Como corrigir buracos de segurança do WordPress para uma experiência de compra mais segura

Ao configurar um site de comércio eletrônico no WordPress, a segurança precisa ser sua prioridade número um. Sempre que estiver lidando com informações pessoais ou dados financeiros de pessoas, você deve ser duplamente cuidadoso. Deixar de mostrar que você é um fornecedor confiável por meio de logotipos de segurança reconhecíveis e isso pode perder seus clientes. Mas não prestar atenção à segurança pode resultar em um resultado muito pior: roubo e perda de dados.


Esse é o pior pesadelo do proprietário do site de comércio eletrônico. Felizmente, você não precisa deixar isso acontecer com você. Aqui, discutirei alguns dos problemas de segurança mais comuns enfrentados pelos sites de comércio eletrônico baseados em WordPress e guiaremos você pelas etapas necessárias para corrigir essas falhas de segurança de uma vez por todas.

Etapa 1: SSL

Ao trabalhar no espaço de comércio eletrônico, uma coisa que você absolutamente não pode comprometer é o SSL. Essa é a Secure Sockets Layer para os não iniciados e protege as informações confidenciais (suas e dos seus clientes) enquanto estão sendo transmitidas para processamento. Uma boa maneira de garantir que os pagamentos em seu site sejam seguros é usar um sistema popular como o PayPal. Isso mantém todas as informações financeiras fora do seu site e nas mãos de uma empresa especializada em proteger transações como esta.

Embora um SSL curinga possa ser caro, muitas das melhores opções de hospedagem para WordPress oferecem SSL grátis por meio do Let’s Encrypt. É rápido, fácil e totalmente gratuito.

Etapa 2: use uma plataforma pronta

Uma maneira de aumentar a segurança do site é usar uma plataforma de comércio eletrônico pronta para uso. Isso elimina as suposições em termos do que você deve e não deve incluir e facilita muito o início. Existem várias plataformas por aí, como WooCommerce, Shopify e outras. Portanto, faça sua pesquisa para encontrar uma plataforma de comércio eletrônico que atenda adequadamente às suas necessidades.

Se você optar por usar apenas um tema do WordPress, é melhor usar apenas os encontrados no diretório do WordPress ou em sites temáticos respeitáveis. Temas de baixa qualidade geralmente carecem das medidas de segurança adequadas, que colocam em risco o site e as informações de seus clientes.

Etapa 3: Modificar .htaccess

código

Outra maneira de solucionar possíveis problemas de segurança do WordPress é modificar o arquivo .htaccess. Muitos ataques de site são realizados no banco de dados que suporta a plataforma. Se o banco de dados for atacado, ele não poderá executar os scripts PHP que fazem seu site funcionar.

A injeção de SQL é uma maneira de os hackers se infiltrarem no seu site. Eles fazem isso colocando seus próprios comandos em uma URL no seu banco de dados. Esses comandos podem forçar o banco de dados a gerar informações sobre seu site, incluindo informações de login. Variações nesse método de hackers podem causar a execução de scripts PHP específicos que instalam malware no seu site. Basicamente, tudo isso é uma má notícia para alguém que tenta executar um site seguro que seus clientes possam se sentir confiantes usando.

Felizmente, você pode remediar isso modificando o arquivo .htaccess nos arquivos do seu site WordPress. Há uma excelente coleção de trechos de código .htaccess que você pode colocar no arquivo para reforçar a segurança do site. Depois que essas regras estiverem em vigor, você poderá impedir que certas pessoas acessem seu site, incluindo endereços IP específicos e solicitações de URL específicas.

Você também pode limitar quais arquivos as pessoas podem ver. Esses comandos também podem ser adicionados ao .htaccess e permitem bloquear qualquer pessoa idosa de acessar os arquivos particulares no seu servidor. Normalmente, você pode fazer isso bloqueando o acesso às listas de diretórios. Não é necessário que os visitantes do site vejam uma lista de todos os arquivos em nosso site, portanto, bloquear o acesso impedirá que usuários mal-intencionados montem um ataque usando essas informações.

Etapa 4: ignorar o administrador

Outra coisa que você definitivamente deseja fazer ao configurar seu site WordPress de comércio eletrônico é garantir que seu nome de usuário e senha sejam compostos por uma combinação de letras, números e caracteres. Você nunca deve manter seu nome de usuário como o “administrador” padrão. É isso que os hackers “adivinham” como o nome de usuário com mais frequência ao montar ataques de força bruta (veja abaixo). E você definitivamente não quer facilitar a vida dos hackers. Então faça seu nome de usuário e senha complicada.

O plugin Keyy

Você também pode instalar a autenticação em duas etapas no seu site. Algo como Keyy Two Factor pode fazer o truque.

Etapa 5: limitar tentativas de login

Como mencionei acima, as pessoas podem obter acesso ao seu site através de ataques de força bruta. Esses ataques são realizados por scripts automatizados que tentam repetidamente acessar o seu site repetidamente. Como os scripts são executados milhares de vezes, é provável que eles acabem tendo sucesso.

Ou seja, a menos que você coloque uma medida à prova de falhas. Um desses à prova de falhas é um limitador de login. Um limitador de login é uma ferramenta que impede que endereços IP ou nomes de usuário específicos façam login por um determinado número de vezes dentro de um período de tempo especificado. Um limite típico de 10 vezes em alguns minutos fará com que o usuário ou IP sofra um tempo limite por uma hora. Os atacantes de força bruta não são eficazes quando confrontados com um limitador de login, porque não podem fazer milhares ou milhões de tentativas de login necessárias para obter sucesso. Eles geralmente passam do seu site e procuram um território mais fácil.

Segurança do iThemes

Existem muitos plugins limitadores de login disponíveis, mas deixe-me falar sobre alguns que eu pessoalmente gosto. Primeiro, há Segurança do iThemes, que é um plug-in robusto projetado para proteger seu site de uma ampla variedade de ataques. De fato, inclui mais de 30 maneiras de impedir ataques ao site, incluindo táticas de obscuridade, limitação de login, detecção de bot e muito mais.

E então há Limitar tentativas de login, que impede ataques de força bruta, permitindo limitar o número de vezes que uma pessoa pode tentar fazer login. Também é totalmente personalizável e fornece notificações opcionais de log e email quando ocorrem bloqueios no site.

Existem outras opções, é claro, mas essas são apenas duas que eu considero confiáveis.


Não importa que tipo de site você gere, é importante ter em mente a segurança. Mas é ainda mais importante para aqueles que administram sites de comércio eletrônico. Quando você é responsável pelas informações de outras pessoas, é vital que você faça tudo o que estiver ao seu alcance para protegê-las. Isso pode significar o uso de uma plataforma de comércio eletrônico pronta ou a opção de processar todas as transações externamente por meio de um serviço seguro. Ou então, pode ser necessário entrar manualmente nos arquivos do site WordPress e adicionar algum código para protegê-lo contra invasores mal-intencionados. E ao garantir que seu nome de usuário e senha não sejam suficientes, você pode até limitar as tentativas de login para evitar ataques de força bruta.

Todos esses métodos, quando usados ​​em conjunto, podem ajudar a reforçar a segurança do site e proporcionar uma experiência de compra mais segura para seus clientes. O que é meio que o ponto principal, você não acha?

Agora para você. Quais métodos você usa para melhorar a segurança do site WordPress para lojas online? Quais ferramentas ou plugins são essenciais para você? Eu adoraria ouvir tudo sobre isso nos comentários!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map