Confira nesse material algumas práticas que contribuirão com a segurança de sua conta WordPress:
1 Medidas de segurança na Conexão
✓ Faça uma conexão segura
- Evite acessar sua conta WordPress em wi-fi abertos ou públicos, nessas situações opte em se conectar no 3G/4G do seu celular;
- Dê preferência para uma conexão via cabo;
- Se sua conexão for via wi-fi, utilize um dos seguintes protocolos de segurança: WPA-2, WPA ou WEP;
- Sempre altere a senha padrão do roteador por uma senha complexa e segura;
- Se a sua conexão wi-fi estiver como WPS faça a desativação.
✓ Evite navegar em um proxy gratuito ou pago
Todo o tráfego passa por um servidor desconhecido, e alguns proxies são utilizados para espionar o tráfego que passar por eles para roubar dados privados.
✓ Mantenha seu computador e sistemas seguros
- Utilize um antivírus em sua máquina e faça uso de um firewall atualizado, como também execute uma varredura semanal completa em sua máquina;
- Mantenha seu sistema operacional atualizado;
- Não instale aplicativos de origem suspeita, tais como softwares gratuitos, piratas, etc. Faça a análise das recomendações observando as avaliações das ferramentas;
- Não abra anexo de emails com remetentes desconhecidos.
✓ Utilize SSL para criptografar dados
Instale um certificado SSL em seu domínio, para que os dados sejam criptografados ao acessar o seu site.
2 Medidas de proteção ao Login WordPress
✓ Não use o usuário administrador para acessar o WordPress
A instalação padrão do WordPress vem com o usuário chamado "admin". Se esse for o nome do usuário do seu site WordPress, significará que seu site estará vulnerável a ataque de hackers - o usuário "admin" deve ser evitado sempre.
✓ Altere o link da página de login do seu WordPress e use uma senha segura
- Para contribuir com a segurança do seu site em WordPress personalize a url padrão da página de login "/wp-admin"
- Use uma senha segura que contenha letras maiúsculas, minúsculas, números e caracteres especiais (-,*,:,@, # e etc) e que possua um comprimento de 12 ou mais caracteres.
- Altere sua senha a cada 30 dias, use o plugin Expire Passwords
- Evite usar variações do seu nome, sua empresa, seu site, etc.
✓ Oculte mensagens de erro de acesso no login
- Mensagens de erro de login podem induzir o hacker a saber quando um nome de usuário está certo/errado - facilitando a invasão;
- Para ocultar mensagens de erro de login, insira o seguinte código em funcions.php
add_filter( 'login_errors', '__return_false' );
✓ Limite tentativas de acesso
- Instale o plugin Loginizer para evitar tentativas massivas de acesso;
- Use um Captcha para evitar o acesso de máquinas automáticas, você poderá solicitar reCaptcha do Google ou também utilizar o plugin All In One WP Security & Firewall
3 Medidas de segurança em pastas e arquivos
✓ Mantenha o diretório wp-admin protegido
Manter a pasta "wp-admin" protegida através de um usuário e senha, adicionando uma camada extra de proteção. Há algumas formas de fazer isso:
- Instalando o plugin HTTP Auth do WordPress
- Ou, caso tenha acesso ao cPanel, é possível realizar o procedimento do material "Como proteger diretórios com senhas?"
✓ Proteja os arquivos e pastas do seu WordPress
Expor os diretórios e arquivos, deixando-os acessíveis ao público, torna o site vulnerável para invasões.
Verifique se os diretórios estão bem protegidos, digite a seguinte URL na barra de pesquisa do seu navegador (substitua "seudominio.com.br" pelo seu próprio domínio):
http://www.seudominio.com.br/wp-includes/
- Se o Link digitado direcionar para um página em branco ou para a página inicial do site, você estará seguro!
- Entretanto caso o link direcione para uma página semelhante à imagem a seguir, significará que o seu site não estará seguro:
✓ Desative o XMLRPC
O XMLRPC no WordPress é um ponto de entrada comum de ataque, por isso é preciso desabilitá-lo quando seu site não requer XMLRPC.
Você pode restringir o terminal XMLRPC a determinados IPs, caso seja necessário, use:
Apache
<Files xmlrpc.php>
order deny,allow
allow from 192.0.64.0/18
deny from all
</Files>
Nginx
location = /xmlrpc.php {
allow 192.0.64.0/18;
deny all;
access_log off;
}
4 Medidas de segurança ao utilizar Plugins
✓ Use plugins e temas oficiais (wordpress.org)
Não utilize plugins e temas de redes P2P ou eMule, gerenciador de download e etc, pois há grande possibilidade de estarem infectados por vírus e malwares.
✓ Instale plugins de segurança
- Verificação de arquivos básicos: WordFence (inglês);
- Correção de falhas comuns e fortalecimento de credenciais do usuário: iThemes Security (inglês);
- Verificação de malwares: BulletProof Security (inglês)
✓ Atualize os plugins instalados e temas
- O WordPress avisa sobre as atualizações, entretanto caso seu plugin não esteja no diretório oficial, o WordPress não conseguirá identificar automaticamente as atualizações disponíveis;
- Desinstale plugins e temas que não usa;
- Procure usar plugins e temas recentes.
5 Medidas extras de segurança
✓ Evite o cadastro de usuários
- Desative a caixa de seleção “Qualquer um pode se registrar” (Localizado em Configurações, na aba Geral de sua conta WordPress);
- Caso seja necessário permitir os registros de usuários em seu WordPress, procure utilizar plugins como WangGuard para detectar e eliminar ameaças de spam e malwares.
✓ Não use o prefixo wp_ para banco de dados
O prefixo padrão oferecido é wp_, o que torna mais fácil para usuários mal intencionados planejar um ataque massivo. Caso já tenha instalado dessa forma, há como alterar o prefixo com o plugin Change DB Prefix (Realize um backup do seu banco de dados antes de fazer qualquer alteração).
✓ Adicione os cabeçalhos x-content-type, x-frame-opções e x-xss-protection
A adição de cabeçalhos de segurança HTTP adicionará uma camada de segurança extra ao site, colaborando para reduzir ataques. Os cabeçalhos instruirão o navegador a se comportar em determinada direção definida nos cabeçalhos.
✓ Realize backups periódicos e automatizados
Mantenha cópias de segurança do seu em WordPress, essa ação de prevenção, evita a perda de arquivos caso ocorra uma invasão - pois você ainda terá os arquivos de backup limpos para reverter.
✓ Verifique a integridade do seu WordPress no Google Console
Acesse o Search Console do Google e pesquise o seu domínio com a instalação WordPress;
Veja o vídeo do procedimento: