como sites WordPress são invadidos
Por causa de sua popularidade generalizada como CMS, o WordPress também é alvo popular para os hackers.
Ataques de hacking são na maioria das vezes oportunistas, em vez de serem alvos específicos (embora sites de grandes marcas possam ser alvos específicos). A maioria dos ataques são automatizados, com os bots procurando alto e baixo através da Internet por fraquezas de segurança para explorar.
Ataques são frequentemente feitos via:
- Alojamento inseguro de websites
- Detalhes de login – por exemplo, tentando múltiplas combinações aleatórias de nome de usuário e senha
- Fraquezas de segurança em CMS, plugin ou software temático – geralmente quando não foi atualizado
Hackers têm uma grande variedade de motivos diferentes, mas muitas vezes é sobre lucro. Hackear sites para distribuir malware, obter dados de usuários, enviar e-mails de spam ou redirecionar visitantes de sites pode ser extremamente lucrativo.
Tantas violações de segurança podem ter um impacto enormemente negativo no seu site e negócios – minando a confiança dos usuários, causando violações legais e custando potencialmente milhares de libras. Então é vital proteger seu site WordPress contra hacking.
é o meu site WordPress vulnerável a hacking?
WordPress iniciantes e pequenos proprietários de sites geralmente pensam que não precisam se preocupar com a segurança. Eles assumem que o seu site será muito pequeno e insignificante para interessar aos hackers.
Esta suposição está errada.
PalavraOs sitesPress de todos os tamanhos são hackeados. Hackers usam bots automatizados para procurar sites com fraquezas de segurança na internet e hackearão onde quer que haja oportunidade.
Outra coisa importante para perceber é que você pode nem estar ciente quando os hackers estão tentando invadir o seu site. A menos que você receba notificações regulares de segurança sobre tentativas de hacking, você provavelmente só vai descobrir quando um hacking for bem sucedido e algo no seu site der errado.
A mensagem de take-away é que todos os sites são vulneráveis ao hacking – e a prevenção é melhor do que a cura. Certifique-se de instalar um plugin de segurança e tomar outras medidas preventivas de segurança para manter seu site seguro.
como vencer os hackers do WordPress
Agora compartilhamos as 10 melhores maneiras de manter seu site WordPress seguro e evitar que ele seja hackeado.
1) Escolha um provedor de hospedagem seguro
Todos os bons provedores de hospedagem incluirão proteção de segurança para garantir que as informações do seu site sejam mantidas seguras em seus servidores.
Quando escolher um provedor de hospedagem, certifique-se de verificar que medidas de segurança eles têm (como firewalls e FTP seguro), como eles monitoram sua rede de servidores, e como eles respondem a qualquer violação de segurança.
Seu site WordPress pode ser particularmente vulnerável ao hacking se você tiver um plano de hospedagem compartilhado, pois os hackers podem potencialmente usar outros sites no mesmo servidor para obter acesso ao seu.
A opção de hospedagem mais segura – mas também a mais cara – é um servidor dedicado. Isto vale a pena considerar se você tem níveis de tráfego particularmente altos ou mantém dados sensíveis no seu site.
2) Obtenha um plugin de segurança
Guardar um plugin de segurança de alta qualidade é um imperativo para evitar que o seu site WordPress seja hackeado.
Plugins de segurança geralmente incluem:
- um firewall para bloquear tráfego suspeito
- proteção de força bruta contra múltiplas tentativas aleatórias de login
- um scanner que verifica seus arquivos, temas e plugins para problemas de segurança
- notificações de segurança regulares
Recomendamos o Wordfence – um excelente e gratuito plugin de segurança. Uma vez instalado, ‘Wordfence’ aparecerá no menu do lado esquerdo do seu painel de controle do WordPress. Você pode clicar aqui a qualquer momento para verificar o seu site, ver as últimas notificações e obter recomendações para melhorar a segurança do site.
3) Escolha um tema seguro
Escolher o tema certo para o seu site é crucial. É claro que ele precisa ter a aparência e as características certas para a sua organização. Mas ele também precisa ser robusto e seguro.
Um tema seguro irá:
- Ser atualizado e corrigido regularmente
- Sigir bons padrões de codificação
- Não estar associado a bugs ou erros de compatibilidade
Com mais de 7.000 temas WordPress disponíveis, pode ser complicado saber por onde começar!
A melhor maneira de escolher um tema seguro é olhando no WordPress.org. Lá, você pode navegar por revisões de temas, verificar quantas instalações um tema teve, e ver quando o tema foi atualizado pela última vez – todas boas indicações de segurança.
Você também pode querer pedir à sua agência WordPress recomendações de temas que irão atender às necessidades de seu site e organização em particular.
4) Mantenha o WordPress atualizado
Mantendo o WordPress atualizado é outra medida de segurança importante. As atualizações do software WordPress são feitas regularmente para otimizar o desempenho e corrigir quaisquer problemas de segurança à medida que são descobertos.
É possível aplicar atualizações automáticas para a maioria das versões principais do WordPress, para que seu site seja atualizado em segundo plano, sem que você tenha que fazer nada. No entanto, você ainda precisa agir manualmente versões maiores – certifique-se de fazer backup do seu site primeiro!
Mensagens de atualização aparecerão no seu painel do WordPress assim que elas estiverem disponíveis. Basta clicar nelas para agir. É uma boa idéia atualizar plugins e temas regularmente também.
5) Use detalhes de login seguros
Como mencionado acima, uma das principais formas de hackers poderem acessar seu site WordPress é através de tentativas de login automatizadas ‘adivinhadas’. Quanto mais óbvio seu nome de usuário e senha, mais provável que essas tentativas sejam bem sucedidas.
Para prevenir hackers, certifique-se de escolher um nome de usuário atípico. Isto significa basicamente não usar ‘admin’, que é tão comum que os primeiros hackers tentarão.
Segundamente, vá para uma senha segura incluindo uma mistura de letras, símbolos e números. Para máxima segurança, esta deve ter pelo menos 12 caracteres e não incluir palavras de dicionário.
Além de proteger seu login no painel de controle do WordPress, certifique-se de escolher nomes de usuário e senhas seguras para suas outras contas relacionadas ao site, tais como seu endereço de e-mail personalizado. Caso contrário, estes também poderiam ser usados para hackear seu site.
6) Adicione autenticação de dois fatores
Você pode fortalecer ainda mais seu login no WordPress, habilitando a autenticação de dois fatores. Isto é particularmente útil se você tiver vários usuários fazendo login no back-end do seu site.
Com autenticação de dois fatores, os usuários fazem login em dois estágios. Primeiro, eles digitam seu nome de usuário e senha. Depois, eles têm que digitar um código de acesso único para verificar sua identidade.
Com o plugin de segurança Wordfence que recomendamos acima, a autenticação com dois fatores é fácil de ativar. Ele usa um aplicativo autenticador para gerar senhas para usuários.
Para configurar as coisas, vá para Wordfence > Login Security no seu painel de controle do WordPress, e copie a chave fornecida. Depois baixe o Google Authenticator (ou outro aplicativo autenticador), e digite esta chave.
Neste ponto, o aplicativo irá fornecer um código de seis dígitos. Simplesmente digite-o novamente no seu painel do WordPress e clique em ‘Activate’.
A autenticação de dois factores será agora activada. Isso significa que toda vez que você tentar fazer login no WordPress, você será solicitado a ir ao seu aplicativo autenticador e coletar uma senha.
7) Desactivar a edição de ficheiros
WordPress tem um editor de código que lhe permite editar os ficheiros do seu site através do seu painel de instrumentos. Embora este seja obviamente um recurso útil, é também uma enorme responsabilidade em termos de hacking. Por isso recomendamos que o desligue.
Uma outra forma de prevenir a edição de ficheiros é desactivando a execução de ficheiros PHP nas suas pastas /wp-content/uploads/. Para isso, abra o Bloco de Notas – ou um editor de texto similar – e cole o seguinte:
<Arquivos *.php>
deny from all
</Files>>
Se você salvar isso como .htaccess e carregar o arquivo para as pastas /wp-content/uploads/ em seu website, ele também evitará que hackers façam ataques de backdoor na sua execução do PHP.
8) Verificar seu website e computador
É importante verificar seu website regularmente para verificar malware, vírus e código suspeito. Se usar o plugin Wordfence, isto pode ser feito indo ao Wordfence > Scan e clicando em ‘Start new scan’.
Se houver algum problema, o Wordfence irá sugerir como corrigi-los e tornar o seu site seguro novamente. Recomendamos que faça uma varredura pelo menos uma vez por mês – se você puder fazer isso com mais freqüência, então ainda melhor!
No entanto, não é bom confiar em ter um site seguro se o computador a partir do qual você opera o site estiver com bugs ou infectado. Portanto, certifique-se de verificar o seu computador ou dispositivo regularmente também.
Você deve usar um bom software anti-vírus no seu dispositivo, e certifique-se de atualizar o seu sistema regularmente. Também recomendamos verificar as configurações de privacidade do seu navegador para evitar ser invadido enquanto você navega na Internet.
9) Use HTTPS
Guardar um site HTTPS significa que as comunicações entre o seu site e os navegadores dos usuários são criptografados. Esta é, portanto, outra maneira fundamental de evitar o hacking.
Se você ainda não tem um site HTTPS, é muito simples de transferir. Só precisa de obter um certificado SSL (Secure Sockets Layer), que está disponível para todos os sites, gratuitamente, em Let’s Encrypt.
Se já tem um certificado SSL, então certifique-se de definir um lembrete de calendário para o renovar de dois em dois anos. Caso contrário, é fácil esquecer e deixar o status HTTPS do seu site – e boas credenciais de segurança – caducar.
10) Backup, backup, backup!
Se a nossa dica final não impedir o hacking, é provavelmente o passo mais importante a dar no caso do seu site ser hackeado.
Fazendo backups regulares do site, você pode reintegrar o seu site rapidamente, se necessário. Sem fazer backups, você pode perder tudo o que alguma vez concebeu, publicou ou escreveu no seu site.
Como fazer backup do seu site WordPress vai depender do tipo de alojamento que você tem. Certifique-se de falar com o seu provedor de hospedagem; eles podem incluir backups como parte do seu pacote de hospedagem.
Alternativamente, fale com a sua agência WordPress ou instale um plugin de backup. Seja qual for a maneira que você fizer isso, certifique-se de fazer backup do seu site WordPress regularmente e armazenar seus arquivos de backup com segurança para que você saiba que eles estão lá se você precisar deles.