A segurança do WordPress é um tópico de grande importância para todos os proprietários do site. O Google lista negra cerca de 10.000 sites todos os dias para malware e cerca de 50.000 para phishing a cada semana. Se você está falando sério sobre seu site, então você precisa prestar atenção às práticas recomendadas de segurança do WordPress.

Embora o software principal do WordPress seja muito seguro e seja auditado regularmente por centenas de desenvolvedores, há muito que pode ser feito para manter seu site seguro. A segurança não é apenas sobre eliminação de risco. É também sobre redução de risco. Como proprietário de um site, há muito que você pode fazer para melhorar sua segurança do WordPress (mesmo que você não seja técnico-experiente).

Temos uma série de medidas acionáveis que você pode tomar para proteger seu site contra vulnerabilidades de segurança.

Noções Básicas de Segurança wordpress

Por que a segurança do WordPress é tão importante?

Em seu núcleo o WordPress é muito seguro, o CMS é auditado por centenas de codificadores especialistas que escrevem segurança no WordPress. Noentanto, o WordPress ainda pode ser hackeado e muitas vezes é devido à falta de práticas básicas de segurança.

Os sites WordPress que são hackeados podem ser muito prejudiciais para o proprietário, pois inevitavelmente leva a uma perda de reputação, ao mesmo tempo em que leva a perdas financeiras. Um hacker pode roubar um negócio de seus dados confidenciais do usuário, pode instalar um software que leva a mais danos na estrada ou até mesmo instalar programas maliciosos nos PCs do seu usuário.

O Google desempenha um papel forte no policiamento de sites. Primeiro, ele pode excluir sites potencialmente hackeados dos resultados de pesquisa – e, de fato, ele lista dezenas de milhares de sites todas as semanas. O Google também adverte os usuários para longe dos sites infectados exibindo um aviso no Chrome. Os avisos resultantes podem levar a uma enorme queda no tráfego para os proprietários de sites.

A responsabilidade de garantir um site é, claro, com o proprietário do site. Não é diferente da segurança empresarial em um local físico de negócios. Essencialmente, seu site é o seu local e você precisa garantir que ele esteja protegido.

Mantendo o WordPress atualizado

WordPress é um softwaredecódigo aberto queé regularmente mantido e atualizado. Por padrão, o WordPress instala automaticamente pequenas atualizações. Para versões principais, você precisa iniciar manualmente a atualização.

O WordPress também vem com milhares de plugins e temas que você pode instalar em seu site. Esses plugins e temas são mantidos por desenvolvedores de terceiros que também liberam atualizações regularmente.

Essas atualizações do WordPress são cruciais para a segurança e estabilidade do seu site WordPress. Você precisa ter certeza de que seu núcleo WordPress, plugins e tema estão atualizados.

Senhas fortes e permissões de usuário

As tentativas de hacking mais comuns do WordPress para usar senhas roubadas. Você pode dificultar isso usando senhas mais fortes que são exclusivas para o seu site. Não apenas para a área de administração do WordPress, mas também para contas FTP, banco de dados, conta de hospedagem WordPress e seus endereços de e-mail personalizados que usam o nome de domínio do seu site.

Muitos iniciantes não gostam de usar senhas fortes porque são difíceis de lembrar. O bom é que você não precisa mais lembrar senhas. Você pode usar um gerenciador de senhas.

Outra maneira de reduzir o risco é não dar a ninguém acesso à sua conta administrativa WordPress, a menos que você absolutamente precise. Se você tiver uma grande equipe ou autores convidados, certifique-se de entender as funções e recursos do usuário no WordPress antes de adicionar novas contas de usuário e autores ao seu site WordPress.

O papel da hospedagem wordpress

Seu serviço de hospedagem WordPress desempenha o papel mais importante na segurança do seu site WordPress. Um bom provedor de hospedagem compartilhada como Bluehost ou Siteground toma as medidas extras para proteger seus servidores contra ameaças comuns.

Veja como uma boa empresa de hospedagem web funciona em segundo plano para proteger seus sites e dados.

· Eles monitoram continuamente sua rede para atividades suspeitas

· Todas as boas empresas de hospedagem têm ferramentas para evitar ataques DDOS em larga escala

· Eles mantêm seu software de servidor e hardware atualizados para evitar que hackers explorem uma vulnerabilidade de segurança conhecida em uma versão antiga

· Eles estão prontos para implantar planos de recuperação de desastres e acidentes que lhes permite proteger seus dados em caso de um grande acidente

Em um plano de hospedagem compartilhada, você compartilha os recursos do servidor com muitos outros clientes. Isso abre o risco de contaminação entre sites onde um hacker pode usar um site vizinho para atacar seu site.

O uso de um serviço gerenciado de hospedagem WordPress fornece uma plataforma mais segura para o seu site. As empresas de hospedagem gerenciadas do WordPress oferecem backups automáticos, atualizações automáticas do WordPress e configurações de segurança mais avançadas para proteger seu site.

Segurança wordpress em passos fáceis (sem codificação)

Sabemos que melhorar a segurança do WordPress pode ser um pensamento aterrorizante para iniciantes. Especialmente se você não é técnico. Aprenderemos como você pode melhorar sua segurança do WordPress com apenas alguns cliques (sem necessidade de codificação).

Se você pode apontar e clicar, você pode fazer isso!

Instale uma solução de backup WordPress

Backups são sua primeira defesa contra qualquer ataque WordPress. Lembre-se, nada é 100% seguro. Se sites do governo podem ser hackeados, então os seus também podem.

Os backups permitem que você restaure rapidamente seu site WordPress no caso de algo ruim acontecer.

Existem muitos plugins de backup WordPress gratuitos e pagos que você pode usar. A coisa mais importante que você precisa saber quando se trata de backups é que você deve salvar regularmente backups completos em um local remoto (não sua conta de hospedagem).

Recomendamos armazená-lo em um serviço de nuvem como Amazon, Dropbox ou nuvens privadas como stash.

Com base na frequência com que você atualiza seu site, a configuração ideal pode ser uma vez por dia ou backups em tempo real.

Felizmente, isso pode ser facilmente feito usando plugins como VaultPress ou UpdraftPlus. Ambos são confiáveis e, mais importante, fáceis de usar (sem necessidade de codificação).

Melhor plugin de segurança WordPress

Após backups, a próxima coisa que precisamos fazer é configurar um sistema de auditoria e monitoramento que mantenha o controle de tudo o que acontece em seu site.

Isso inclui monitoramento de integridade de arquivos, tentativas de login com falha, varredura de malware, etc.

Felizmente, isso pode ser resolvido pelo melhor plugin de segurança wordpress gratuito, o Scanner Sucuri.

Você precisa instalar e ativar o plugin gratuito sucuri security.

Após a ativação, você precisa ir ao menu Sucuri em seu administrador WordPress. A primeira coisa que você será solicitado a fazer é gerar uma chave de API gratuita. Isso permite o registro de auditoria, verificação de integridade, alertas de e-mail e outros recursos importantes.

A próxima coisa que você precisa fazer éclicar na guia 'Endurecimento' do menu de configurações. Passe por todas as opções e clique no botão "Aplicar endurecimento".

Essas opções ajudam você a bloquear as áreas-chave que os hackers geralmente usam em seus ataques. A única coisa que recomendamos personalizar são os 'Alertas de E-mail'.

As configurações de alerta padrão podem confundir sua caixa de entrada com e-mails. Recomendamos receber alertas para ações-chave como alterações nos plugins, novo registro de usuários, etc. Você pode configurar os alertas indo para Sucuri Settings » Alertas.

Este plugin de segurança WordPress é muito poderoso, então navegue por todas as guias e configurações para ver tudo o que ele faz, como varredura de malware, registros de auditoria, rastreamento de tentativa de login falhado, etc.

Habilitar o Firewall de Aplicativos Web (WAF)

A maneira mais fácil de proteger seu site e ter confiança sobre a segurança do WordPress é usando um firewall de aplicativo web (WAF).

Um firewall de site bloqueia todo o tráfego malicioso antes mesmo de chegar ao seu site.

Firewall de sites de nível DNS – Esses firewalls roteiam o tráfego do seu site através de seus servidores proxy na nuvem. Isso permite que eles enviem apenas tráfego genuíno para o seu servidor web.

Firewall de nível de aplicativo – Esses plugins de firewall examinam o tráfego assim que ele chega ao servidor, mas antes de carregar a maioria dos scripts do WordPress. Este método não é tão eficiente quanto o firewall de nível DNS na redução da carga do servidor.

A melhor parte sobre o firewall da Sucuri é que ele também vem com uma garantia de limpeza de malware e remoção na lista negra. Basicamente, se você fosse hackeado sob o relógio deles, eles garantem que eles vão corrigir o seu site (não importa quantas páginas você tenha). Esta é uma garantia muito forte porque reparar sites hackeados é caro.

Mova seu site wordpress para SSL/HTTPS

SSL (Secure Sockets Layer) é um protocolo que criptografa a transferência de dados entre seu site e um navegador de usuários. Essa criptografia torna mais difícil para alguém farejar e roubar informações.

Uma vez habilitado o SSL, seu site usará HTTPS em vez de HTTP, você também verá um sinal de cadeado ao lado do endereço do seu site no navegador.

Os certificados SSL eram normalmente emitidos pelas autoridades de certificados, e seus preços começam de US$ 80 a centenas de dólares por ano. Devido ao custo adicional, a maioria dos proprietários de sites optou por continuar usando o protocolo inseguro.

Para corrigir isso, uma organização sem fins lucrativos chamada Let's Encrypt decidiu oferecer certificados SSL gratuitos aos proprietários de sites. Seu projeto é apoiado pelo Google Chrome, Facebook, Mozilla e muitas outras empresas.

Agora, é mais fácil do que nunca começar a usar SSL para todos os seus sites wordpress. Muitas empresas de hospedagem estão agora oferecendo um certificado SSL gratuito para o seu site WordPress.

Se sua empresa de hospedagem não oferecer uma, então você pode comprar uma de Domain.com. Eles têm o melhor e mais confiável negócio SSL no mercado. Ele vem com uma garantia de segurança de $10.000 e um selo de segurança TrustLogo.

WordPress Security para usuários DIY

Se você fizer tudo o que mencionamos até agora, então você está em boa forma. Mas, como sempre, há mais que você pode fazer para endurecer sua segurança wordpress.

Algumas dessas etapas podem exigir conhecimento de codificação.

Alterar o nome de usuário "administrador" padrão

Antigamente, o nome de usuário do administrador padrão wordpress era "administrador". Uma vez que os nomes de usuário compõem metade das credenciais de login, isso tornou mais fácil para os hackers fazer ataques de força bruta.

Felizmente, o WordPress mudou isso e agora exige que você selecione um nome de usuário personalizado no momento da instalação do WordPress.

No entanto, alguns instaladores do WordPress de 1 clique ainda definem o nome de usuário do administrador padrão como "administrador". Se você notar que esse é o caso, então provavelmente é uma boa ideia mudar sua hospedagem web.

Como o WordPress não permite que você altere nomes de usuário por padrão, existem três métodos que você pode usar para alterar o nome de usuário.

· Crie um novo nome de usuário administrador e exclua o antigo.

· Use o plugin do Trocador de nomes de usuário

· Atualizar o nome de usuário do phpMyAdmin

Nota: Estamos falando do nome de usuário chamado "administrador", não da função de administrador.

Desativar a edição de arquivos

O WordPress vem com um editor de código embutido que permite editar seu tema e arquivos de plugin apenas a partir da área de administração do WordPress. Em mãos erradas, esse recurso pode ser um risco à segurança e é por isso que recomendamos desligá-lo.

Você pode facilmente fazer isso adicionando o seguinte código em seu arquivo wp-config.php.

1

2

Proibir a edição de arquivo

definir ( 'DISALLOW_FILE_EDIT', verdadeiro );

Alternativamente, você pode fazer isso com 1 clique usando o recurso Hardening no plugin sucuri gratuito que mencionamos acima.

Desativar a execução de arquivos PHP em certos diretórios wordpress

(Receba mais informações no nosso Curso Passo a Passo de WordPress para Projeto Político 2022, Empresas, Negócios + KIT Marketing de Conteúdo REPLETO de modelos prontos para produção(copiar e colar) + Swipe Files em até 10x SEM JUROS! <---- CLICANDO AQUI MESMO ou copiando o link para o seu navegador: https://www.hotmart.com/product/curso-wp-projeto-politico-empresas-negocios-kit-marketing-de-conteudo-modelos-prontos-producao-copiar-colar-swipe-files)

Continue acompanhando os próximos 4 artigos para saber como o WordPress pode ajudar muito no seu marketing político e como pode mudar completamente suas estratégias para o projeto político on-line e campanha eleitoral.

Temos alguns cursos que podem ajudá-lo com o marketing digital para seu projeto político, causa, ou negócio. Conheça todos os nossos produtos: https://space.hotmart.com/interidade-producao-mentoria-consultoria-marketing-digital-politico-eleitoral-cursos-on-line-ead

Nossos cursos e produtos digitais voltados para Adultos 50 mais, Home-office e Marketing Político:

https://www.interidade-cursos-on-line.com.br/produtos-digitais-guias-para-adultos-50-mais

https://www.interidade-cursos-on-line.com.br/produtos-digitais-guias-para-home-office-negocio-trabalho-em-casa

https://www.interidade-cursos-on-line.com.br/produtos-digitais-guias-de-marketing-politico

Também temos uma parceria com a Universidade Estácio de Sá e proporcionamos bolsas de estudos de até 60% para praticamente todos os cursos de graduação e pós graduação: https://www.interidade-cursos-on-line.com.br/faculdade-e-pos-graduacao-ead