Confira algumas práticas essenciais para garantir a segurança da sua conta WordPress:
1. Medidas de segurança na conexão:
✓ Sempre opte por fazer uma conexão segura.
- Evite acessar sua conta WordPress em redes Wi-Fi abertas ou públicas. Em vez disso, prefira se conectar através do 3G/4G do seu celular.
- Se utilizar Wi-Fi, certifique-se de utilizar protocolos de segurança como WPA-2, WPA ou WEP.
- Altere a senha padrão do seu roteador por uma senha complexa e segura.
- Desative a opção WPS caso esteja habilitada na sua conexão Wi-Fi.
✓ Evite navegar usando um proxy gratuito ou pago:
- O tráfego passa por servidores desconhecidos, e alguns proxies podem ser usados para espionar e roubar dados privados.
✓ Mantenha seu computador e sistemas seguros:
- Utilize um antivírus em seu computador e mantenha-o atualizado.
- Tenha um firewall atualizado para proteger sua máquina.
- Faça varreduras semanais completas em seu computador.
- Mantenha o sistema operacional sempre atualizado.
- Evite instalar aplicativos de origem suspeita, como softwares gratuitos ou piratas. Verifique as avaliações e recomendações antes de instalar qualquer ferramenta.
- Não abra anexos de e-mails de remetentes desconhecidos.
✓ Utilize SSL para criptografar dados:
- Instale um certificado SSL em seu domínio para garantir a criptografia dos dados ao acessar o seu site.
Ao seguir essas práticas de segurança, você estará contribuindo significativamente para proteger sua conta WordPress contra possíveis ameaças e ataques cibernéticos. Mantenha-se atualizado e adote medidas preventivas para garantir a segurança dos seus dados e do seu site.
2. Medidas de proteção para o login no WordPress:
✓ Evite usar o usuário administrador para acessar o WordPress:
- A instalação padrão do WordPress cria um usuário chamado “admin”. No entanto, utilizar esse nome de usuário torna o seu site mais vulnerável a ataques de hackers. Sempre evite usar o nome de usuário “admin” em seu site.
✓ Altere o link da página de login e use uma senha segura:
- Personalize a URL padrão da página de login “/wp-admin” para dificultar o acesso de invasores.
- Utilize uma senha segura que contenha letras maiúsculas, minúsculas, números e caracteres especiais, com um comprimento de 12 caracteres ou mais.
- Altere sua senha regularmente, a cada 30 dias, e utilize o plugin “Expire Passwords” para facilitar o processo.
- Evite usar variações do seu nome, nome da empresa ou nome do site como senha.
✓ Oculte mensagens de erro de acesso no login:
- As mensagens de erro exibidas no login podem fornecer informações aos hackers sobre a validade dos nomes de usuário, facilitando possíveis invasões.
- Para ocultar as mensagens de erro de acesso no login, insira o seguinte código no arquivo “functions.php”:
function hide_login_errors() {
return '<strong>Erro:</strong> Ocorreu um erro ao fazer login.';
}
add_filter('login_errors', 'hide_login_errors');Implementando essas medidas de proteção, você estará fortalecendo a segurança do seu site WordPress e reduzindo os riscos de acesso não autorizado. Lembre-se sempre de adotar boas práticas de segurança para garantir a proteção dos seus dados e do seu site.
✓ Limite tentativas de acesso
- Instale o plugin Loginizer para evitar tentativas massivas de acesso;
- Use um Captcha para evitar o acesso de máquinas automáticas, você poderá solicitar reCaptcha do Google ou também utilizar o plugin All In One WP Security & Firewall
3. Medidas de segurança em pastas e arquivos:
✓ Mantenha o diretório “wp-admin” protegido:
- Uma maneira eficaz de aumentar a segurança é proteger a pasta “wp-admin” com um usuário e senha adicionais. Você pode fazer isso de duas maneiras:
- Instale o plugin HTTP Auth do WordPress.
- Se você tiver acesso ao cPanel, siga as instruções do artigo “Como proteger diretórios com senhas?” para adicionar autenticação de senha ao diretório.
✓ Proteja os arquivos e pastas do seu WordPress:
- Expor diretórios e arquivos, tornando-os acessíveis ao público, pode deixar o seu site vulnerável a invasões.
- Verifique se os diretórios estão protegidos digitando a seguinte URL na barra de pesquisa do seu navegador (substitua “seudominio.com.br” pelo seu próprio domínio):
http://www.seudominio.com.br/wp-includes/ - Se o link redirecionar para uma página em branco ou para a página inicial do site, isso significa que os diretórios estão protegidos e você está seguro.
✓ Desative o XMLRPC:
- O XMLRPC no WordPress é um ponto comum de entrada para ataques, portanto, é importante desativá-lo se o seu site não precisa utilizá-lo.
- Você pode restringir o acesso ao XMLRPC a determinados IPs, se necessário. Use as seguintes configurações de acordo com o seu servidor:
Apache:
<Files xmlrpc.php>
order deny,allow
allow from 192.0.64.0/18
deny from all
</Files>Nginx:
location = /xmlrpc.php {
allow 192.0.64.0/18;
deny all;
access_log off;
}Ao implementar essas medidas de segurança em pastas e arquivos, você estará fortalecendo a proteção do seu site WordPress e reduzindo os riscos de acesso não autorizado ou ataques maliciosos.
4. Medidas de segurança ao utilizar Plugins:
✓ Use plugins e temas oficiais (wordpress.org):
- Evite utilizar plugins e temas obtidos de redes P2P, eMule, gerenciadores de download e outros canais não confiáveis, pois existe uma grande possibilidade de estarem infectados por vírus e malwares.
- Opte por baixar plugins e temas apenas do repositório oficial do WordPress (wordpress.org) para garantir sua segurança e qualidade.
✓ Instale plugins de segurança:
- Utilize plugins que auxiliem na segurança do seu site WordPress. Alguns exemplos incluem:
- Verificação de arquivos básicos: WordFence.
- Correção de falhas comuns e fortalecimento de credenciais do usuário: iThemes Security.
- Verificação de malwares: BulletProof Security.
✓ Mantenha os plugins e temas atualizados:
- O WordPress geralmente notifica sobre as atualizações disponíveis, mas para plugins instalados fora do diretório oficial, essas atualizações podem não ser identificadas automaticamente pelo WordPress.
- Desinstale plugins e temas que não estão sendo utilizados para reduzir possíveis vulnerabilidades.
- Procure utilizar plugins e temas que estejam atualizados e sejam compatíveis com a versão mais recente do WordPress.
Ao seguir essas medidas de segurança ao utilizar plugins, você estará minimizando os riscos de utilizar software malicioso ou desatualizado, mantendo seu site protegido contra possíveis vulnerabilidades e ataques.
5. Medidas extras de segurança:
✓ Evite o cadastro de usuários:
- Desative a opção “Qualquer um pode se registrar” nas configurações gerais da sua conta WordPress para evitar o registro de usuários indesejados.
- Caso seja necessário permitir o registro de usuários, utilize plugins como o WangGuard para detectar e eliminar ameaças de spam e malwares.
✓ Não use o prefixo wp_ para o banco de dados:
- O prefixo padrão do banco de dados do WordPress é wp_, o que facilita ataques massivos por usuários mal-intencionados. Recomenda-se alterar o prefixo usando o plugin Change DB Prefix (faça um backup do banco de dados antes de fazer qualquer alteração).
✓ Adicione os cabeçalhos x-content-type, x-frame-options e x-xss-protection:
- Adicionar cabeçalhos de segurança HTTP fornecerá uma camada extra de proteção ao seu site, ajudando a reduzir ataques. Esses cabeçalhos instruem o navegador a se comportar de acordo com as diretrizes definidas nos cabeçalhos.
✓ Realize backups periódicos e automatizados:
- Mantenha cópias de segurança do seu site WordPress regularmente. Essa prática preventiva evita a perda de arquivos em caso de invasão, pois você terá backups limpos para restaurar.
✓ Verifique a integridade do seu WordPress no Google Console:
- Acesse o Google Search Console e verifique a integridade do seu site WordPress. Isso permite identificar possíveis problemas de segurança e tomar medidas corretivas adequadas.
Implementar essas medidas extras de segurança ajudará a fortalecer a proteção do seu site WordPress, reduzindo a exposição a ameaças e ataques cibernéticos.