralisar o seu site, diminuindo o tempo de carregamento da página e frustrando os usuários. Um site seguro funciona perfeitamente, mantendo seus visitantes satisfeitos e engajados.

Conformidade com os regulamentos de privacidade de dados

As regulamentações de privacidade de dados exigem fortes medidas de segurança do site para proteger os dados do usuário. GDPR e CCPA são alguns dos regulamentos que as empresas precisam cumprir. 

Portanto, proteger o seu site WordPress é essencial para evitar multas pesadas e complicações legais.

Lembre-se de que a segurança de sites não é um investimento único, mas um processo contínuo. 

Ao tomar medidas proativas, você pode transformar seu site WordPress de um alvo vulnerável em uma fortaleza segura, protegendo seus dados, reputação e sucesso online.

2 Métodos para proteger um site WordPress

Vamos agora discutir vários métodos para proteger um site WordPress.

2.1 Medidas básicas de segurança essenciais

Vamos agora discutir as práticas de segurança importantes para proteger seu site WordPress de riscos potenciais.

Mantenha tudo atualizado

Proteger seu site WordPress é simples—mantê-lo atualizado. Isso inclui o WordPress e seus arquivos principais, como temas e plugins.

Atualizações regulares são cruciais, pois geralmente incluem patches de segurança para vulnerabilidades descobertas em versões anteriores.

Além da segurança, as atualizações também introduzem novos recursos e melhorias ao seu site.

Para revisar e atualizar seu site WordPress e seus arquivos principais, faça login no seu painel e vá para Painel → Atualizações.

Se uma atualização estiver disponível, clique no botão Atualizar para versão botão. Para temas e plugins, vá para o Temas or Plugins seção, selecione aqueles que precisam de atualização e clique no botão atualizar ao lado de cada um.

Para maior segurança, considere ativar atualizações automáticas para WordPress, plug-ins e temas. Isso garante que seu site permaneça seguro, mesmo quando você não o monitora ativamente.

Antes de ativar as atualizações automáticas, faça backup do seu site regularmente. Essa precaução garante que você possa restaurar seu site facilmente se algo der errado durante ou após uma atualização.

Use senhas fortes e exclusivas

Você também pode proteger seu site WordPress usando senhas fortes e exclusivas. Senhas fracas e fáceis de adivinhar tornam mais simples para hackers obterem acesso não autorizado ao seu site.

Para criar senhas fortes e seguras, siga estas dicas:

•  Opte por um mínimo de 12 caracteres ou mais.
• Misture letras maiúsculas e minúsculas, números e caracteres especiais.
• Evite usar números sequenciais, caracteres repetidos ou senhas comuns como “password123”.
• Use uma senha diferente para cada conta online, incluindo o seu site WordPress.
• Considere utilizar uma ferramenta confiável de gerenciamento de senhas para gerar e armazenar suas senhas com segurança.
• Se possível, evite senhas que incluam seu nome de usuário ou nome do site.

Lembre-se, ao instalar um novo site WordPress, sempre substitua o exemplo de senha padrão por um mais forte. 

Mas se o seu site WordPress já estiver configurado, altere sua senha navegando até Usuários → Perfil, rolando para baixo e clicando no Definir nova senha botão para obter uma senha forte e aleatória.

Além disso, altere regularmente sua senha sempre com senhas fortes.

Instale um certificado SSL

Ao proteger o seu site WordPress, é importante instalar um certificado SSL. Este certificado garante que os dados trocados entre o seu site e os visitantes sejam criptografados, proporcionando proteção contra acessos não autorizados.

A obtenção de um certificado SSL pode ser feita comprando um de provedores confiáveis ​​ou obtendo um certificado gratuito por meio de seu provedor de hospedagem.

No entanto, se você já instalou um certificado SSL para o seu site WordPress, mas ele não aparece no URL do seu site, existe uma maneira de habilitá-lo.

Simplesmente vá para Configurações → Geral no painel do WordPress e modifique o “Endereço do WordPress (URL)” e o “Endereço do site (URL)” adicionando 'https://' no início em vez de 'http://'. 

Mas se você encontrar problemas relacionados ao SSL em seu site, poderá usar plug-ins como SSL realmente simples or SSL Insecure Content Fixer para resolvê-los.

Escolha hospedagem segura

Para aumentar a segurança, selecione um provedor de hospedagem confiável, conhecido por suas medidas de segurança e confiabilidade. Procure recursos como firewalls, verificação de malware e proteção DDoS. 

Certifique-se de que eles oferecem backups regulares, suportam protocolos seguros como SFTP ou SSH e mantêm sua infraestrutura e software atualizados. Um provedor de hospedagem seguro constitui uma base sólida para a segurança do seu site WordPress.

Para implementar isso, pesquise provedores de hospedagem, leia as avaliações e escolha um com boa reputação de segurança. 

Verifique seus recursos, suporte e opções de backup. Quando você prioriza um ambiente de hospedagem seguro, isso ajuda a proteger seu site e seus dados.

2.2 Proteja seu site WordPress

Vamos agora discutir algumas das maneiras mais eficazes de proteger seu site WordPress, incluindo como evitar acesso não autorizado, proteger seus dados e reduzir o risco de ataques cibernéticos.

Use temas e plug-ins seguros

Ao selecionar temas e plug-ins para o seu site WordPress, é importante escolhê-los de fontes confiáveis, como o oficial Repositório WordPress or MyThemeShop.

Essas fontes realizam verificações de segurança completas e fornecem atualizações de forma consistente para garantir a segurança de seus produtos.

No entanto, é importante evitar o uso de temas ou plug-ins de fontes desconhecidas ou não confiáveis, especialmente temas ou plug-ins anulados. Eles podem abrigar vulnerabilidades ou códigos maliciosos que podem comprometer a segurança do seu site.

Antes de instalar um tema ou plug-in, reserve um tempo para revisar as classificações, ler os comentários dos usuários e avaliar a frequência de atualização para garantir que seja confiável e mantido ativamente.

Isso garante que seu site permaneça seguro e atualizado com as medidas de segurança mais recentes.

Faça backup regularmente do seu site WordPress

Fazer backup regular dos dados do seu site é essencial para protegê-lo contra incidentes de segurança, perda de dados e problemas do site. Com backups recentes, você pode restaurar seu site rapidamente em caso de ataques cibernéticos e minimizar o tempo de inatividade. 

Geralmente, é recomendado criar backups diariamente, especialmente para sites com muito conteúdo e alto tráfego. 

Além disso, é importante testar seus backups periodicamente para garantir sua confiabilidade. Uma maneira de simplificar o processo de backup é usar plug-ins que oferecem recursos como backups agendados e opções de armazenamento remoto. 

Você pode consultar nossa postagem detalhada em fazendo backup do seu site WordPress.

Limite de tentativas de logon

Outra forma de proteger o seu site é limitar as tentativas de login no seu site, o que restringe o número de tentativas de login malsucedidas a partir de um único endereço IP.

Isso torna mais difícil para os hackers obterem acesso não autorizado adivinhando suas credenciais de login. 

Ao limitar as tentativas de login, você pode adicionar uma camada de proteção contra ataques de força bruta ao seu site WordPress.

Veja como você pode limitar as tentativas de login do seu site:

• Defina a duração do período de bloqueio para endereços IP bloqueados.
• Opcionalmente, ative notificações por e-mail para receber alertas sobre bloqueios ou tentativas de login suspeitas. Você pode ver esta opção no Configurações Gerais.

Após a configuração adequada, as tentativas de login do seu site serão limitadas e qualquer endereço IP que exceda o número especificado de tentativas de login malsucedidas será temporariamente impedido de acessar a página de login.

Habilite 2FA (autenticação de dois fatores)

A ativação da autenticação de dois fatores (2FA) adiciona uma camada adicional de segurança ao seu site WordPress, exigindo que os usuários forneçam duas formas de verificação para fazer login. 

Semelhante ao Google, Facebook e Twitter, você pode fortalecer seu site WordPress com esse recurso, reduzindo significativamente o risco de acesso não autorizado, mesmo que sua senha seja comprometida.

Veja como:

•  Instale e ative o “Segurança de login do Wordfence" plugar. Uma vez ativado, vá para o menu ‘Segurança de Login’.
• Encontre um código QR e digite na guia ‘Autenticação de dois fatores’. Portanto, você precisará digitalizá-lo para ativar o autenticador em seu site. 

•  Em seguida, baixe e instale o Aplicativo Google Authenticator no seu celular; você o usará para escanear o código QR para ativação em seu site.
• Abra o aplicativo e selecione 'Escanear um código QR' para escanear o código ou insira a chave de configuração manualmente.
• Depois que o aplicativo verifica o código, ele fornece um código exclusivo. Copie este código para o campo designado na seção de códigos de recuperação.
• Clique no ATIVAR botão para concluir a configuração.

Não se esqueça de baixar os cinco códigos de recuperação usando o DOWNLOAD botão. Esses códigos são cruciais caso você perca seu telefone, garantindo acesso contínuo ao seu site.

Use soluções anti-spam robustas

O spam pode ser incômodo e trazer riscos à segurança, comprometer a experiência do usuário e impactar negativamente o desempenho do seu site. 

Portanto, para evitar spam de forma eficaz em seu site, você pode utilizar o “Akismet Antispam”Plugin WordPress.

Akismet é um poderoso plugin de filtragem de spam desenvolvido pela Automattic, a empresa por trás do WordPress. Geralmente vem pré-instalado com o WordPress, bastando ativá-lo e obter uma chave API. 

Para obter a chave API, você precisará se registrar no site do Akismet e inseri-la no campo Chave API na página do plugin no painel do WordPress.

Depois de conectar com sucesso a chave de API, o plug-in Akismet empregará algoritmos avançados para analisar comentários e envios de formulários em seu site automaticamente, filtrando spam de maneira eficaz.

Alternativamente, você pode optar pelo “Antispam Bee”plugin, que tem um propósito semelhante.

Alterar nome de usuário de administrador padrão

Durante a instalação de um site WordPress, o nome de usuário padrão normalmente é definido como ‘admin’. No entanto, há casos em que os usuários deixam esse nome de usuário inalterado por engano.

Os hackers geralmente têm como alvo o nome de usuário “admin”, pois é amplamente reconhecido, o que facilita seus esforços maliciosos. Para aumentar a segurança do seu site, é importante alterar o nome de usuário do administrador, tornando mais difícil para os invasores adivinharem e obterem acesso não autorizado.

Infelizmente, o WordPress não oferece uma opção direta para modificar nomes de usuário após a conclusão da instalação.

Então, para contornar isso, você deve instalar e ativar o plugin “Alterar nome de usuário”. Uma vez ativado, vá para Usuários → Todos os usuários, selecione o usuário com o nome de usuário “admin” e clique em “Editar”. 

Na página Perfil, localize a opção ‘Nome de usuário’ e clique em Mudar. Em seguida, selecione um novo nome de usuário para a conta de administrador, de preferência algo exclusivo e não relacionado ao nome do seu site.

Por último, vá até o final da página e clique no botão Atualizar Perfil botão para salvar as alterações. O WordPress atualizará automaticamente o nome de usuário do administrador.

Alterar o nome de usuário do administrador não afetará o conteúdo ou as configurações do seu site. A única alteração será no nome de usuário para acessar o painel de administração.

Altere o URL padrão “wp-login”

Todo mundo sabe que o URL de login padrão de um site com WordPress normalmente termina com “wp-login”. 

No entanto, você precisará alterar esse padrão de URL para tornar mais difícil para as pessoas acessarem seu URL de login e muito menos tentarem usar seus detalhes de login.

Para alterar o URL “wp-login” padrão, siga estas etapas:

• Instale e ative o “WPS Hide Login”Plugin do diretório de plug-ins do WordPress.
• Após a ativação, navegue até Configurações → WPS Ocultar login, e isso o levará ao final das configurações gerais do seu site WordPress.
• Em seguida, adicione um URL de login personalizado que seja exclusivo e difícil de adivinhar.

•  Em seguida, salve as alterações e o plugin atualizará automaticamente o URL de login.

Depois que o URL de login personalizado for definido, você precisará acessar o novo URL para fazer login no painel de administração do WordPress. O URL padrão “wp-login” não estará mais acessível.

Recomenda-se que a escolha de um URL de login personalizado seja fácil de lembrar, mas difícil para outras pessoas adivinharem. 

Analise regularmente o seu site

Para manter seu site WordPress seguro, é essencial verificar regularmente possíveis ameaças à segurança, malware ou atividades suspeitas. Esta medida proativa ajuda a manter a integridade do seu site.

Instale e ative um plugin de segurança como Sucuri de Segurança do diretório de plug-ins do WordPress para realizar verificações regulares. 

Após a ativação, navegue até Segurança Sucuri → Painel, onde você pode iniciar verificações. O plugin realiza verificações diárias por padrão, mas você pode personalizar a frequência nas configurações.

Após cada verificação, revise os resultados fornecidos pelo plug-in e execute as ações necessárias com base nas descobertas. Este monitoramento de rotina garante a segurança contínua do seu site WordPress.

Alguns resultados da verificação podem envolver a remoção de malware, a atualização de plug-ins ou temas ou a solução de vulnerabilidades identificadas.

Sempre verifique as atividades do site e do usuário

Monitorar as atividades do site e do usuário é crucial para garantir a segurança do seu site WordPress. 

Ao acompanhar as ações realizadas em seu site, você pode detectar imediatamente quaisquer atividades suspeitas ou não autorizadas e tomar as medidas necessárias para resolvê-las de forma eficaz.

Para monitorar as atividades do site, você pode utilizar o Registros de Auditoria recurso do plugin Sucuri. Acesse o painel da Sucuri e role para baixo até localizar o Registros de Auditoria aba. 

Esses registros mostrarão detalhes como tentativas de login, modificações de arquivos, instalações de plugins e muito mais.

Além disso, você pode navegar até o Últimos logins seção para verificar e rastrear as atividades de login do seu site, incluindo tentativas bem-sucedidas e malsucedidas.

Se você detectar alguma atividade suspeita, tome medidas imediatas para investigar e mitigar possíveis riscos de segurança.

Outra opção é utilizar um plugin independente chamado 'História simples' para monitorar os registros de atividades do seu site. Esta ferramenta fornece informações valiosas sobre as ações do usuário e ajuda a manter um ambiente WordPress seguro.

Configure um sistema para alertas de segurança

Configurar um sistema de alertas de segurança garante que você receba notificações oportunas sobre possíveis problemas ou alterações de segurança em seu site WordPress. 

Ao receber alertas imediatamente, você pode resolver imediatamente quaisquer ameaças ou vulnerabilidades.

Você pode usar o Alertas recurso no plugin Sucuri para receber alertas de atividade do seu site. Navegue até o Configurações seção e selecione o Alertas aba.

No Alertas aba, adicione o e-mail para recebimento de alertas, defina a frequência e especifique o tipo de alerta de segurança.

Verifique se os detalhes de contato fornecidos para notificações de alerta estão corretos e atualizados. Esse recurso também é comumente encontrado em outros plug-ins de segurança.

2.3 Medidas Avançadas de Segurança

Vamos agora explorar algumas medidas de segurança avançadas que você pode tomar para aumentar a segurança do seu site WordPress. 

Configure o bloqueio geográfico para bloquear IPs

A implementação do bloqueio GEO em seu site WordPress permite restringir o acesso de países ou regiões específicas, bloqueando endereços IP associados a esses locais. 

Isso pode ajudar a aumentar a segurança do seu site, impedindo o acesso de possíveis agentes mal-intencionados ou regiões de alto risco.

Você pode bloquear IPs através do painel do WordPress, cPanel, plugin do WordPress, .htaccess e arquivo config.php.

O bloqueio GEO pode bloquear efetivamente o acesso de regiões específicas, mas pode não ser infalível. 

Alguns endereços IP podem ser atribuídos dinamicamente ou facilmente falsificados, por isso recomendamos o uso do bloqueio GEO com outras medidas de segurança.

Habilitar proteção de firewall de aplicativos da Web

Um Web Application Firewall (WAF) atua como uma barreira protetora entre o seu site e ameaças potenciais, filtrando o tráfego malicioso e bloqueando padrões de ataque conhecidos.

Você pode ativar a opção de proteção WAF gratuitamente usando o Plug-in de segurança do Wordfence. Então você precisará instalar e ativar o plugin em seu site wordpress.

Após a ativação, navegue até Wordfence → Firewall e habilite o Firewall Wordfence. Em seguida, gerencie as configurações do firewall de acordo com suas preferências, como ativar as regras WAF e opções avançadas de firewall.

Depois disso, salve as configurações e o plugin Wordfence começará a fornecer proteção WAF para o seu site.

Ao habilitar o Wordfence WAF, seu site estará protegido contra ameaças de segurança comuns, como injeções de SQL, ataques de script entre sites (XSS) e tentativas de login de força bruta. 

O WAF monitora e filtra continuamente o tráfego de entrada para bloquear solicitações maliciosas antes que cheguem ao seu site.

Desativar trackbacks e pingbacks

Trackbacks e pingbacks são métodos que o WordPress usa para notificar outros sites quando seu site está vinculado ao conteúdo deles. No entanto, eles podem ser abusados ​​por spammers para fins maliciosos.

Para desativar trackbacks e pingbacks, siga estas etapas:

• Faça login no painel de administração do WordPress.
• Navegue até a seção “Configurações” e clique em “Discussão”.
• Na seção “Configurações de postagem padrão”, desmarque a caixa ao lado de “Permitir notificações de links de outros blogs (pingbacks e trackbacks) em novas postagens”.

• Role para baixo e clique no botão Salvar alterações botão.

Desativar trackbacks e pingbacks evita que seu site WordPress envie ou receba essas notificações. 

Isso ajuda a reduzir a carga desnecessária do servidor e possíveis riscos de segurança associados a spam ou solicitações maliciosas de trackback/pingback.

Configure permissões de arquivo precisas

As permissões de arquivo determinam o nível de acesso e controle que diferentes usuários ou processos têm sobre os arquivos e diretórios do seu site. 

Quando as permissões de arquivo são configuradas corretamente, você pode limitar o acesso não autorizado e evitar possíveis violações de segurança.

Para configurar permissões de arquivo precisas para o seu site WordPress, siga estas diretrizes gerais:

•  Use um cliente FTP ou painel de controle de hospedagem para acessar os arquivos do seu site.
• Identifique os principais diretórios e arquivos que precisam de ajuste de permissões, como o diretório wp-content, arquivo wp-config.php e arquivo .htaccess.
• Defina as permissões de 'diretório' como 755, o que permite ao proprietário ler, gravar e executar arquivos, enquanto restringe outros a apenas ler e executar.

• Defina as permissões de 'arquivo' como 644, o que permite ao proprietário ler e gravar arquivos enquanto restringe outros ao somente leitura.
• Para arquivos mais confidenciais, como o arquivo wp-config.php, defina as permissões para 600, o que concede apenas acesso de leitura e gravação ao proprietário.

Esta é apenas uma configuração geral, portanto, entre em contato com o suporte do seu provedor de hospedagem para obter orientações específicas, pois as permissões de arquivo recomendadas podem variar em diferentes ambientes de hospedagem.

Desativar relatórios de erros

Desabilitar o relatório de erros é uma prática de segurança importante que ajuda a proteger o seu site WordPress, evitando a exposição potencial de informações confidenciais a invasores.

Os logs de erros podem revelar inadvertidamente detalhes sobre a configuração do seu site ou o código subjacente, que pode ser explorado por indivíduos mal-intencionados.

Para desativar o relatório de erros, siga estas etapas:

•  Acesse o diretório raiz do seu site através de um cliente FTP ou cPanel.
• No diretório raiz ou public_html, encontre o arquivo wp-config.php.
• Baixe uma cópia de backup do arquivo wp-config.php por segurança.
• Clique com o botão direito no arquivo wp-config.php e escolha ‘Editar’ para abri-lo.
• Localize a linha que diz define('WP_DEBUG', true);
• Substitua 'true' por 'false', tornando-o define('WP_DEBUG,' false); como mostrado abaixo.

• Certifique-se de salvar suas alterações após modificar o arquivo wp-config.php.

Desativar o relatório de log de erros evita que possíveis mensagens de erro ou avisos sejam exibidos aos usuários, incluindo informações confidenciais que podem ser úteis para invasores.

No entanto, desabilitar o relatório de erros não significa que você deva ignorar totalmente os erros. Você ainda deve monitorar seu site em busca de quaisquer problemas e resolvê-los imediatamente.

Proteja seu arquivo wp-config.php

O arquivo wp-config.php é um componente crítico da instalação do WordPress, pois contém informações confidenciais, como credenciais de banco de dados e chaves de segurança. 

Tomar medidas para proteger este arquivo é essencial para proteger seu site WordPress de possíveis violações de segurança.

Aqui estão algumas medidas recomendadas para proteger seu arquivo wp-config.php:

1. Considere mover o arquivo wp-config.php para um diretório fora da pasta raiz da web. Isso impede o acesso direto ao arquivo pela Internet, tornando mais difícil para os invasores explorarem quaisquer vulnerabilidades.
2. Certifique-se de que as permissões do arquivo wp-config.php estejam configuradas corretamente usando as permissões recomendadas discutidas anteriormente.
3. Ao configurar seu site WordPress, use credenciais de banco de dados fortes, exclusivas e complexas. Isso inclui o uso de um nome de usuário e senha de banco de dados fortes.
4. Adicione mais proteção ao arquivo wp-config.php adicionando as seguintes regras ao arquivo .htaccess do seu site. 

<files wp-config.php>
order allow,deny
deny from all
</files>

Essas regras podem negar acesso ao arquivo para todos os endereços IP.

Desative a execução de arquivos PHP em determinados diretórios do WordPress

Você também pode aumentar a segurança do seu site WordPress desativando a execução de arquivos PHP em diretórios específicos. Isso ajuda a evitar que arquivos PHP nesses diretórios sejam executados ou executados em seu site.

Para desabilitar a execução do arquivo PHP, modifique o arquivo .htaccess nos diretórios de destino, geralmente onde reside o conteúdo gerado pelo usuário, como o wp-content/uploads diretório. 

Você pode fazer isso abrindo o arquivo .htaccess em um editor de texto e adicionando as seguintes linhas:

<Files *.php>
deny from all
</Files>

Em seguida, salve este arquivo como .htaccess e carregue-o em /wp-content/uploads/ pastas em seu site usando um cliente FTP ou gerenciador de arquivos.

Essas linhas instruem o servidor a negar acesso a qualquer arquivo com extensão .php dentro do diretório especificado.

Alternativamente, você pode fazer isso com 1 clique usando o recurso Hardening no plugin Sucuri mencionado acima.

2.4 Medidas de segurança adicionais

Deixe-nos discutir as medidas de segurança adicionais que você pode tomar para proteger ainda mais um site WordPress. 

Desconectar automaticamente usuários ociosos no WordPress

Quando os usuários permanecem logados, mas inativos por um determinado período, existe o risco de acesso não autorizado ou adulteração da conta. 

Portanto, você precisará desconectar usuários ociosos para mitigar essa vulnerabilidade de segurança.

Para fazer isso, você precisará instalar e ativar o Logout inativo plugar. Após a ativação, vá para Configurações → Logout inativo para definir as configurações do plug-in.

Ao desconectar automaticamente usuários ociosos, você reduz o risco de suas sessões serem invadidas ou de alterações não autorizadas serem feitas em suas contas. 

Isto é particularmente importante para sites que lidam com informações confidenciais ou possuem contas de usuário com privilégios administrativos.

Ocultar a versão do WordPress

Exibir publicamente a versão do WordPress pode tornar mais fácil para os invasores atacarem vulnerabilidades associadas a essa versão específica do WordPress.

Para ocultar a versão do WordPress, modifique o arquivo functions.php do seu tema ou use um plugin de segurança. 

Existem alguns métodos diferentes disponíveis, mas recomendamos consultar nosso guia sobre como ocultar a versão do WordPress para instruções detalhadas.

Oculte o nome do tema do seu site WordPress

Quando os invasores conseguem identificar facilmente o tema WordPress que você está usando em seu site, fica mais fácil para eles explorar quaisquer vulnerabilidades conhecidas associadas a esse tema.

Ao ocultar o nome do tema, você torna mais difícil para os invasores coletar informações sobre a configuração do seu site e potencialmente explorar quaisquer pontos fracos. Isso adiciona uma camada extra de segurança ao seu site WordPress.

Para ocultar o nome do tema do seu site, siga nosso guia passo a passo em como ocultar o nome de um tema WordPress.

Desative a edição de arquivos no painel do WordPress

O WordPress possui um editor de código integrado que permite editar seus arquivos de tema e plug-in na área de administração do WordPress.

Se um hacker obtiver acesso não autorizado ao painel do WordPress, ele poderá tentar modificar determinados arquivos injetando código malicioso. 

Portanto, aconselhamos desativar o recurso, pois pode representar uma ameaça à segurança. Para fazer isso, você precisará adicionar o seguinte código ao arquivo do seu site wp-config.php arquivo.

// Disallow file edit

define( 'DISALLOW_FILE_EDIT', true );

Depois que essa mudança for implementada, os usuários com acesso de administrador não poderão mais acessar o editor de temas e plug-ins no painel de administração do WordPress.

Mas mesmo depois de desabilitar esta edição de arquivo, você ainda pode fazer alterações em seus arquivos de tema e plugin acessando-os através de FTP ou Gerenciador de Arquivos.

Altere o prefixo da tabela de banco de dados padrão

Por padrão, o WordPress usa o prefixo “wp_” para suas tabelas de banco de dados, o que pode tornar mais fácil para os invasores identificarem e direcionarem seu site. 

Para aumentar a segurança, considere alterar o prefixo da tabela, tornando-a mais desafiadora para possíveis explorações.

Ajustar o prefixo envolve modificar o arquivo wp-config.php e o phpMyAdmin. Este processo manual corre o risco de quebrar o seu site se não for configurado corretamente. 

Portanto, recomendamos o uso do método plugin.

Então, instale e ative o Prefixo de banco de dados Brozzme e complementos de ferramentas plugar. Após a ativação, navegue até Ferramentas → PREFIXO DO BD.

Altere o prefixo da tabela do banco de dados no plug-in para uma combinação única e menos previsível de letras, números e sublinhado. Evite caracteres especiais ou espaços.

Antes de fazer alterações, faça backup do banco de dados do seu site. Certifique-se de que wp-config.php seja gravável em seu servidor e verifique se os direitos ALTER do MySQL estão habilitados para evitar possíveis problemas. 

Essa abordagem cautelosa garante uma transição mais tranquila com risco mínimo para a funcionalidade do seu site.

Após fazer os ajustes necessários, salve suas alterações clicando no botão Alterar prefixo do banco de dados botão.

Desative XML-RPC no WordPress

XML-RPC é um recurso do WordPress que facilita a conectividade entre seu site e aplicativos da web ou móveis. Foi habilitado automaticamente a partir do WordPress 3.5. 

No entanto, também pode servir como uma ferramenta potencial para amplificar ataques de força bruta ou DDoS em seu site.

Com o XML-RPC habilitado, um hacker pode usar uma única função para fazer múltiplas tentativas de login com milhares de senhas, ao contrário do que acontece sem ele, onde seriam necessárias tentativas separadas para cada senha. Isso representa um risco de segurança significativo.

Para evitar esse risco, é aconselhável desabilitar o XML-RPC se você não o estiver usando ativamente, adicionando código ao arquivo .htaccess do seu site. 

Acesse os arquivos do seu site usando um cliente FTP ou painel de controle de hospedagem, localize o arquivo .htaccess no diretório raiz e adicione o seguinte código:

# Disable XML-RPC
<Files xmlrpc.php>
    Order Deny,Allow
    Deny from all
</Files>

Mas se preferir não usar este método, você pode usar um plugin de segurança do WordPress como Simples desabilitar XML-RPC. 

Instale e ative o plugin, navegue até Simples desabilitar XML-RPC após a ativação, verifique o Desativar o XML-RPC opção e salve suas alterações.

Se você estiver usando o firewall de aplicativo da web mencionado anteriormente, o firewall poderá cuidar disso.

Desativar Hotlinking

Desativar o hotlinking é uma medida de segurança que ajuda a proteger a largura de banda do seu site e evita que outras pessoas criem links diretos para as imagens e outros arquivos de mídia do seu site. 

Hotlinking refere-se ao uso de URLs de imagem ou mídia hospedados em seu site em outros sites, usando os recursos do seu servidor sem sua permissão.

Para desabilitar facilmente o hotlinking, instale e ative o Segurança tudo-em-um (AIOS) Plug-in WordPress. 

Uma vez ativado, vá para Segurança WP → Segurança do sistema de arquivose escolha o Proteção de arquivo aba. Role para baixo e ligue o Impedir hotlinking de imagens seção, como mostrado abaixo.

Lembre-se de salvar suas configurações.

Desativar indexação e navegação de diretório

Desativar a indexação e navegação de diretórios é uma medida de segurança importante que impede o acesso não autorizado ao conteúdo dos diretórios do seu site. 

Por padrão, alguns servidores web permitem a indexação de diretórios, o que significa que se nenhum arquivo de índice (como index.html ou index.php) estiver presente em um diretório, o servidor exibirá uma lista de arquivos e pastas nesse diretório. 

Isso pode expor informações confidenciais e facilitar a identificação de vulnerabilidades pelos invasores.

Para evitar acesso não autorizado aos seus arquivos, cópia de imagens e revelação da estrutura de diretórios, é altamente recomendável desativar a indexação e navegação de diretórios.

Acesse os arquivos do seu site através de um cliente FTP ou painel de controle de hospedagem. No diretório raiz da instalação do WordPress, localize o arquivo .htaccess.

Abra o arquivo .htaccess em um editor de texto e acrescente o seguinte código no final:

# Disable Directory Indexing and Browsing
Options -Indexes

Salve as alterações no arquivo .htaccess e carregue-o de volta no seu servidor, substituindo o arquivo existente, se necessário. 

Use cabeçalhos de segurança

Os cabeçalhos de segurança instruem o navegador sobre como lidar com determinados aspectos do seu site, fornecendo proteção adicional contra vulnerabilidades de segurança comuns. 

Aqui estão alguns cabeçalhos de segurança comuns e seus benefícios:

•  O cabeçalho X-XSS-Protection bloqueia injeções de script maliciosas para evitar ataques de cross-site scripting (XSS). 
• O cabeçalho X-Content-Type-Options evita vulnerabilidades de segurança causadas pela detecção de tipo MIME. 
• O cabeçalho Strict-Transport-Security (HSTS) garante conexões seguras ao impor HTTPS. 
• O cabeçalho Content-Security-Policy (CSP) permite definir políticas de segurança para proteção contra vários ataques. 

Portanto, para implementar esses cabeçalhos de segurança em seu site WordPress, você precisará instalar e ativar o Gerador de cabeçalho de segurança plugin.

Após a instalação, navegue até o Cabeçalhos de segurança seção. Lá você pode marcar um tempo e configurar o plugin de acordo com sua preferência.

Ao implementar cabeçalhos de segurança, é essencial testar minuciosamente o seu site para garantir que eles não entrem em conflito com nenhuma funcionalidade existente, pois tendem a quebrar sites. 

Além disso, você pode usar ferramentas online como securityheaders.com para verificar a eficácia e a implementação correta de seus cabeçalhos de segurança.

Se você usar plug-ins de segurança como “All-In-One Security (AIOS)” ou “Wordfence”, poderá configurar facilmente os cabeçalhos de segurança do seu site usando suas opções, eliminando a necessidade do plug-in anterior.

3 Conclusão

Proteger o seu site WordPress é crucial para protegê-lo de possíveis ameaças e vulnerabilidades. 

Assim, instalar um plugin de segurança robusto como “All-In-One Security (AIOS)” pode ser útil, pois oferece uma ampla gama de recursos que abrangem a maioria das medidas de segurança discutidas nesta postagem. 

No entanto, apenas instalar um plugin de segurança não é suficiente. Você precisa reservar um tempo para revisar todas as opções disponíveis e personalizar as configurações do plugin para atender às suas necessidades. 

Mas, se você tiver requisitos de segurança exclusivos não cobertos pelo plug-in, considere instalar plug-ins adicionais ou utilizar códigos personalizados para atender a essas necessidades. 

É sempre uma boa prática fazer backup do seu site antes de fazer alterações no código ou ativar novos plug-ins para mitigar riscos. 

Além disso, atualizar regularmente seus plug-ins do WordPress, revisar avisos ou resultados e manter-se atualizado com as últimas notícias e práticas recomendadas de segurança pode reduzir significativamente o risco de violação de segurança.

Esta postagem ajudou você a proteger seu site WordPress? Se sim, sinta-se à vontade para compartilhar suas idéias por Tweetando para @rankmathseo. 

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://rankmath.com/blog/secure-wordpress-site/