É sempre divertido e divertido até que você não consiga acessar o seu amado site WordPress porque os bandidos assumiram o comando. Toda diversão e jogos até que alguém seja hackeado, perde acesso ao painel de administração do WordPress e o inferno se abre.


Seu humor leva o primeiro hit. Eles diminuem rapidamente quando você descobre que foi destronado. É doloroso e frustrante, para dizer o mínimo, porque, bem, um cara lá fora está mexendo com o seu sustento, se intrometendo nos seus negócios e cuspindo na sua cara.

E, rapaz, você entrará em ação, tentando freneticamente restabelecer o seu site WordPress, daí o seu negócio, para sua glória anterior. Confie em mim, você não quer ser invadido, ninguém o faz. Mas ainda assim, isso acontece com todos no dia a dia.

No entanto, sempre temos os seus melhores interesses e, como tal, reunimos várias medidas que você pode usar para reforçar a segurança do WordPress e reduzir as chances de hospedar convidados não convidados.

Com essas práticas recomendadas de segurança do WordPress, queremos que você tenha os sites mais seguros do WordPress. Faremos o possível para esclarecer os pontos, mas se precisar de ajuda com alguma coisa, faça suas perguntas e / ou compartilhe sua opinião nos comentários.

Fora do caminho, vamos fortalecer seu site WordPress.

Comece com hospedagem WordPress de qualidade

Escolhendo um plano de hospedagem

Certamente, você não pode esperar uma segurança de alto nível de um host da Web que cobra um dinheirinho por mês. Todos nós já vimos esses planos de hospedagem “temos tudo por um centavo”. Esses planos obscuros das empresas de hospedagem obscuras prometendo o céu por apenas US $ 2 a US $ 4 por mês. Oh, eles não são tão atraentes?

Eles são principalmente pacotes de hospedagem compartilhada que terão seu site e, portanto, sua empresa, vivendo no mesmo servidor com um milhão e outros sites. Todos os tipos de sites – bons e ruins. Em geral, eles são menos seguros, ao contrário, hospedagem gerenciada por WordPress que custa cerca de US $ 30 por mês.

Se ou / e quando um dos sites estiver comprometido, você também corre o risco de ficar comprometido. De fato, você ficará comprometido, mesmo que seja tão vigilante quanto o próximo cara. A única maneira de atenuar ataques relacionados a hosts da web é seguir um host confiável e um plano de hospedagem seguro desde o início.

Escolher a melhor hospedagem WordPress para o seu negócio não precisa ser um desafio, considerando que existem apenas alguns fatores a serem observados. Eles incluem custo, qualidade de suporte, políticas de backups e gerenciamento de dados, atualizações para o servidor e software nele e tudo mais..

Confira o artigo vinculado no parágrafo acima e escolha um host agradável do WordPress com base em recursos de segurança, entre outras coisas. Se você deseja pular a pesquisa e hospedar seu blog WordPress em servidores seguros, usamos, amamos e recomendamos o WPEngine. Eles oferecem hospedagem WordPress de alto nível, cheia de opções de segurança que vão surpreender você. Tudo a uma grande pechincha. Media Temple e Siteground também são outras ótimas opções de hospedagem para WordPress.

A hospedagem compartilhada Bluehost também é uma ótima opção para os iniciantes que testam as águas, mas se você precisar de uma hospedagem segura para o seu site WordPress, precisará atualizar do pacote de hospedagem compartilhada para um dos outros pacotes.

Por que seu anfitrião é tão importante? Eu fui hackeado três vezes (sim, três vezes) em seu pacote compartilhado. Bem, em parte foi minha culpa, pois negligenciei os sites das vítimas, o que deu aos hackers um dia de campo para jogar como desejassem. Desde então, reduzi esses sites porque eles eram riscos potenciais para outros sites nesse servidor específico (fique por dentro, como mencionaremos uma coisa ou duas, como negligenciar seu site pode levar a desagradáveis ​​desentendimentos com a escória da Internet, conhecida como hackers. focado; preste atenção ou você pagará com seu site).

De volta à escolha de hospedagem WordPress de alta qualidade, como você faz isso? Um simples telefonema para o seu host preferido deve ser suficiente. Você deve procurar verificar se eles executam os servidores mais recentes. Pergunte sobre as versões dos servidores, a segurança dos servidores e o software que eles executam nesses servidores..

Em seguida, faça uma pesquisa rápida no Google para verificar (ou confirmar) as datas de lançamento do software para servidor. Isso deve lhe dar uma pista sobre se eles estão executando o software mais recente. Também ajudará você a determinar com que frequência eles atualizam seus servidores. Se eles ficarem longos períodos sem atualizações, você não deve confiar neles com seus negócios on-line.

Seja vigilante e faça outras perguntas relacionadas e nunca pare até estar satisfeito com o seu, o host mais seguro que o dinheiro pode comprar.

Faça o feno enquanto o sol brilha e esteja preparado

Chave de computador de backup em azul para arquivamento e armazenamento

Chave de computador de backup em azul para arquivamento e armazenamento

Embora isso possa não impedir que os bandidos invadam seu blog ou loja on-line do WordPress, a preparação pode diminuir o impacto do ataque. Estou falando de backups de dados aqui, meu amigo. backups regulares que protegem você contra a perda de dados importantes.

Um backup oferece tranqüilidade para que você possa dormir melhor à noite. Um backup é a solução rápida que você deseja quando as coisas vão para o sul. Quando seu site incrível de receitas começa a vender Viagra em todas as páginas, você só pode contar com um backup para se recuperar de um ataque desse tipo.

Você deve fazer backup de toda a instalação do WordPress; arquivos principais, bancos de dados e tudo mais. Os especialistas recomendam ainda criptografar seus backups e armazenar uma cópia do mesmo em mídia somente leitura.

Você pode agendar facilmente backups diários ou tirar proveito de ferramentas como MySQL Workbench, Backup do banco de dados do WordPress (WP-DB-Backup) e BackWPup, entre outros. Você também pode aprender mais:

Plugins WordPress

Outro dia mesmo, Ryan Dewhurst do WPScan descoberto (e relatado) uma vulnerabilidade de injeção cega de SQL no WordPress SEO da Yoast. Agora, o WordPress SEO da Yoast é um popular plugin de SEO, com mais de um milhão de instalações ativas. Isso significa que, se um hacker explorasse essa brecha de segurança, teria mais de um milhão de sites WordPress à sua mercê. Mais de um milhão de sites!

Oh não, por favor, não se assuste. O Yoast lançou uma correção de segurança no mesmo dia em que a vulnerabilidade foi descoberta. Só há um problema. Ao contrário do WordPress, os plug-ins não são atualizados automaticamente, o que significa que você ainda estará vulnerável se não tiver atualizado para a versão mais recente do WordPress SEO.

Você também pode argumentar que não sabia nada sobre isso, mas os hackers têm todos os detalhes, pois as informações são de domínio público, onde estão prontamente disponíveis para todos. O que diabos você está esperando? Aperte o botão de atualização já. Atualize todos os seus outros plugins também.

Ainda neste negócio de plugins do WordPress, você deve comprar ou baixar plug-ins do WordPress apenas de fontes confiáveis. Para garantir a segurança, adquira seus plugins da extensa Repositório de plugins do WordPress ou de fornecedores respeitáveis, como CodeCanyon.

Existem hackers que se disfarçarão como desenvolvedores legítimos de plugins, em uma tentativa de servir plugins alinhados com códigos maliciosos. Não se apaixone por seus truques baratos, obtenha seus plug-ins em sites confiáveis. Além disso, não deixe plugins inativos por perto – exclua todos os plugins não utilizados porque eles são o ponto de entrada favorito dos hackers. Sim, são, mesmo quando desativados.

A propósito, a menos que você goste de WPEngine e Siteground, não conte com seu host para mantê-lo seguro em relação às vulnerabilidades de plug-in – assuma a responsabilidade e morda a bala.

Temas WordPress

Se os hackers não conseguirem entrar em plugins desatualizados, comprometidos ou mal codificados, eles encontrarão brechas nos seus temas. De fato, a maioria dos ataques acontece por meio de temas e plugins, então sim, você precisa estar mais vigilante aqui.

Em primeiro lugar, assim como nos plugins do WordPress, você não pode se dar ao luxo de escolher temas de qualquer lugar. Você pegará um vírus, malware ou algo pior e depois chorará quando sh * t atingir o ventilador.

Se você está operando com um orçamento muito apertado ou está apenas começando, pode conferir alguns dos nossos temas WordPress gratuitos, mas profissionalmente codificados, ou os milhares de temas gratuitos no WordPress.org. Atualmente, eu uso o Tema elegante gratuito do nosso próprio estábulo, e ele tem feito maravilhas. Vejo? Nada de pregar água e beber vinho aqui ��

Em temas premium, um ótimo tema custará cerca de US $ 60 dólares em alguns dos melhores mercados temáticos, como Temas Elegantes e Floresta Temática. Você obtém um ótimo produto, suporte de primeira linha e atualizações de segurança, entre outras coisas. Se você precisar apontar na direção certa, eu adoraria recomendar o gracioso tema Total WordPress, que é nada menos que bonito e seguro.

Você deve manter seu (s) tema (s) atualizado (s) o tempo todo, para não ter problemas com o tribunal. Dito isto, exclua todos os temas não utilizados por razões óbvias.

Se você tem um pouco de verde extra para gastar ou é um desenvolvedor WordPress, pode criar seus próprios temas personalizados. Este é o único meio infalível, embora caro, de obter temas WordPress seguros.

Obviamente, você (ou seu desenvolvedor) deve seguir os melhores padrões de codificação da Web e, se necessário, atualizar os temas. Se você contratar um desenvolvedor da Web para criar um tema para você, verifique se ele é respeitável primeiro. Você também pode verificar se o seu tema atende aos mais recentes padrões de temas do WordPress usando um plug-in como Verificação de Tema. Se movendo…

Atualizar WordPress

atualizações wordpress

Você sempre deve administrar seus negócios on-line na versão mais recente do WordPress, que é fácil. Você deve pensar que é óbvio que todos atualizariam o WordPress regularmente, considerando que todos recebemos uma notificação no painel.

No entanto, esse nem sempre é o caso, pois muitas vezes você captura empreendedores on-line que não atualizam para a versão mais recente semanas e até meses após o lançamento da atualização.

Você sempre pode obter o sabor oficial e mais recente do WordPress em WordPress.org. Você também é advertido contra o download ou instalação do WordPress a partir de qualquer outro site, porque você pode pegar alguma coisa. Algo muito ruim, como um hack de exploração backdoor ou algum código JavaScript que carrega lixo e outros hacks no seu servidor. Apenas não baixe o WordPress de nenhum outro site que não o WordPress.org.

Atualizar a instalação do WordPress é um trabalho fácil e fácil – basta uma questão de apontar e clicar. No entanto, é recomendável fazer backup do site antes de qualquer atualização, caso algo ocorra no processo. Além disso, você perderá todas as alterações feitas nos arquivos principais, pois o processo de atualização afeta todos os arquivos e pastas do WordPress.

O recurso de atualização automática foi introduzido no WordPress 3.7 para cuidar de pequenas correções de segurança e facilitar todo o processo de atualização para desenvolvedores e usuários finais. Agora, você só precisa se preocupar com as principais atualizações de versão, então sim, seu trabalho deve ser fácil. Você só precisa ativar a atualização automática.

Atualize, atualize, atualize ou prepare-se para se arrepender, se arrepender, se arrepender.

Limpe o seu computador

Depois do ensino médio, há dez anos, trabalhei brevemente em um cyber café. Foi muito interessante, porque eu conheci tantas pessoas e fiz a minha entrada no mundo do marketing digital.

Mas nem sempre foi divertido graças a worms, cavalos de Troia, vírus, malware etc. Lembro-me de que às vezes tinha que fechar o café apenas para formatar os computadores. Não importava que eu tivesse programas antivírus instalados e em execução em todos os computadores. Mas eu discordo.

Se algum hacker conseguir obter um key logger em sua máquina como um cavalo de Troia (o que significa que o keylogger está oculto em outro programa para mascarar o fato de que o hacker está registrando todas as teclas no seu PC), você nunca protegerá seu site o que.

Seu site será invadido várias vezes, pois você está apenas fornecendo suas informações de login para os bandidos. E como eles podem ver todas as teclas digitadas, eles terão acesso às suas contas on-line – todas elas. Fale de e-mail, Facebook, Twitter, YouTube etc..

Assessor de keyloggers, existem coisas piores no lado sombrio da internet. Por exemplo:

Na verdade, existem vírus em estado selvagem que infectam o computador local e, em seguida, procuram por conexões FTP abertas e carregam automaticamente um arquivo de hacker no seu host usando essa conexão. – Brad Williams, bloqueando o WordPress

Os computadores com cyber café não são exatamente como você deseja acessar o painel de administração do WordPress. Talvez seja inevitável, mas sempre garanta que todos os computadores que você usa não usem malware, vírus e spyware. Caso contrário, você estará entregando aos hackers suas informações de login e muito mais em uma bandeja de prata.

Verifique se o sistema operacional e os programas no seu computador estão atualizados. Em seguida, ative seus firewalls e obtenha o melhor programa antivírus. Eu cansei de formatar os computadores o tempo todo, então fiz uma viagem para encontrar o melhor programa antivírus. E eu achei. Desde então, tenho usado e amado o Eset.

Além disso, fique longe de sites não confiáveis, mas se for necessário, por curiosidade, desative todos os scripts, como Java, JavaScript, Flash etc. no seu navegador. Ou simplesmente não visite aqueles malditos effin ‘ sites.

Criar senhas mais fortes

reset-wordpress-password

É hora da história. Dessa vez, tomei um café a mais e criei um site WordPress que batizei “criativamente” # YouCan’tHackThis. Criativamente está entre aspas, porque eu estava surfando nas ondas de um café alto. Talvez eu tivesse tomado uma ou duas bebidas antes do café; Eu simplesmente não me lembro. Eu crio muitos sites WordPress apenas por diversão.

Meu nome de usuário era … espere … Desagrado (culparemos o café) e minha senha era, bem, não me lembro. Era uma confusão, porém, a senha e, por essa mesma razão, nunca se sustentou quando uma pessoa rude da Internet (ou coisa parecida) atingiu a página de login com ‘força bruta’.

Para encurtar a história, minhas defesas cederam e #Você não pode hackear Isso caiu como os muros de Jericó. O Google me enviou o temido e-mail “Suspeito de hackers” com um URL de amostra e, em uma investigação mais aprofundada, encontrei bastante lixo.

O hacker teve a audácia de postar uma captura de tela de sua área de trabalho no meu amado # YouCan’HackThis como se quisesse me provocar. He / she / it teve coragem eu te digo, porque no topo da captura de tela, havia páginas e páginas de cotão, conteúdo de preenchimento que não tinha direção.

Eu arrastei o site inteiro e reforcei a segurança em meus outros sites. Instalei o iThemes Security e hoje tudo o que recebo são e-mails de “Notificação de bloqueio do site”. Se alguém tentar forçar a entrada em qualquer um dos meus sites usando força bruta, ficará bloqueado por um século! Sim, são 100 anos no bin hacker. Haha, estou me empolgando.

notificação de bloqueio de site

Senhas fracas vão fazer você invadir. Da mesma forma, esse nome de usuário de administrador que você mantém tão caro tornará mais fácil para hackers. Crie nomes de usuário personalizados ao instalar o WordPress e use o indicador de força ao criar sua senha. Isso deve ser o suficiente, mas se você quiser ir além, verifique o 1Password e KeePass Ferramentas.

Relatar vulnerabilidade de segurança

É sua responsabilidade, como usuário do WordPress, denunciar uma vulnerabilidade de segurança assim que você a descobrir.

Primeiro, é um bom carma. Segundo, o que vai, volta. Terceiro, se a vulnerabilidade estiver em um plugin ou tema que você usa, você recebe atualizações de segurança e um grande obrigado. Como resultado, seu site não está comprometido e você cria um bom representante ao tornar o mundo um lugar melhor.

É nossa responsabilidade coletiva como WordPressers apontar todas as falhas de segurança que encontramos. Afinal, é para o nosso próprio bem.

Apertar as permissões de arquivo / pasta

Agora estamos entrando no grosso da segurança do WordPress. Como iniciante absoluto, eu odiaria que você surtasse. Vou sacudi-lo e servi-lo gelado da maneira que você quiser. Aqui vamos nós.

Se todos os Tom, Dick e Harry que obtiverem acesso ao seu servidor puderem editar (também conhecidos como gravar) seus arquivos e pastas, haverá muito pouco a fazer para impedir os danos que ocorrerão.

Mas e se tornássemos certos arquivos e pastas apenas graváveis ​​por você? Bem, os hackers não sabem o que fazer. Eles podem funcionar perfeitamente, mas o dano que eles causariam quando seus arquivos não são editáveis ​​/ graváveis ​​é mínimo. Bloquear as permissões de arquivo é uma medida de segurança que você deseja implementar, mais ainda se você estiver no plano de hospedagem compartilhada.

Mas como você trata desse negócio de permissão de arquivo / pasta? Aqui está um esquema possível a seguir:

  • Todos os arquivos na pasta raiz devem ser graváveis ​​somente por você
  • / wp-admin / – todos os arquivos devem ser graváveis ​​somente por você
  • / wp-includes / – todos os arquivos devem ser graváveis ​​somente por você
  • / wp-content / themes – todos os arquivos devem ser graváveis ​​por você e pelo servidor da web
  • / wp-content / plugins – todos os arquivos devem ser graváveis ​​por você

Como você define permissões de arquivo / pasta?

Para satisfazer o esquema acima, você precisa definir permissões para 755 para pastas e 644 para arquivos. Quão? Essa é a parte mais fácil. Você pode usar seu cliente FTP (como o Filezilla) ou fazer login diretamente no seu Gerenciador de Arquivos via cPanel.

Usando FTP

Depois de fazer login no servidor da Web via FTP, localize o diretório / arquivo que você deseja definir permissões, clique com o botão direito do mouse e escolha “Permissões de arquivo”. Na tela pop-up exibida, selecione as permissões que considerar adequadas. O pop-up pode ser algo como isto:

arquivo-permissões-popup-filezilla

E aqui está a lista completa de permissões de arquivo de 000 a 777.

lista-de-permissões-de-arquivo

Usando o Gerenciador de Arquivos

wordpress-security-bluehost-cpanel

Entre no seu cPanel e navegue até o Gerenciador de Arquivos. Quando isso carregar, selecione seu diretório ou arquivo e clique em “Alterar permissões” no menu na parte superior. Como alternativa, você pode selecionar sua pasta ou arquivo, clicar com o botão direito do mouse e selecionar “Alterar permissões” no menu suspenso exibido..

Aqui estão algumas orientações:

wordpress-security-change-file-Permissions

A opção do botão direito do mouse…

wordpress-security-change-file-permissions-clique com o botão direito

O pop-up “Alterar permissões”:

wordpress-security-alterar-arquivo-permissões-pop-up

Deseja saber mais? Leia mais sobre permissões de arquivo aqui. Seguindo em frente rapidamente…

Autenticação em duas etapas

A melhor maneira de proteger seus ativos online é dificultar o login dos bandidos. Se você pode mantê-los fora, você venceu metade da batalha. É aqui que entra a autenticação em duas etapas (ou dois fatores).

Ao combinar senhas fortes e autenticação de dois fatores, você adiciona uma camada de proteção ao seu site. Você melhora a segurança do seu site WordPress duas vezes.

E já que temos plugins como Google Authenticator, WordFence, Authy e Duo, implementar a autenticação em duas etapas deve ser a medida de segurança mais fácil do WordPress que você pode implementar neste minuto.

Use SSL

SSL é sigla para Secure Sockets Layer, que é uma maneira padrão de estabelecer um link seguro e criptografado entre o servidor de um site e o navegador de um usuário..

Às vezes, em vez de tentar quebrar as defesas do site, os hackers podem decidir seqüestrar os pacotes de dados que você envia do navegador para o servidor da web. Quando eles abrem esses pacotes, eles obtêm facilmente acesso às suas informações de login etc..

O que fazer? Você precisa utilizar a criptografia SSL, que protege a privacidade e a integridade de todos os dados que passam entre o site e o servidor. É exatamente por isso que você encontrará todos os principais sites que usam HTTPS em vez de HTTP em seus domínios.

É fácil de implementar e pode economizar muito tempo e frustração. Basta verificar com o seu registrador de domínio ou host da Web, e eles terão prazer em instalar o SSL para você. Os certificados SSL também costumam ser baratos, então você pode economizar um ou dois dólares.

Desativar contas de usuário não utilizadas

Pense nas contas de usuário em seus sites WordPress como assentos em um ônibus. Se houver um assento vazio, alguém entrará. Se o assento estiver ocupado ou não existir, bem, ninguém ocupará esse assento em particular.

Se você ativou o registro do usuário em seu site WordPress, vasculhe as contas de usuário de vez em quando e elimine as contas não usadas e todas as contas criadas por remetentes de spam. Se você deixar isso por aí, estará apenas pedindo para ser hackeado – e hackeado você será.

Como alternativa, você pode desativar completamente o registro do usuário acessando Configurações -> Geral e desmarcando “Qualquer pessoa pode se registrar” onde você Filiação. Você pode ver todos os usuários navegando para Usuários -> Todos os Usuários no seu menu Admin do WordPress.

Ao mesmo tempo, você pode limitar as permissões em novas contas de usuário. Você faz isso facilmente navegando para Configurações -> Geral – Função padrão do novo usuário e definindo a opção para “Assinante”. Outras funções incluem Colaborador, Autor, Editor e Administrador. Você definitivamente não deseja que novos usuários tenham privilégios de administrador. É melhor atribuir aos usuários apenas os privilégios necessários para realizar seu trabalho.


Eu poderia continuar indo, mas vou sobrecarregá-lo com muitas informações, o que definitivamente nunca é minha intenção. Gostaríamos que você tivesse dicas práticas que você pode começar a implementar neste minuto, mas isso será um sonho se eu afogar sua atenção em uma represa de factóides e outros enfeites. Então, é aqui que eu pego meu arco e fecho as cortinas.

De volta a você, comece a trabalhar nas áreas que mencionamos agora, porque quanto mais você esperar, mais fácil será para os bandidos. Basta começar com uma área e seguir em frente. Se estiver em dúvida ou com dúvidas, leve suas preocupações para a seção de comentários abaixo. Ou se você tiver uma dica a adicionar, avise-nos. Estaremos aguardando, e essa é uma promessa solene. Os melhores amigos!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me