Proteja Seu Site WordPress Contra Hackers Modernos

by Contato setembro 17, 2018
Proteja Seu Site WordPress Contra Hackers Modernos

Se você está se perguntando por que alguém iria querer hackear seu site WordPress, você não está sozinho. Leia este artigo para descobrir por que seu site está sendo atacado e, melhor ainda, o que você pode fazer para protegê-lo!

WordPress alimenta um quarto de todos os sites do mundo. Isso se traduz em milhões de sites. Como o WordPress é um software de código aberto, desenvolvedores, usuários e hackers podem visualizar todo o código que faz da plataforma o que ela é.

Isso torna relativamente fácil para os hackers encontrarem áreas vulneráveis ​​em um site WordPress.

Nos filmes mais antigos, os hackers costumam ser retratados como indivíduos sentados em frente a um computador, tentando obter acesso a um site. Ainda há hackers individuais que fazem isso hoje, mas geralmente eles atacam sites de alto valor para que possam retê-los por resgate.

Na maioria das vezes, bots e botnets atacam os sites criados com WordPress em busca de vulnerabilidades para que eles possam assumir e usar o site ou o servidor onde está hospedado para enviar spam a outros sites.

Bots são programas escritos por hackers. Eles examinam sites WordPress em busca de falhas de segurança conhecidas. Botnets, por outro lado, são uma rede de máquinas infectadas por bots que tentam invadir um grande número de sites.

Parece assustador, certo? Como os bots não são lentos como nós humanos, eles podem infectar um grande número de sites muito rapidamente.

É por isso que é extremamente importante atualizar o seu software WordPress, seus temas e seus plugins. Porque se um bot chegar ao seu site antes de você atualizar, então o seu site está tão bom quanto comprometido!

Por que hackers e bots atacam sites WordPress

Para saber como proteger seu site, é importante saber primeiro porque o sites criados com WordPress estão sendo atacados. Na maioria das vezes, os hackers criam bots para poder fazer as seguintes atividades maliciosas:

  • Roubar os dados do seu site – se você coletar informações das pessoas em seu site, ou seja, se você tiver uma lista de e-mails ou um site de associação, então você é o principal alvo dos hackers.

Eles podem usar ou vender seus dados roubados para outras pessoas. Dependendo do tipo de dados que eles roubam, eles podem usar as informações para enviar e-mails de spam ou usar as informações mais confidenciais para confirmar o roubo de identidade.

  • Usar seu site para enviar spam – os hackers podem controlar seu site e usá-lo para enviar e-mails de spam. Você nem perceberá isso, mas quando chegar a hora de enviar e-mails para sua lista, ninguém receberá seus e-mails. Isso porque seu site já foi colocado na lista negra por servidores de e-mail!
  • Hospedar conteúdo malicioso – às vezes, os hackers usam os recursos de outras pessoas para ocultar conteúdo ilegal e imoral. Eles não querem que esses arquivos apareçam em suas propriedades da web, então eles procuram um participante inocente e pouco disposto para ocultar seus arquivos.
  • Atacar outros sites – hackers são pessoas inteligentes. Em vez de depender de um único bot, eles encontraram uma maneira sofisticada de atacar ainda mais sites.

Primeiro, eles infectarão seu site e, em seguida, eles o usarão como parte de sua rede de bots ou bots para lançar ataques maciços em ainda mais sites!

Espero que agora você entenda por que nem mesmo o seu novo site WordPress está imune a ataques. Não é porque os hackers guardam rancor contra você, não é nada pessoal.

Eles não conhecem você, mas querem usar seu site e seus recursos para executar suas atividades maliciosas e ilegais.

Principais medidas de segurança para manter seu site WordPress seguro

Existem várias maneiras de proteger seu site WordPress contra hackers. Começarei com os mais simples que você pode implementar imediatamente em seu site.

1. Atualize seu software, temas e plugins principais do WordPress

WordPress é atualizado com frequência. Então, atualize seus temas e plugins. Atualizar o seu software não é uma escolha, é uma obrigação. Usar software desatualizado deixa seu site extremamente vulnerável a ataques de bot.

Atualizar o seu site WordPress é fácil. Ao efetuar login no seu painel do WordPress, você verá imediatamente quais arquivos precisam ser atualizados. Tudo que você precisa fazer é clicar no botão Atualizar, aguarde alguns minutos e pronto! Você acabou de adicionar uma camada extra de proteção ao seu site WordPress.

Mas e se você não tiver tempo para fazer login na sua conta do WordPress em intervalos de alguns dias?

Bem, a solução é instalar um plugin de segurança como o WordFence ( https://wordpress.org/plugins/wordfence ). 3Este plugin pode enviar uma notificação por e-mail toda vez que algo precisar ser atualizado no seu site.

Dessa forma, você só precisa fazer login na sua conta sempre que receber uma notificação do WordFence.

2. Torne seu nome de usuário e senha muito difíceis de adivinhar ou decifrar

Bots tentam obter acesso a sites WordPress, adivinhando o nome de usuário primeiro. Como regra geral, você nunca deve usar nomes de usuários comuns como seu nome de usuário, especialmente não use “admin”. Torne extremamente difícil para os bots adivinharem seu nome de usuário.

Para senhas, use uma combinação de números, letras maiúsculas e minúsculas e símbolos. Você também deve se lembrar de alterar sua senha com frequência.

Eu sei que escrever tudo é um aborrecimento, e é por isso que recomendo que você gere e armazene suas senhas usando um gerenciador de senhas como o LastPass ( https://www.lastpass.com ).

3. Desativar a navegação no diretório

Se você acessar esta URL em seu site – seusite.com/wp-includes/ e você conseguir ver uma lista de nomes de arquivos, será necessário desativar a pesquisa no diretório agora mesmo.

Se você não fizer isso, os hackers podem simplesmente procurar por seus arquivos, e será fácil para eles procurar o arquivo mais vulnerável para obter acesso ao seu site!

Para desabilitar a navegação no diretório, você terá que usar um cliente FTP, como o Filezilla, para poder editar o arquivo .htaccess . Uma vez que você tenha baixado o arquivo .htaccess, simplesmente adicione esta linha na parte inferior do arquivo “Options All -Indexes” (não inclua as aspas).

Antes de tentar fazer isso sozinho, faça o backup do seu arquivo .htaccess. Se você não acha que pode gerenciar este pequeno ajuste sozinho, por favor, procure a ajuda de alguém que conhece o FTP e o WordPress.

Para confirmar que a navegação no diretório foi desativada, basta atualizar a página seusite.com/wp-includes/. Se você ver um erro Proibido, desativou com êxito a pesquisa no diretório.

4. Use autenticação de dois fatores

A maioria dos aplicativos modernos que lidam com informações confidenciais agora usam autenticação de dois fatores. Por exemplo, se você fizer login em sua conta bancária online, será solicitado que você insira seu nome de usuário e senha.

Quando você insere as credenciais corretas, você recebe uma mensagem na sua tela dizendo-lhe para digitar a senha de uso único que foi enviada para o seu telefone ou enviada para o seu endereço de e-mail padrão.

Você precisa inserir o código em um curto período de tempo. É assim que funciona a autenticação de dois fatores. Como você pode ver, isso torna o trabalho de um bot ou hacker mais difícil.

Existem alguns plugins de autenticação de dois fatores para o WordPress, mas se você instalou o plugin de segurança WordFence como sugerimos anteriormente, então você pode simplesmente ativar este recurso no plugin.

5. Ocultar ou renomear a página de login padrão do WordPress

A página de login padrão do WordPress termina com /wp-login.php ou /wp-admin . Se você renomear a página, isso tornará o trabalho de um hacker mais difícil de atacar seu site.

Existem alguns plugins que ajudam a ocultar o login do Wordpres, um desses plugins está disponível no Diretório de Plugins do WordPress é o WPS Hide Login ( https://wordpress.org/plugins/wps-hide-login ). Para garantir que você não torne sua página de login invisível para você, não se esqueça de anotar o novo link de login!

6. Obtenha um certificado SSL para o seu site

Se você já se perguntou qual é a diferença entre os sites HTTP e HTTPS, é que os sites HTTPS são seguros porque possuem um certificado SSL. SSL significa Secure Sockets Layer, que criptografa todas as comunicações entre o site e seu navegador.

Sites com um certificado SSL válido exibem um cadeado verde em seu navegador. Se você clicar no cadeado, ele dirá algo como “é uma conexão segura e sua informação é privada quando é enviada para o site”.

Certificados SSL podem ir de graça a centenas de reais por ano. Muitas empresas comerciais de hospedagem de sites, como as empresas de hospedagem na Web recomendadas pela WordPress.org, Bluehost, DreamHost e SiteGround, oferecem SSL grátis com seus planos de hospedagem.

7. Limitar tentativas de login

O WordPress permite que você faça o login quantas vezes for possível até que você finalmente digite as credenciais corretas. É principalmente por isso que os hackers fazem ataques de força bruta no WordPress, experimentando combinações de nome de usuário e senha até conseguirem adivinhar as credenciais certas!

Existem muitos plugins que podem ajudá-lo a limitar o número de tentativas de login no seu site.

No entanto, se você já instalou o WordFence como sugerimos algumas vezes neste capítulo, você pode simplesmente ativar esse recurso no painel do WordFence.

8. Instalar um plugin de segurança do WordPress

O mais popular plugin de segurança gratuito do WordPress, de longe, no WordPress.org é o WordFence. Ele tem uma versão premium, mas a maioria das pessoas usa a versão gratuita e fica muito feliz com os resultados.

Agora, WordFence não é perfeito, mas com ele sendo instalado em milhões de sites, é uma prova de como as pessoas acham esse plugin bom.

Se você quiser pular o WordFence completamente, a Sucuri (https://wordpress.org/plugins/sucuri-scanner) ou o iThemes Security (https://wordpress.org/plugins/better-wp-security) são boas alternativas.

A Sucuri é consideravelmente mais cara do que a versão premium do WordFence, mas os comentários dizem que a Sucuri vale o preço.

iThemes, por outro lado, tem uma boa reputação no Diretório de Plugins WordPress, e seus planos anuais são acessíveis.

Se você optar por um plugin de segurança premium, verifique as revisões e leia a descrição do produto para ver se todas as suas necessidades de segurança serão atendidas.

Leia também: Plugins Essenciais Para Sites WordPress

Palavras finais

As dicas que listamos neste artigo não são de forma alguma a maneira completa e infalível de manter seu site seguro, mas deve ajudar bastante. A segurança do WordPress é um assunto muito complexo e altamente técnico.

Com os hackers procurando continuamente novas maneiras de acessar os sites WordPress, você precisa estar atento e estar ciente do que está acontecendo em seu site o tempo todo.

A maioria dos especialistas em segurança edita o código do WordPress para combater hackers, portanto, se isso não lhe for conveniente, sugiro contratar um especialista em segurança qualificado do WordPress para ajudar a tornar seu site o mais seguro possível.

Social Shares

Inscreva-se Para Receber Dicas Para Seu Site

Receba conteúdo especial para turbinar seu site WordPresss

Related Articles

Leave a Comment

Your email address will not be published. Required fields are marked *