Segurança do WordPress

O WordPress é um software extremamente popular e completamente de código aberto. O que é bom em termos de segurança é que existe uma comunidade enorme que trabalha com ele, capaz de descobrir erros e riscos à segurança mais rapidamente do que com uma solução CMS interna. (É difícil descobrir pontos fracos quando uma maneira de descobrir é realmente explorá-los, e ter uma enorme base de usuários torna a descoberta muito mais provável.)


A desvantagem é que hackers com más intenções sabem exatamente como seu site é construído. Eles já têm o ‘blueprint’ para o seu site. E se houver algum ponto fraco no núcleo, nos temas ou nos plug-ins que você usar, é algo que eles poderão saber sem obter acesso ao back-end do seu site..

Portanto, nesta postagem, mostrarei como corrigir 5 ameaças à segurança presentes em qualquer instalação completamente padrão do WordPress. (Se você já tomou algumas precauções, pode ter corrigido uma ou duas, mas é importante corrigir as cinco para minimizar o risco de ser invadido.)

Seu site mostra que você está usando o WordPress, além da versão

Versão do WordPress

A versão padrão do WordPress terá linhas de código que revelam que seu site foi criado usando o WordPress, até a versão para pessoas que sabem onde procurar. Dependendo do tema, ele pode até ser exibido visualmente em todas as páginas do seu site.

A razão pela qual isso pode ser um risco de segurança é que as pessoas podem segmentar seu site por nenhum outro motivo, a não ser por ele ter sido construído no WordPress. Se alguém encontrar uma falha de segurança no núcleo do WordPress, um tema ou plug-in, poderá encontrar o caminho para o site para explorar isso. Considerando que, se você tivesse ocultado com êxito que seu site foi criado com WordPress, as pessoas que pesquisam sites WordPress usando bots ou rastreadores são levadas a pensar que seu site não é um alvo viável.

Como corrigi-lo:
Para corrigir isso, você pode usar o plugin Hide My WP. Com este pequeno plug-in útil, você pode evitar tráfego desnecessário no servidor e, ao mesmo tempo, permanecer seguro contra ataques direcionados especificamente a sites WordPress.

Todos sabem onde está localizada a sua página de login / área de administração

WordPress Login

Se você ainda mostra que usa o WordPress (ou seja, não o esconde ativamente, por exemplo, usando um plug-in como Hide My WP), pessoas com más intenções já saberão onde tentar um ataque de força bruta no seu site..

Como corrigi-lo:
Para corrigir essa ameaça e diminuir drasticamente as chances de ser hackeado e reduzir o estresse do servidor, precisamos impedir que pessoas e bots maliciosos cheguem à nossa página de login.

Existem duas maneiras principais de fazer isso. Você pode alterar o local físico da sua página de login para outra coisa usando um plug-in (ou algumas linhas de código) ou pode limitar o acesso à sua página de login e área de administração por endereços IP. Você pode fazer isso com um plug-in dedicado a essa coisa em particular ou com um plug-in de segurança como Sucuri, Wordfence, iThemes Security Pro ou Tudo em um WP Segurança e firewall.

O WordPress tem um prefixo de tabela padrão que todo mundo usa

Prefixo da tabela do WordPress

Um prefixo de tabela é o que vem antes dos nomes das tabelas no seu banco de dados. Em vez de usuários, com o prefixo padrão do WordPress, seria wp_users. Se você usar o prefixo da tabela padrão, será mais fácil para as pessoas obterem acesso ao seu site explorando possíveis pontos fracos da injeção de sql. Porque eles sabem exatamente onde injetar informações no seu banco de dados para obter acesso ao seu site.

Na verdade, eu tive um dos meus sites invadidos por causa da injeção de sql, então essa é uma ameaça muito real da qual você precisa tomar contramedidas contra.

Como corrigi-lo:
Felizmente, é muito fácil remover esta ameaça. Se você já instalou o WordPress usando o prefixo padrão wp_, pode alterá-lo facilmente usando um plug-in como o Sucuri. Primeiro, você precisa fazer backup do seu banco de dados antes de usar essa opção, pois há uma pequena chance de algo dar errado. Você pode fazer isso com o clique de um botão. Então você pode escolher um novo prefixo ou simplesmente permitir que a Sucuri gere aleatoriamente o novo prefixo para você.

Nota: se você estiver instalando o WordPress pela primeira vez, poderá alterá-lo na interface de instalação.

Tema WordPress e arquivos de plug-in são editáveis ​​através do painel

WordPress Plugin Editor

O problema é que, se um hacker obtém acesso ao seu site, ele pode causar muitos danos. Eles podem fazer o seu site infestar outras pessoas com malware (o que pode acabar com o seu site ser colocado na lista negra do Google e desindexado pelos mecanismos de pesquisa), desfigurar o site ou abrir facilmente backdoors.

Como corrigi-lo:
Você pode adicionar esta linha de código ao seu arquivo wp-config.php:

define ('DISALLOW_FILE_EDIT', verdadeiro);

Ou use um plug-in de segurança para fazer isso por você (que basicamente inserirá apenas essa linha de código para você). O único problema é que existem plugins que permitem que as pessoas ativem e desativem essa capacidade; portanto, um hacker muito dedicado poderá instalar um plug-in, ativá-lo e obter acesso à edição de código sem acesso ao FTP.

Se você deseja ser extremamente cuidadoso e proteger contra isso, pode desativar todas as atualizações / instalações de plugins e temas adicionando esta linha de código ao wp-config.php:

define ('DISALLOW_FILE_MODS', verdadeiro);

Mas, obviamente, isso significaria que você teria que alterar seu valor para false toda vez que desejasse atualizar ou instalar um plug-in ou tema (na verdade não recomendamos essa opção, pois manter temas e plug-ins atualizados é uma das melhores maneiras para garantir que seu site seja menos vulnerável).

O WordPress possui configurações de firewall muito abertas que podem permitir que até mesmo robôs mal-intencionados tentem ataques

Ser Firewall do WordPress

As configurações padrão de firewall do WordPress estão realmente do lado liberal. Isso significa que alguns bots indesejáveis ​​e outros visitantes indesejados recebem uma luz verde.

Como corrigi-lo:
Você pode melhorar isso instalando as regras básicas do firewall da lista negra 5G, copiando-as manualmente no seu arquivo .htaccess ((você pode encontrá-lo aqui) ou instalando este plugin, ou use um plug-in de segurança para otimizar melhor as regras em seu arquivo .htaccess.

Tentativas ilimitadas de login no WordPress

Embora a configuração padrão seja de fato tentativas ilimitadas de login, você pode optar por limitar as tentativas de login ao instalar o WordPress em seu site. Se você não o fez, é uma solução incrivelmente fácil.

Como corrigi-lo:
Basta instalar o Plug-in Limitar tentativas de login. Ou, se você estiver usando a hospedagem WPEngine, esse é um recurso já incorporado para você – não é necessário nenhum plug-in! Se você já protege sua área de login, permitindo apenas que seus próprios endereços IP acessem o dasbhboard, não será necessário fazer isso. Mas se você apenas ocultou o endereço da sua página de login, é uma ótima proteção dupla contra possíveis ataques de força bruta.

Conclusão

O crime cibernético está crescendo rapidamente e a Internet está a caminho de se tornar o lar de mais criminosos do que o mundo real. Em alguns países, isso já aconteceu. Embora grande parte disso seja fraude com cartão de crédito e banco, existe um número crescente de hackers por aí e, como proprietários de sites, temos que proteger a nós mesmos e a nossos sites da melhor maneira possível.

Embora uma instalação padrão do WordPress tenha alguns pontos fracos, a beleza do WordPress está realmente na facilidade de resolver muitos dos seus problemas com o site, incluindo as ameaças à segurança mencionadas nesta postagem. Além de ter um nome de usuário exclusivo e uma senha forte, instalando um plug-in de segurança, editando algumas configurações e talvez inserindo uma linha de código ou dois, você já pode reduzir significativamente o risco de seu site ser invadido ou infestado por malware.

Você já tomou alguma medida para melhorar a segurança do seu site WordPress? Que tipo? Gostaríamos muito de ouvir algumas de suas dicas e truques! Por favor deixe nos saber nos comentarios.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me