Como NÃO proteger seu site WordPress

Como NÃO proteger seu site WordPress

Qual é a primeira coisa que você faria quando quiser proteger seu site WordPress? Descubra os cinco principais plug-ins de segurança, pense em quanto eles são acessíveis e, em seguida, vá em frente e instale um. Feito isso, agora você pode sentar e relaxar, certo? Errado!


O uso de um plug-in de segurança não garante a segurança. A segurança não é absoluta e ninguém pode garantir a segurança completa. O melhor que podemos fazer é reduzir o risco de um hack. E, contrariamente à crença popular, o proprietário do site precisa estar envolvido em manter o site seguro. Saber o que você deve ou não fazer é significativo.

Embora existam vários guias sobre o que você deve fazer para manter seu site WordPress seguro, oferecemos um guia sobre o que você deve EVITAR em vez disso. Você notará que os conselhos aqui estão em conflito com a crença geral. Mas, de acordo com nossa experiência, muitos conselhos estão desatualizados e oferecem uma falsa sensação de segurança.

Se a questão da segurança do WordPress o incomoda tanto quanto a nós, dê uma olhada no seguinte.

1. Não use muitos plug-ins de segurança

Dada a grande variedade de plugins disponíveis no mercado, com vários conjuntos de recursos, é tentador usar mais de um plug-in de segurança do WordPress. Para ser sincero, é um exagero. Estar ansioso com a segurança do seu site é normal, mas você precisa se perguntar se realmente precisa de mais de um plug-in de segurança. Quais são os recursos essenciais para os requisitos do seu site? Os recursos vão pisar nos dedos um do outro?

Por exemplo, um conflito pode surgir quando os plugins começarem a modificar arquivos como wp-config.php ou htaccess. Os plug-ins podem mexer facilmente com esses arquivos, mas eles não são modificados de uma única maneira unânime. Isso pode criar conflitos e tornar seu site lento.

Com sites WordPress, as coisas podem dar errado de vez em quando. Todo mundo odeia a temida Tela Branca da Morte. Ter vários plug-ins que afetam profundamente seu site pode dificultar os problemas de depuração. Agora, se houvesse apenas um plugin, encontrar e corrigir a causa do erro teria sido mais fácil e menos complicado.

2. Não altere o prefixo do banco de dados

Existem várias maneiras pelas quais um site WordPress pode ser comprometido. O hacker pode obter acesso ao banco de dados de um site por meio de um ataque de injeção de SQL. Uma vulnerabilidade em um plug-in ou tema pode ser usada para invadir o banco de dados do site (é por isso que sugerimos que você use um Plugin de backup de banco de dados WordPress para evitar armadilhas semelhantes). Um método popular para impedir que hackers se aprofundem em seu site é alterando o prefixo da tabela padrão. Como você pode ver na imagem abaixo, no WordPress, o prefixo da tabela padrão é ‘wp_’. O WordPress permite alterar o prefixo da tabela (por exemplo, ‘xzy_’) para ocultar determinadas tabelas.

Prefixos de banco de dados do WordPress

Na superfície, isso parece uma boa ideia. Se os hackers não souberem o nome da tabela, eles não poderão recuperar os dados dela. Este é, no entanto, um falso raciocínio. Depois que alguém entra no seu banco de dados, ainda existem maneiras de descobrir as tabelas. Portanto, alterar os nomes do prefixo é inútil. Além disso, modificar o prefixo padrão pode fazer com que vários plugins se comportem mal.

Além disso, alterar o prefixo do banco de dados no meio do voo é difícil de implementar e pode causar uma falha no seu site. Isso ocorre porque há muitas mudanças que precisam ser feitas em todos os níveis. Qualquer erro no processo será catastrófico para o seu site.

3. Evite esconder sua página de login

Sempre há alguém tentando invadir seu site quebrando sua senha. Durante ataques de força bruta, os hackers tentam acessar o seu site usando uma combinação de nomes de usuário e senhas populares. E se escondermos a página de login? Isso matará dois coelhos com uma cajadada, certo? O hacker não conseguiu encontrar a página de login e a carga no seu servidor será reduzida.

O WordPress tem uma página de login padrão. O URL da página geralmente se parece com este exemplo.com/wp-login.php. Uma maneira bem conhecida de salvar seu site de ataques de força bruta é ocultar ou alterar a página de login padrão para algo como exemplo.com/mylogin.php. Embora isso pareça um plano infalível, vamos descobrir a eficácia do método para manter seu site WordPress seguro.

Redução de carga do servidor

Depois de ocultar ou alterar o local da sua página de login, toda vez que alguém tentar abri-la, eles enfrentarão um erro 404. No entanto, as tentativas de login são um processo pesado. Sempre que a página de erro 404 é carregada, ela consome muitos recursos do servidor. E acaba atrasando o seu site. Portanto, a crença comum de que ocultar sua página de login reduzirá a carga no servidor está incorreta.

URL alternativo não difícil de adivinhar

Parte do sucesso do WordPress como CMS se deve a plugins que facilitam as modificações em um site. Não é de surpreender que uma maneira popular de ocultar uma página de login de um site seja usando um plug-in. Esses plugins vêm com um conjunto de URLs de login alternativo padrão, como xzy.com/wplogin.php, etc. Fomos treinados para seguir as configurações padrão. Depois de instalar o plug-in e alterar nosso URL, não damos muita atenção a ele. Mas existem tantas URLs que um plug-in pode oferecer. Não é muito difícil descobrir esse URL de login predefinido. Portanto, o uso de URL alternativo pode ser ineficaz na maioria dos casos.

Problemas de usabilidade

A beleza do WordPress é que é fácil de usar. É uma plataforma familiar. Para um site com vários usuários, alterar ou ocultar a página de login pode causar certos problemas. Várias vezes nos deparamos com postagens em fóruns do WordPress em que os usuários são bloqueados em um site devido a uma alteração no URL de login. Na maioria dos casos, as alterações foram feitas usando um plug-in e os usuários não foram informados da situação que causava o caos..

4. Não bloqueie endereços IP manualmente

Se você tiver um plug-in de segurança instalado no seu site, será notificado sempre que alguém tentar fazer login no seu site. Você pode facilmente se apossar do IP enviando essas solicitações maliciosas e bloqueie-os usando o arquivo .htaccess. É um trabalho intensivo manualmente e não é uma prática muito conveniente.

Não é fácil de usar

Uma pessoa não técnica que tenta modificar os arquivos .htaccess é uma receita para o desastre. Um sistema de gerenciamento de conteúdo como o WordPress tem uma formatação muito rigorosa. Mesmo usando as ferramentas mais populares como FTP / SFTP são muito arriscadas. Um pequeno erro ou um posicionamento incorreto do comando pode causar uma falha no site.

Muitos IPs para bloquear

Para evitar entrar na lista negra, os hackers usam endereços IP de todo o mundo. Anteriormente, discutimos sobre o bloqueio manual de endereços IP que estão constantemente tentando invadir seu site. O trabalho (como mencionamos anteriormente) exige muito tempo e esforço, mas não é exatamente um uso muito eficiente do tempo. Mas se você usar algum dos principais plug-ins de segurança do WordPress, por exemplo, Malcare, poderá automatizar o processo de bloqueio. Esses plugins de segurança cuidam de todas as brechas de segurança do WP.

5. Escondendo o WordPress

Há uma suposição geral de que ocultar seu CMS dificulta a entrada de pessoas com vil intenção de invadir seu site. E se pudéssemos esconder o fato de que seu site está sendo executado no WordPress. Isso protegeria seu site dos hackers que desejam explorar vulnerabilidades comuns. Uma maneira fácil de fazer isso é (você adivinhou) usando um plugin. Mas o método falha quando os hackers não se importam em qual plataforma seu site está sendo executado. Além disso, existem várias maneiras de descobrir se um site está sendo executado no WordPress.

Além de usar um plugin, pode-se optar por fazer o trabalho manualmente. Mas é um processo demorado. Uma única atualização do WordPress pode desfazer tudo o que você trabalha em alguns segundos. O que significa que você precisará repetir o processo repetidamente ou evitar as atualizações do WP. Ignorar atualizações do WordPress é como abrir a porta da frente para um hacker entrar direto em sua casa.

6. A proteção de senha wp-admin não funciona

A página de login padrão do WordPress (que se parece com isso – exemplo.com/wp-admin) é um gateway para o seu site. Uma página de login típica se parece com a imagem abaixo.

Aqui você precisará usar suas credenciais para acessar o painel do WordPress. A proteção de senha da página de login ajuda a ocultar ou proteger esse gateway para o painel. É uma boa ideia, mas não sem as brechas.

Exemplo de proteção de senha LookLinux

Imagem cortesia: LookLinux

Primeiro, é difícil manter ou até alterar a senha, se você a perder. Além de serem ineficazes no fornecimento de segurança adicional, essas modificações no site podem ser muito perigosas. Por exemplo, quando você protege com senha a página de administrador, solicitações como /wp-admin/admin-ajax.php não podem ignorar a proteção. Existem plugins que podem depender da funcionalidade do Ajax do seu site. E quando eles não conseguem acessar essa funcionalidade, eles começam a se comportar mal. Portanto, isso pode causar a quebra do site.

Até você

Se você tiver alguma dúvida ou sugestão sobre o que é preciso evitar para proteger o site WordPress, informe-nos nos comentários.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map