Como proteger seu site WordPress contra hackers
A popularidade crescente do WordPress também criou mais interesse entre os hackers. As estatísticas mostram que dos 80 milhões de sites com WordPress, uma grande parte deles (70% +) é vulnerável a ataques.
Se você acha que seu site não faz parte dos 70%, engana-se. Se você também acha que ninguém se importa com o site ou blog de sua pequena empresa, você está novamente errado. Os ataques podem acontecer porque seu site é vulnerável a ataques e não porque um hacker decidiu ‘invadir’ sua empresa.
Quando seu site é hackeado, muitas coisas ruins podem acontecer, além de prejudicar a reputação do seu site. Você pode perder clientes, tráfego, dinheiro, informações confidenciais e sem falar no tempo, estresse e esforço que será necessário para limpar seu site e colocá-lo de volta ao estado normal.
Aqueles que passaram por isso pelo menos uma vez, sabem exatamente o que quero dizer. São aqueles momentos em que você gostaria de ter tomado medidas preventivas ao invés de tentar mais tarde se recuperar dos danos, especialmente quando sua receita e negócios dependem do seu site.
Para falar a verdade, não me preocupei com segurança, estava pensando como a maioria das pessoas que isso nunca aconteceria com meus sites. Mas aconteceu. E foi uma experiência terrível.
Alguns de meus clientes enfrentaram problemas semelhantes e perderam dinheiro e negócios, mas pelo menos agora todos nós aprendemos nossa lição. Quando se trata de questões de segurança, “A prevenção é o melhor remédio”.
Se você tem um site WordPress, mas não tomou nenhuma medida para melhorar a segurança, agora é o momento certo para agir. Não demore mais, mas defina isso como sua primeira prioridade acima de SEO ou qualquer outra coisa que você possa estar fazendo.
Não levará muito tempo, mas pode economizar muito tempo, dinheiro e frustração no futuro.
10 MANEIRAS DE PROTEGER SEU SITE WORDPRESS
# 1 – Instale Sucuri – Em poucas palavras, a sucuri é uma empresa que oferece serviços de segurança para sites (não só WordPress). Eles ajudam você a ‘limpar’ e recuperar seu site caso ele seja afetado por malware, mas, ao mesmo tempo, oferecem uma série de ferramentas para proteger e fortalecer seu site, a fim de não ter problemas.
Eu usei a sucuri várias vezes tanto para o meu site quanto para meus clientes. Uma das coisas que eu gosto muito é que caso seu site seja comprometido e afetado por malware, tudo o que você precisa fazer é registrar uma conta com eles, enviar uma solicitação de malware e eles cuidam do resto em um tempo razoável.
Em vez de perder tempo se perguntando o que aconteceu e pesquisando na Internet para encontrar maneiras de limpar seu site e recuperar seu negócio, deixe isso por conta da Sucuri e gaste seu tempo seguindo as medidas de prevenção explicadas abaixo para evitar ter que lidar com a mesma situação novamente.
Uma nota final antes de entrar nos recursos do sucuri e como usá-los, é que o Google em seu guia para sites hackeados também recomenda sucuri para prevenção e proteção, assim como o site oficial do WordPress em suas perguntas frequentes sobre sites hackeados .
Siga as etapas simples abaixo para ativar o sucuri em seu site WordPress:
A primeira etapa é se registrar para o plano básico e, em seguida, ‘Adicionar seu site’ ao painel.
Em seguida, você precisa configurar o scanner ‘do lado do servidor’, dando-lhes acesso via FTP aos arquivos e diretórios do seu site. O verificador do servidor é o que monitora o seu site (várias vezes por dia), identifica os arquivos afetados e também executa ações de limpeza, se necessário.
Você pode inserir suas credenciais de FTP na opção ‘Ativar via FTP’ ou usar ‘Ativar manualmente’ baixando o arquivo fornecido e enviando-o para sua pasta raiz.
O método de arquivo é melhor, caso você decida alterar suas credenciais de FTP, você não quebrará a funcionalidade.
Instale e configure seu plug-in WordPress. Instale o plug-in sucuri a partir daqui (como você faz com um plug-in WordPress normal) e, em seguida, vá para o painel e conecte-o à sua conta sucuri.
Depois de executar as etapas acima com sucesso, a sucuri está protegendo ativamente o seu site.
O que você pode fazer agora é clicar em CONFIGURAÇÕES (em Segurança da Sucuri) e definir suas configurações conforme mostrado na imagem abaixo.
Isso garantirá que você seja notificado por e-mail sobre quaisquer alterações nos arquivos do seu site ou tentativas de login malsucedidas. Além disso, ele também ativará o recurso de firewall da web que bloqueia automaticamente endereços IP suspeitos de tentarem fazer login no WordPress.
Vá para o Dashboard (em Segurança da Sucuri) e você ficará surpreso com a quantidade de bots que tentam obter acesso ao seu site.
Existem muitas outras configurações que você pode revisar (em Segurança da Sucuri), mas as acima, em combinação com as etapas descritas abaixo, irão melhorar drasticamente a segurança do seu site WordPress.
# 2 – Use senhas fortes – uma das coisas que você definitivamente precisa verificar agora são suas senhas do wordpress e especialmente a senha que você usa para o administrador.
Não use senhas simples com letras, mas crie senhas fortes que incluam letras, números e símbolos.
Aqui estão alguns exemplos de senhas simples e fortes:
Você pode alterar a senha de qualquer usuário selecionando USUÁRIOS / TODOS OS USUÁRIOS no menu à esquerda. Na lista de usuários, selecione EDITAR e role para baixo até o campo de senha.
# 3 – Alterar os nomes de usuário admin padrão – A primeira coisa que os hackers tentarão e farão é descobrir o nome de usuário do administrador para que nomes de usuário como admin, administrador e host sejam muito óbvios e você precise alterá-los para algo mais difícil de identificar.
Além disso, revise suas funções de usuário e certifique-se de que haja apenas um administrador para o site. Outros usuários (autores convidados, escritores) podem ser definidos como ‘Contribuidor’. Exclua quaisquer outros usuários que não sejam válidos ou defina sua função como ‘Nenhum’.
# 4 – Proteja sua pasta wp-login, wp-config, .htaccess e wp-admin – Esta é talvez a etapa mais importante de todas as medidas que você pode tomar para proteger seu site wordpress.
Ao proteger e restringir o acesso à sua pasta wp-config, .htaccess, wp-login e wp-admin, você já deu um grande passo na direção certa.
Não requer nenhum conhecimento técnico, você só precisa acessar o FTP e seguir os passos abaixo:
Etapa 1: Faça login em seu site com FTP e localize o arquivo .htaccess na pasta raiz (geralmente public_html ou www). Se você instalou o WordPress em um diretório, encontrará o arquivo .htaccess lá.
Etapa 2: Baixe o arquivo em seu computador
Etapa 3: use qualquer editor de texto (bloco de notas, colchetes, etc.) para abrir o arquivo
Etapa 4: adicione as seguintes linhas na parte superior do arquivo:
Importante: você deve adicionar seu IP público na área sombreada em laranja acima, caso contrário, não será possível fazer o login em seu próprio site!
Etapa 5: Salve suas alterações
Etapa 6: Faça upload do arquivo de volta para o seu servidor e substitua o existente.
O papel das linhas acima é restringir o acesso a TODOS os ips tentando acessar seu arquivo .htaccess, wp-config.php ou sua página de login. Caso seu IP público mude com frequência, você precisa editar este arquivo e digitar o IP correto na área sombreada laranja acima. Se você digitar um IP errado lá, você não poderá fazer o login no painel do WordPress. Você pode adicionar mais de um IPs (um por linha, precedido pelas palavras ‘permitir de’).
Eu sei que para alguns isso é demais, mas é a melhor e mais eficiente forma de impedir que todos (exceto os IPs permitidos) tenham acesso ao seu site. Isso não afeta a funcionalidade do seu site ou SEO, mas reforça a segurança.
A próxima etapa é proteger o acesso não autorizado à sua pasta wp-admin . Você pode fazer isso seguindo as etapas abaixo:
Etapa 1: Faça login em seu site com FTP e localize o arquivo .htaccess dentro da pasta wp-admin . Se não há . Em seguida, crie um arquivo htaccess (usando qualquer editor de texto), adicione as linhas mostradas abaixo e atualize-o em sua pasta wp-admin.
Etapa 2: Baixe o arquivo em seu computador
Etapa 3: use qualquer editor de texto (bloco de notas, colchetes, etc.) para abrir o arquivo
Etapa 4: adicione as seguintes linhas na parte superior do arquivo:
Importante: você deve adicionar seu IP público na área sombreada em laranja acima, caso contrário, não será possível fazer o login em seu próprio site!
Etapa 5: Salve suas alterações
Etapa 6: Faça upload do arquivo de volta para o seu servidor e substitua o existente.
As mesmas regras se aplicam conforme explicado acima, ou seja, para poder acessar seu site, você precisa adicionar seu IP público na área sombreada em laranja.
# 5 – Proteja xmlrpc.php (opcional, mas recomendado) – Além de proteger os arquivos acima, uma forma comum de hackear sites WordPress é através do xmlrpc. Xmlrpc.php é um arquivo usado para comunicação remota com o WordPress.
Os hackers podem usar o xmlrpc (que é habilitado por padrão no WordPress 3.8) para executar DDoS (ataques de negação de serviço distribuídos), que podem causar problemas no servidor e derrubar um site.
Você precisa manter o XMLRPC ativado se estiver usando serviços como JetPack, o aplicativo oficial do wordpress móvel, pingbacks e trackbacks.
Para se certificar de que nenhum programa pode acessar e executar o arquivo, adicione-o ao seu .htaccess (como você fez no ponto 4 acima)
# 6 – Atualize o WordPress e os plug-ins para as versões mais recentes – Na maioria das vezes, os hackers podem obter acesso não autorizado ao seu site por meio de plug-ins. Plug-ins gratuitos e pagos têm vulnerabilidades e é sempre uma prática recomendada atualizá-los para suas versões mais recentes.
As empresas de software (especialmente para plug-ins pagos) começaram a olhar para as questões de segurança com mais seriedade e tentam fechar qualquer brecha de segurança para proteger seus clientes e, claro, sua reputação.
Além de atualizar, revise a lista de plug-ins instalados e se você descobrir que alguns não foram atualizados por vários meses, então considere desativá-los, substituí-los por outros plug-ins que são atualizados com mais freqüência ou excluí-los.
# 7 – Verifique suas configurações de ‘comentários’ e formulários – Quando você tiver comentários abertos em suas postagens, verifique as configurações de ‘Discussão’ e certifique-se de que todos os comentários foram aprovados manualmente. Isso pode adicionar mais trabalho administrativo de sua parte, mas é a melhor maneira de garantir que nenhum comentário de spam seja inserido.
Verifique também se o akismet está ativado e se usa um Captcha em todos os seus formulários de contato.
# 8- Verifique as configurações do servidor – Além da instalação do WordPress, outra forma de hackers invadirem o seu sistema é através do seu servidor web.
O que você pode fazer facilmente é usar uma senha forte para a conta do administrador e FTP, e também habilitar notificações por e-mail para serem notificados sempre que alguém estiver logado no servidor. Pode ser necessário verificar com seu provedor de hospedagem como fazer isso, pois é diferente para cada tipo de servidor de hospedagem.
# 9 – Mude para um host VPS confiável – Qualquer blogueiro ou empresa séria deve usar um VPS em seu site. Se você ainda estiver em hospedagem compartilhada, é hora de reconsiderar e mudar para seu próprio VPS . O custo não é muito por mês, mas os benefícios, especialmente quando se trata de segurança, não têm preço.
Existem muitas empresas de hospedagem que oferecem VPS para wordpress, reserve um tempo e encontre um host VPS confiável com um suporte bom e rápido. Quando você se depara com problemas de segurança, precisa do suporte da sua empresa de hospedagem e ela precisa responder às suas solicitações com rapidez, mas também de maneira eficaz.
Tentei vários hosts todos esses anos e, nos últimos anos, mudei todos os meus sites com knownhost . O apoio deles em velocidade e eficácia é o melhor que já vi.
# 10 – Faça backups completos do seu site – Embora isso possa não ser uma medida de segurança, a primeira coisa de que você precisará após um ataque é um backup limpo do seu site para usá-lo para recuperar o bom estado anterior.
Para eliminar qualquer surpresa desagradável:
Certifique-se de fazer um backup de seus arquivos do WordPress e do banco de dados (pelo menos uma vez por semana)
Que você mantenha os arquivos de backup em um local seguro (diferente do servidor do seu site)
Que você saiba usar o backup para restaurar seu site. Esta é uma etapa crítica e você precisa alocar algum tempo para fazer um teste e documentar o procedimento para que você saiba exatamente o que precisa fazer quando precisar e sob muito estresse.
Eu uso o plug-inBackupWordpress que é gratuito e tem a opção de agendar backups de arquivos e banco de dados.
CONCLUSÃO: QUANDO SE TRATA DE SEGURANÇA, PREVENIR É SEMPRE MELHOR DO QUE REMEDIAR
Você precisa tomar medidas para proteger seu site WordPress de hackers. Você não precisa necessariamente pagar por um serviço mensal se não puder pagá-lo, mas com certeza precisa revisar e configurar corretamente as outras configurações sugeridas acima.
Não subestime os danos que os hackers podem causar ao seu site ou empresa. Quando você enfrentar essa situação uma vez, entenderá como é importante tomar todas as medidas possíveis antes que aconteça.
Fonte: https://clickpetroleo.com.br/