Lista de verificação de segurança do WordPress (2023): como manter seu site seguro

Mais de 60.000 plug-ins estão disponíveis no repositório do WordPress enquanto você lê isto.

Essa é a beleza do WordPress!

Mas também, potencialmente – o pior pesadelo de todo proprietário de site. Na verdade, 56% das vulnerabilidades do WordPress estão associadas a plug-ins e mais de 86 bilhões de ataques de senha foram bloqueados pelo plug-in de segurança WordFence somente em 2021.

Se você foi hackeado ou simplesmente deseja se proteger contra intenções maliciosas, esta lista de verificação de segurança o ajudará a se defender de qualquer ataque cibernético.

Por que a segurança do WordPress é importante para o seu negócio online

Com uma participação de mercado de 64,2%, é seguro dizer que a segurança do WordPress é essencial para 810 milhões de sites em todo o mundo – independentemente do setor, tamanho e reputação. Aqui está o porquê.

• Proteção de dados: seu site contém dados confidenciais, incluindo informações de clientes, detalhes de pagamento e conteúdo relacionado a negócios. Garantir sua segurança é crucial para evitar violações de dados e proteger sua reputação.
• Mantendo a confiança do cliente: um site seguro promove a confiança entre seus visitantes e clientes. Quando as pessoas sabem que seus dados estão seguros, é mais provável que elas interajam com seu site e façam compras.
• Prevenção de tempo de inatividade: violações de segurança, hacks ou infecções por malware podem levar ao tempo de inatividade do site. Isso não apenas atrapalha suas operações comerciais, mas também prejudica sua presença online e seus resultados financeiros.
• Evitar consequências legais: Violações de dados e problemas de segurança podem levar a responsabilidades legais, incluindo multas e ações judiciais, especialmente se os dados do cliente forem comprometidos.
• Aprimorando o SEO: Mecanismos de busca como o Google priorizam sites seguros em suas classificações. Um site seguro com certificado SSL e medidas de segurança robustas pode melhorar a visibilidade do seu mecanismo de pesquisa.

Quais são alguns problemas comuns de segurança do WordPress?

Embora a plataforma WordPress seja considerada geralmente segura, sua tecnologia de código aberto pode introduzir várias vulnerabilidades por meio de plug-ins e temas, SQL, CSRF, exploração de arquivos, hospedagem insegura e muito mais.

Algumas preocupações populares de segurança do WordPress incluem:

• Software desatualizado: não atualizar regularmente o núcleo, os temas e os plug-ins do WordPress pode deixar seu site vulnerável a vulnerabilidades de segurança conhecidas.
• Senhas fracas: o uso de senhas fracas ou facilmente adivinháveis ​​torna mais fácil para invasores obterem acesso não autorizado ao seu site.
• Vulnerabilidades de plug-ins: a escolha de adicionar plug-ins inseguros à sua pilha de tecnologia apresenta aos invasores mal-intencionados oportunidades de hackear seu site.
• Ataques de força bruta: os invasores tentam obter acesso tentando repetidamente diferentes combinações de nome de usuário e senha até encontrarem a combinação certa.
• Injeção de SQL: ocorre quando um invasor insere código SQL malicioso nos campos de entrada do seu site, potencialmente obtendo acesso ao seu banco de dados e informações confidenciais.
• Cross-Site Scripting (XSS): Os invasores injetam scripts maliciosos em páginas da Web visualizadas por outros usuários, o que pode levar ao roubo de dados ou à desfiguração do site.
• Falsificação de solicitação entre sites (CSRF): envolve enganar usuários autenticados para que executem ações maliciosas sem seu conhecimento.
• Explorações de inclusão de arquivos: os invasores exploram entradas de usuário mal higienizadas para incluir arquivos maliciosos em seu servidor.
• Spam e malware: a falha na proteção contra spam e malware de comentários pode levar ao comprometimento do site.
• Phishing: os invasores podem usar páginas de login ou e-mails falsos para induzir os usuários a revelar credenciais de login ou outras informações confidenciais.
• Vazamentos de dados: sites ou serviços de terceiros mal configurados podem levar a violações de dados ou vazamentos de informações do usuário.
• Ataques DDoS: Os ataques distribuídos de negação de serviço podem interromper a disponibilidade do site, sobrecarregando-o com tráfego.

Vulnerabilidades do plug-in LiteSpeed ​​​​Cache e a importância dos plug-ins seguros do WordPress

Uma recente vulnerabilidade de script no popular plugin LiteSpeed ​​Cache afetou mais de 4 milhões de sites.

Ele permitiu que agentes de ameaças com permissões de nível de contribuidor ou superior injetassem scripts da web maliciosos em páginas usando o shortcode do plug-in. Felizmente, a violação foi detectada e relatada em tempo hábil pela equipe do WordFence.

Veja o que fazer para garantir que sua pilha de tecnologia não prejudique seu site:

• Verifique o histórico e a reputação do plugin: um grande número de instalações ativas e análises positivas irão ajudá-lo a avaliar a confiabilidade do plugin.
• Analise a frequência de atualização: certifique-se de que o plugin seja atualizado regularmente, com a última atualização não tendo mais do que alguns meses.

• Revise as respostas de suporte do desenvolvedor: Verifique os fóruns de suporte do plug-in para ver o quão responsivos e prestativos os desenvolvedores são. Um bom suporte pode ser indicativo de dedicação à qualidade e segurança do plugin.
• Verifique a compatibilidade com a sua versão do WordPress: Plugins incompatíveis podem introduzir vulnerabilidades de segurança ou causar problemas de funcionalidade.
• Avalie os recursos e permissões do plug-in: tenha cuidado com plug-ins que exigem permissões desnecessárias ou oferecem um conjunto de recursos inchado que não é necessário. Mais código pode significar mais oportunidades para vulnerabilidades de segurança.
• Execute verificações de segurança: Use ferramentas como WPScan para identificar quaisquer vulnerabilidades conhecidas de um plugin. Procure quaisquer avisos de segurança ou discussões relacionadas ao plugin.

• Comece com um ambiente de teste: antes de instalar um novo plugin em seu site ativo, teste-o em um site de teste para monitorar seu comportamento e garantir que ele não introduza vulnerabilidades.
• Procure endossos ou certificações de segurança: alguns plug-ins podem ter auditorias ou certificações de segurança de empresas terceirizadas respeitáveis, o que pode aumentar sua credibilidade.
• Seja cauteloso com plug-ins gratuitos: embora muitos plug-ins gratuitos sejam seguros e bem mantidos, sempre exerça a devida diligência, pois os plug-ins gratuitos nem sempre oferecem suporte e atualizações contínuas.
• Faça backup do seu site regularmente: Mesmo com todos os cuidados, é essencial fazer backups regulares do seu site. Isso não evita problemas, mas garante que você possa se recuperar rapidamente se algo der errado.

Otimize sua velocidade e desempenho com um plugin que mantém seu site seguro. Comece com o NitroPack →

Como verificar se o seu site WordPress é seguro?

Em caso de dúvida, você pode começar executando seu site por meio de um scanner de segurança de site online como Qualys, SiteLock ou VirusTotal. Essas ferramentas podem verificar malware, vulnerabilidades e outros problemas de segurança.

Além disso, você pode escolher entre vários plug-ins de segurança WordPress confiáveis, como Wordfence Security, Sucuri Security, iThemes Security, NinjaScanner e WPScan. Vá direto para os melhores plug-ins de segurança do WordPress para obter mais detalhes e recursos para fazer a escolha do seu site.

Fundamentos de segurança do WordPress

O primeiro passo para proteger o seu site é realizar uma auditoria completa de segurança do WordPress. Siga os passos abaixo:

1. Atualize o núcleo, os temas e os plug-ins do WordPress

Manter seu software atualizado é uma das medidas de segurança mais eficazes. Basta visitar o administrador do WP e verificar as atualizações disponíveis. O WordPress oferece uma maneira fácil de atualizar seus plug-ins em massa. Apenas certifique-se de fazer um backup e auditar seu site assim que ele for atualizado.

Dica profissional : remova completamente os plug-ins não utilizados de sua pilha de tecnologia.

2. Certifique-se de que você e os usuários usem senhas fortes e exclusivas

Considere usar um gerenciador de senhas confiável como LastPass, Dashlane ou 1Password. Essas ferramentas podem gerar, armazenar e preencher automaticamente senhas complexas para você. Senhas fortes têm mais de 10 caracteres, usam letras maiúsculas e minúsculas e não ignoram símbolos especiais.

3. Habilite a autenticação de dois fatores (2FA)

Adicione uma camada extra de proteção configurando 2FA com um plugin como WP 2FA, que exige que os usuários forneçam uma segunda forma de verificação além de sua senha. Outra medida extra aqui é limitar as tentativas de login e definir um tempo limite para usuários que apresentem comportamento suspeito.

4. Faça backup do banco de dados e dos arquivos do seu site

Se você se sente confiante em suas habilidades tecnológicas:

Acesse os arquivos do seu site via FTP (File Transfer Protocol) ou um gerenciador de arquivos fornecido pelo seu provedor de hospedagem. Baixe todos os arquivos do diretório raiz do WordPress (geralmente a pasta public_html ou www) para o seu computador local. Em seguida, acesse o banco de dados do seu site usando o phpMyAdmin , que geralmente está disponível no painel de controle da sua hospedagem. Selecione seu banco de dados WordPress e exporte todo o banco de dados. Salve o banco de dados exportado como um arquivo SQL no seu computador local.

Alternativamente , use um plugin como o Updraft Plus para definir backups automatizados em um intervalo desejado.

5. Use Firewall de Aplicativo Web (WAF)

Um firewall de site bloqueia todo o tráfego malicioso antes mesmo de chegar ao seu site. Existem dois métodos para fazer isso:

• Firewall de site em nível DNS: permite o envio de tráfego genuíno para o seu servidor web apenas roteando o tráfego através de seus servidores proxy em nuvem.
• Firewall em nível de aplicativo: analisa o tráfego assim que chega ao servidor e antes de carregar a maioria dos scripts do WordPress. No entanto, não é tão eficiente, pois tende a aumentar a carga do servidor.

Confira os melhores plug-ins de Firewall do WordPress.

6. Mude para um provedor de hospedagem confiável

Um provedor de hospedagem WordPress confiável deve oferecer recursos de segurança robustos, monitoramento proativo e suporte responsivo para manter seu site seguro e protegido.

Os recursos a serem procurados incluem (e não estão limitados a):

• Forte segurança de infraestrutura
• Inclusão de certificado SSL
• Backups regulares
• Monitoramento de rede 24 horas por dia, 7 dias por semana
• Proteção DDoS
• Verificação e remoção de malware
• Atualizações automáticas do WordPress
• Cache em nível de servidor configurado especificamente para WordPress
• Suporte para protocolo de transferência segura de arquivos (SFTP)
• Isolamento entre contas em hospedagem compartilhada

Confira nosso guia completo sobre como escolher o provedor de hospedagem certo para o seu site.

Técnicas avançadas para melhorar a segurança do WordPress

As técnicas abaixo requerem acesso de administrador ao WordPress e um nível suficiente de conhecimento técnico. Antes de tentar seguir as etapas, sempre faça backup do seu site e reserve um tempo para entrar em contato com um especialista em segurança do WordPress.

Mova seu site WordPress para SSL/HTTPS

SSL (Secure Sockets Layer) criptografa os dados transferidos entre o navegador do usuário e o seu servidor web, aumentando a segurança do seu site.

Instruções:

• Compre um certificado SSL do seu provedor de hospedagem ou use um gratuito
• Instale e ative o certificado através da sua conta de hospedagem
• Atualize o URL do WordPress acessando Configurações> Geral e atualizando o endereço do WordPress (URL) e o endereço do site (URL) de http:// para https://
• Force o SSL adicionando o seguinte código ao seu arquivo .htaccess:

RewriteEngine ativado
ReescreverCond %{SERVER_PORT} 80
ReescreverRegra ^(.*)$ https://www.seudominio.com/$1 [R,L]

Alterar o URL da página de login do WordPress

Por padrão, as páginas de login do WordPress são facilmente acessíveis via wp-login.php ou wp-admin. Alterar isso pode ajudar a proteger contra tentativas de login não autorizadas.

Instruções:

• Edite o arquivo .htaccess no diretório raiz do WordPress e adicione:

RewriteRule ^mylogin$ https://%{SERVER_NAME}/wp-login.php?key=123&redirect_to=https://%{SERVER_NAME}/wp-admin [L]

• Substitua mylogin pelo novo slug de URL de login e 123 por uma string aleatória.

Alterar o nome de usuário “admin” padrão

O nome de usuário “admin” padrão é alvo de hackers, então é melhor alterá-lo.

Instruções:

• Crie um novo usuário no WordPress acessando Usuários > Adicionar novo.
• Atribua ao novo usuário a função de Administrador.
• Saia e faça login com a nova conta de administrador.
• Exclua o antigo usuário “admin” e atribua todo o conteúdo ao novo usuário.

Desativar edição de arquivo

O WordPress permite que os administradores editem arquivos PHP de plug-ins e temas. Desativar esse recurso aumenta a segurança.

Instruções:

• Adicione a seguinte linha ao seu arquivo wp-config.php:

define('DISALLOW_FILE_EDIT', verdadeiro);

Desative a execução de arquivos PHP em determinados diretórios do WordPress

Impedir a execução do PHP em diretórios como wp-content/uploads pode ajudar a impedir a execução de scripts maliciosos.

Instruções:

• Crie um arquivo .htaccess no diretório que deseja proteger e adicione:

negar de todos

Alterar o prefixo padrão do banco de dados WordPress

O prefixo do banco de dados wp_ padrão é bem conhecido, portanto, alterá-lo pode ajudar a proteger seu banco de dados contra ataques de injeção de SQL.

Instruções:

• Faça backup do seu banco de dados.
• Vá para phpMyAdmin, selecione seu banco de dados e escolha a aba “Operações”.
• Em “Prefixo da tabela”, altere wp_ para seu novo prefixo (por exemplo, wpnew_) e clique em “Ir”.

Desativar indexação e navegação de diretório

Isso evita que hackers vejam os arquivos em seus diretórios.

Instruções:

• Adicione a seguinte linha ao seu arquivo .htaccess:

Opções -Índices

Desative XML-RPC no WordPress

XML-RPC pode ser explorado para ataques de força bruta. Desativá-lo pode aumentar a segurança.

Instruções:

• Adicione o seguinte código ao seu arquivo .htaccess:

# Bloquear solicitações xmlrpc.php do WordPress

ordenar negar, permitir
negar de todos

Desconectar automaticamente usuários ociosos no WordPress:

Isso pode impedir o uso não autorizado de sessões ociosas.

Instruções:

• Adicione este código ao arquivo functions.php do seu tema:

add_action('wp_enqueue_scripts', 'idle_logout');
função inativo_logout() {
if (is_user_logged_in()) {
wp_enqueue_script('idle_logout', '/path-to-your-script/idle-logout.js', array('jquery'), '1.0.0', verdadeiro);
}
}

• Em seguida, crie um arquivo idle-logout.js com JavaScript para rastrear o tempo ocioso e desconectar usuários.

Ocultar a versão do WordPress

Revelar a versão do WordPress pode fornecer aos hackers informações valiosas para procurar brechas de segurança.

Instruções:

• Adicione a seguinte linha ao arquivo functions.php do seu tema:

remove_action('wp_head', 'wp_generator');

Bloquear links diretos

Hotlinking pode roubar largura de banda ao vincular diretamente aos arquivos do seu site a partir de outros sites.

Instruções:

• Adicione o seguinte código ao seu arquivo .htaccess:

RewriteEngine ativado
ReescreverCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?seudominio.com [NC]
ReescreverRegra \.(jpg|jpeg|png|gif)$ – [NC,F,L]

Verifique as funções do usuário e defina as permissões dos arquivos

Limite o acesso a áreas confidenciais apenas àqueles que precisam e defina permissões de arquivo apropriadas para diretórios e arquivos em seu servidor. Restrinja o acesso a arquivos e pastas críticos.

Os arquivos e diretórios do WordPress usam um código numérico de três dígitos para representar as permissões. Cada dígito corresponde a um nível de permissão específico:

4: Leia (r)
2: Escreva (w)
1: Executar (x)

As permissões recomendadas para vários arquivos e diretórios do WordPress são as seguintes:

• Arquivos (por exemplo, .php, .html): 644 (o proprietário pode ler e escrever; outros podem ler)
• Diretórios: 755 (o proprietário pode ler, escrever e executar; outros podem ler e executar)
• wp-config.php (arquivo de configuração importante): 600 (o proprietário pode ler e escrever; outros não têm acesso)
• .htaccess (configuração do servidor): 644 (o proprietário pode ler e escrever; outros podem ler)
• Diretório de uploads (por exemplo, wp-content/uploads): 755 (o proprietário pode ler, escrever e executar; outros podem ler e executar)

5 melhores plug-ins de segurança para WordPress

Existem vários plug-ins de segurança do WordPress disponíveis que podem ajudar a verificar e proteger o seu site:

1. Segurança do Wordfence

Wordfence é um plugin de segurança abrangente para WordPress. Inclui recursos como proteção de firewall, verificação de malware, monitoramento de tentativas de login e muito mais. A versão gratuita oferece verificações de segurança valiosas, enquanto a versão premium oferece recursos avançados.

Número de instalações: mais de 4 milhões
Avaliação: 4,7/5

2. Segurança Sucuri

Sucuri é uma plataforma de segurança web que oferece uma ferramenta gratuita de verificação de sites. Ele verifica seu site em busca de malware, problemas de segurança e vulnerabilidades. Eles também oferecem um serviço de segurança pago para proteção e monitoramento em tempo real.

Número de instalações: mais de 900.000
Avaliação: 4,2/5

3. Segurança Sólida

Solid Security é um plugin de segurança WordPress de última geração projetado para fortalecer seu site. Repleto de recursos essenciais, como proteção de firewall em tempo real, verificação de malware e mecanismos de login seguros, ele oferece uma solução completa para proteger sua presença online. Com sua interface intuitiva e verificações de segurança automatizadas, Solid Security garante tranquilidade ao proteger seu site contra as ameaças mais recentes.

Número de instalações: mais de 900.000
Avaliação: 4,6/5

4. Segurança Ninja

Security Ninja é um plugin de segurança abrangente feito sob medida para sites WordPress. Com seu conjunto robusto de ferramentas, incluindo scanner central, detecção de malware e corretor automático, ele garante a integridade e resiliência do seu site. As verificações de segurança proativas do plug-in e as correções com um clique permitem que os proprietários de sites protejam seus sites. Quer você seja um novato ou um especialista em tecnologia, o Security Ninja é uma ótima ferramenta contra ameaças cibernéticas.

Número de instalações: mais de 10.000
Avaliação: 4,8/5

5. Proteção Jetpack

Jetpack Protect é especializado em proteger sites WordPress contra invasões indesejadas. Possui proteção robusta contra ataques de força bruta e monitoramento de tempo de inatividade para manter seu site seguro e operacional. Com sua configuração simplificada, o Jetpack Protect integra perfeitamente backups em tempo real e defesa contra spam, garantindo que os dados do seu site permaneçam intactos e que suas interações sejam genuínas.

Número de instalações: mais de 100.000
Avaliação: 4,8/5

O que fazer se o seu site WordPress for hackeado

Descobrir que seu site WordPress foi hackeado pode ser uma experiência angustiante, mas é importante agir rapidamente para mitigar os danos e restaurar a segurança do seu site.

1. Isole o site: se você tiver vários sites hospedados no mesmo servidor, isole o site hackeado para evitar que a infecção se espalhe para outras pessoas. Isso pode envolver colocar temporariamente o site afetado offline.
2. Restaure o último backup do seu site: para resolver o problema rapidamente, volte para uma versão anterior do seu site. Se você não fez backup do seu site recentemente, considere desenvolver uma estratégia de backup depois de concluir as etapas abaixo.
3. Alterar senhas: altere as senhas de todas as contas de usuário do seu site WordPress, incluindo administradores, editores e colaboradores. Certifique-se de usar senhas fortes e exclusivas.
4. Verificar malware: use um plug-in de segurança ou uma ferramenta de verificação de malware de terceiros para verificar seu site em busca de códigos maliciosos e malware. Se você já tiver um ativado, entre em contato com os desenvolvedores para resolver o problema com ajuda profissional.
5. Identifique e remova arquivos suspeitos: revise os arquivos e diretórios do seu site em busca de arquivos desconhecidos ou suspeitos. Os hackers costumam injetar código malicioso em arquivos, temas ou plug-ins principais. Remova todos os arquivos que você suspeita que estejam comprometidos.
6. Limpe o banco de dados: verifique seu banco de dados WordPress em busca de alterações não autorizadas ou conteúdo suspeito. Restaure quaisquer tabelas ou entradas modificadas ao seu estado original.
7. Revise as contas de usuário: audite sua lista de usuários registrados e remova quaisquer contas desconhecidas ou não autorizadas. Certifique-se de que não haja administradores não autorizados.
8. Alterar chaves de segurança e sais: Em seu arquivo wp-config.php , altere suas chaves de segurança e sais. Esta etapa pode ajudar a invalidar quaisquer credenciais de login roubadas.
9. Notificar visitantes: se o hack potencialmente expôs dados confidenciais do usuário, cumpra as leis de notificação de violação de dados e informe os usuários afetados sobre a violação.

Perguntas frequentes sobre como melhorar a segurança do WordPress

O WordPress é seguro o suficiente?

WordPress é um sistema de gerenciamento de conteúdo (CMS) confiável e, por ser tão popular, muitas vezes se torna alvo de invasores. No entanto, se o WordPress é “suficientemente seguro” depende de vários fatores, incluindo como você o configura, mantém e usa. Seguindo as práticas recomendadas descritas neste guia, você pode garantir um ambiente seguro para o seu negócio online.

O WordPress é o CMS mais hackeado?

O relatório anual da Sucuri em 2022 destacou o WordPress como o CMS mais hackeado com 96,2% dos ataques focados na plataforma. Devido ao seu uso generalizado, o WordPress é um alvo comum e tem um grande número de hacks relatados, mas isso não significa necessariamente que seja menos seguro do que outras plataformas CMS.

Qual é a parte mais vulnerável de um site WordPress?

As partes mais vulneráveis ​​geralmente são temas e plug-ins, bem como senhas de administrador fracas.

Como posso proteger meu site WordPress gratuitamente?

Implemente senhas fortes, mantenha o WordPress atualizado e use plug-ins de segurança gratuitos como Wordfence ou Security Ninja para aumentar a segurança do seu site.

As versões mais antigas do WordPress são mais fáceis de hackear?

Sim, versões mais antigas do WordPress são mais fáceis de hackear, pois geralmente contêm vulnerabilidades de segurança não corrigidas. Sempre verifique as atualizações mais recentes para manter seu site protegido.

Como evito malware no WordPress?

Mantenha o WordPress atualizado, use temas e plug-ins confiáveis ​​e instale plug-ins de segurança que oferecem verificação de malware e proteção de firewall.

Eu realmente preciso de um plugin de segurança para WordPress?

Um plugin de segurança é altamente recomendado, pois fornece medidas de segurança abrangentes e pode automatizar muitas das tarefas necessárias para manter um site WordPress seguro.