Lista de verificação de segurança simples para sites WordPress

Você sabia que mais de 100.000 sites são invadidos diariamente? É isso mesmo, o cibercrime é uma ameaça séria para qualquer empresa, e qualquer pessoa com um site WordPress também não é segura. Eu tive um desentendimento com hackers (e tive que recuperar meu site WordPress) e você provavelmente sabe que era feio.


Os hackers procuram ativamente sites vulneráveis ​​para quebrar e roubar dados que eles podem liberar para ganho monetário ou intenção maliciosa pura. Para proteger você e seu site precioso, considere seriamente reforçar a segurança do WordPress.

Considerando que você perderá receita, tempo e esforço quando os hackers invadirem seu site, criamos a seguinte lista de verificação de segurança que você pode usar para proteger seu site WordPress. Todos os itens de segurança na postagem são relativamente fáceis de implementar, mesmo para iniciantes:

Como você pode ver, dividiremos o post em várias partes, cobrindo tudo, desde a escolha de um host seguro até a proteção de sua área administrativa e outras. Você precisará repetir algumas tarefas de segurança, como atualizar seus temas regularmente. Outras tarefas são únicas, mas ainda têm um impacto significativo em manter seu site seguro. Verifique o que você precisa corrigir e faça-o imediatamente, porque os hackers também não perdem tempo.

Lista de verificação simples de segurança do WordPress

1. Atualize o WordPress

O núcleo do WordPress é auditado e verificado regularmente quanto a vulnerabilidades de segurança. Se forem detectadas falhas e bugs de segurança, os desenvolvedores principais geralmente lançam atualizações de manutenção. Pequenas atualizações são instaladas no seu site WordPress automaticamente.

No entanto, você precisará atualizar o WordPress manualmente para todas as principais versões. É um processo relativamente direto, pois você recebe uma mensagem irritante no administrador do WordPress. Apenas 22% dos sites são executados na versão mais recente do WordPress, o que é triste, considerando a facilidade de atualização.

Não fique nos 78% restantes, pois você está essencialmente expondo seu site a todos os tipos de ataques ao não atualizar seu site. Geralmente, os hackers são o primeiro grupo de pessoas a aprender sobre quaisquer vulnerabilidades nas versões antigas, pois contam com as falhas para lançar ataques bem-sucedidos..

Antes de atualizar o WordPress, recomendamos que você leia as notas de versão para ver o que mudou e faça um backup do seu site (apenas por segurança). Dessa forma, você agora o que esperar ao clicar nesse botão de atualização e tem uma segurança contra falhas caso algo dê errado.

2. Temas e plugins de atualização

Ao atualizar o núcleo do WordPress, não esqueça de atualizar seus temas e plug-ins também. Os hackers gostam particularmente de temas antigos e plugins com falhas de segurança conhecidas.

Eles exploram essas vulnerabilidades de segurança e podem até ocultar um backdoor em um tema ou plugin antigo. Se você não atualizar, eles podem invadir seu site sempre que lhe agrada..

Para evitar perder seus estilos personalizados, recomendamos o uso de um tema filho do WordPress, em vez do tema pai. Dessa forma, você não perderá suas personalizações ao atualizar seu tema.

Você também deve eliminar quaisquer temas inativos, plugins e instalações não utilizadas do WordPress. Você não apenas economizará largura de banda e tornará seu site mais rápido, mas também manterá os hackers afastados.

Outra observação rápida: nunca baixe temas e plugins premium “anulados”. Vá apenas com fontes confiáveis, como WordPress.org, Envato ou outra loja temática respeitável.

3. Use senhas únicas e fortes

Você ficará surpreso ao saber que a maioria dos sites é invadida quando os bandidos roubam suas informações de login. Além disso, ataques de força bruta são bastante comuns e envolvem bombardear sua página de login com milhares de combinações de nome de usuário e senha até que algo aconteça.

Se você usa nomes de usuário e senhas fracos (como o infame “admin” ou “12345”), está tornando incrivelmente fácil para os hackers invadir seu site. Adquira o hábito de criar senhas únicas e fortes que você altera regularmente. Você pode até usar um gerador online gratuito, como este da Última passagem.

Gerenciar muitas senhas fortes pode ser um problema. Para ajudar, costumo confiar em gerenciadores de senhas como 1Password ou LastPass, entre outros. Não reutilize a mesma senha em vários sites e mantenha sempre suas informações de login seguras. Garanta que seus usuários do WordPress também usem senhas fortes.

Enquanto você estiver nisso – lembre-se de usar senhas fortes para seu email, cPanel, bancos de dados MySQL e contas FTP também.

4. Instale um plug-in de segurança do WordPress

Sempre que crio um novo site WordPress, geralmente tenho vários plugins padrão que instalo quase automaticamente. Recebo um plug-in anti-spam, Formulário de contato 7, códigos de acesso simples e iThemes Security, meu plug-in de segurança WordPress.

O plugin me permite fortalecer minhas defesas do WordPress sem suar a camisa. Ele vem com tantos recursos que tornam fácil manter os bandidos fora dos meus sites. A configuração do plug-in é super fácil; você deve estar em funcionamento rapidamente.

Os melhores plug-ins de segurança do WordPress oferecem recursos diferentes, portanto, verifique antes de instalar para verificar se você está obtendo todos os recursos necessários para proteger todo o site, não importa quão único seja. Os recursos padrão incluem verificação de malware, bloqueio de IP, prevenção de força bruta, autenticação de dois fatores e muito mais – marcando muitas das caixas desta lista de verificação de segurança que você está lendo agora!

5. Escolha uma ótima hospedagem WordPress

Normalmente, os iniciantes buscam o primeiro pacote de hospedagem barato que encontram. Eu não resistiria a você, pois você não conhece nada, mas a hospedagem compartilhada, questionávelmente barata (ou até gratuita), pode expor você a riscos de segurança. Eu sei disso desde que fui invadido por duas empresas de hospedagem diferentes que oferecem hospedagem compartilhada.

Hospedagem compartilhada envolve o compartilhamento de um servidor com milhares de outros sites. Isso aumenta o risco de contaminação entre locais. Ou seja, um hacker pode obter acesso ao seu site, mesmo que o site de outra pessoa seja o ponto de ataque original.

A hospedagem gerenciada do WordPress, por outro lado, concentra-se apenas nos sites WordPress. Você não compartilha um servidor com outras pessoas e tem mais opções de segurança para se manter seguro. Eles também oferecem suporte dedicado e mais opções de recuperação devem acontecer.

Se você precisar usar hospedagem compartilhada, diga que está começando com um blog que ainda não ganha dinheiro, verifique se os sites estão isolados ou “presos”. Se você estiver executando um site comercial ou de comércio eletrônico, vale a pena usar a melhor hospedagem WordPress que você pode ajustar no seu orçamento desde o início – como VPS, hospedagem WordPress dedicada ou gerenciada.

6. Use SSL (HTTPS)

Atualmente, muitas empresas de hospedagem WordPress oferecem certificados SSL gratuitos desde o início e por um bom motivo. Os certificados SSL tornam seu site mais seguro do que sites sem SSL. O Google também recomenda o uso de certificados SSL para proteger os dados em seu site (e garantir que os usuários saibam se você usa ou não SSL).

O HTTPS é mais seguro que o HTTP predecessor. Um site que usa HTTPS criptografa todos os dados que se movem entre o navegador do usuário e seus servidores. Se um hacker intercepta a comunicação, ele só encontrará dados criptografados que são tão úteis quanto um homem de uma perna em uma competição de chutes na bunda ��

A instalação de certificados SSL na maioria dos hosts da Web é tão fácil quanto A, B, C. A maioria oferece instaladores com um clique que facilitam todo o processo. Basta fazer login no cPanel e clicar em um único botão para instalar e gerenciar seus certificados SSL. Se você quiser uma abordagem mais prática, considere conferir Vamos criptografar.

7. Crie um backup completo do site

Quando os hackers me destronaram, eu tive que reconstruir meus sites a partir do zero, uma dor de cabeça que eu teria evitado se tivesse me lembrado com confiança de fazer backup do WordPress.

Mas não, os backups que estavam com meu host foram corrompidos durante o ataque e não, eu não tinha uma solução de backup secundário. Um caso clássico de colocar todos os seus ovos em uma cesta que me ensinou uma lição difícil.

Atualmente, crio backups completos de sites que incluem os arquivos e bancos de dados do meu site. Eu uso principalmente ManageWP, mas eu também uso o Plug-in do duplicador para armazenar backups no meu computador e no Google Drive.

Peço que você crie backups completos regularmente. Muitas soluções de backup do WordPress permitem automatizar todo o processo, economizando tempo e proporcionando tranquilidade.

8. Use um WAF (Web Application Firewall)

Para adicionar uma camada extra de segurança ao seu site WordPress e dormir melhor à noite, ative um firewall de aplicativo da web (WAF). Um WAF protege seu site bloqueando o tráfego malicioso muito antes de chegar ao seu site. É uma medida proativa para impedir que os bandidos sejam mortos antes que eles causem algum dano.

O firewall filtra o tráfego recebido, eliminando hackers e permitindo que usuários legítimos passem. Muitas empresas de segurança do WordPress oferecem firewalls de aplicativos da web, além de outros recursos. Opções populares na indústria incluem Sucuri e Cloudflare.

9. Desativar edição de arquivos no WordPress Admin

O WordPress CMS vem com um editor de código fantástico que permite editar arquivos de plugins e temas dentro do painel de administração do WordPress. O editor de código é uma ótima ferramenta para ter à sua disposição, mas nas mãos erradas, os hackers podem usá-lo para desfigurar ou adicionar malware no seu site.

Você sempre pode editar seus arquivos de tema e plug-ins (se necessário) via FTP ou gerenciador de arquivos no cPanel, o que significa que você pode desativar completamente o editor de código no WordPress. Você não deseja que hackers que obtêm acesso à sua área de administração do WordPress tenham acesso ao editor de código, porque eles podem causar muitos danos com algumas linhas de código.

O que fazer? Você pode desativar o editor de código interno usando o software gratuito Sucuri Security plugar. Como alternativa, você pode adicionar o seguinte código ao seu wp-config.php Arquivo:

// Não permitir edição de arquivo
define ('DISALLOW_FILE_EDIT', verdadeiro);

Estamos seguindo em frente.

10. Proteja sua página de login

Normalmente, o formulário de login no seu WordPress tem dois campos; usuário e senha. Com invasores de força bruta e bots ficando mais espertos a cada dia, como você impede que hackers obtenham acesso à sua área de administração do WordPress? É simples; você adiciona CAPTCHA ou perguntas de segurança que dificultam o acesso não autorizado a qualquer pessoa.

E você não precisa editar o código para adicionar CAPTCHA ou questões de segurança para a sua página de login. Existe um popular plugin WordPress conhecido como Pergunta de segurança do WP fácil de configurar e usar. Se você deseja usar o CAPTCHA, pode usar Captcha de login simples, WordFence, ou uma das muitas outras opções disponíveis gratuitamente no WordPress.org.

Ao mesmo tempo, você pode mude seu URL de login wp para algo único. Dessa forma, bots e hackers terão dificuldade em adivinhar o URL da sua página de login. O wp-login já é popular entre os hackers, por isso faz todo sentido alterar a URL para outra coisa. Você pode usar um plug-in como WPS Ocultar Login.

11. Adicionar autenticação

Além disso, considere implementar a autenticação de dois e vários fatores. Caso um hacker obtenha acesso aos seus detalhes de login, ele não poderá acessar o seu site WordPress. Existem muitas opções disponíveis, mas Google Authenticator é uma escolha popular.

Fora isso, limite os logins na sua página de login. Se um visitante estiver tentando fazer login com uma conta que não existe ou está tentando fazer login muitas vezes, provavelmente é um hacker ou um bot tentando entrar com força bruta. Você pode usar um plug-in como Limitar tentativas de login ou Bloqueio de Login para manter esses elementos intrusivos longe.

12. Desconectar usuários inativos

Quando você tem um site WordPress para vários usuários, não pode controlar totalmente como ou onde os usuários acessam seu site. Um autor pode decidir usar o Wi-Fi público gratuito para fazer os retoques finais em um artigo. Um web designer pode deixar sua mesa e retornar de uma hora de almoço.

Nesses cenários, o usuário pode expor seu site a riscos de segurança sem saber. Uma pessoa mal-intencionada pode assumir a sessão, editar seus detalhes e simplesmente causar estragos. Se a parte não autorizada souber o que está fazendo, poderá facilmente assumir a conta do usuário e causar danos.

O que fazer? Você pode desconectar usuários inativos automaticamente após um período predefinido. E a melhor parte? Existem plugins para esse fim exato. Uma opção popular é a Logoff inativo plugin que inclui opções para personalizar o tempo ocioso antes do logout, mensagem pop-up personalizada ou redirecionar após o logout e tempo limite de acordo com a função do usuário.

13. Verificar malware e problemas (regularmente)

Muitas vezes esquecido, a varredura do site WordPress regularmente pode ajudar a identificar problemas de segurança desde o início. Leva apenas um segundo para um hacker invadir seu site e fazer todo tipo de coisa desagradável. É exatamente por isso que você deve ficar por dentro das coisas o tempo todo.

Muitos plug-ins de segurança do WordPress para verificar infecções por malware, vulnerabilidades de segurança conhecidas, scripts desatualizados, ataques de força bruta, backups inexistentes e assim por diante. Os plug-ins enviam relatórios detalhados sobre problemas conhecidos, para que você possa corrigi-los ou contratar um profissional.

Existem muitos scanners de sites, como Sucuri SiteCheck, que você pode usar para verificar seu site rapidamente. Tudo o que você precisa fazer é inserir seu URL e as ferramentas verificarão seu site automaticamente. Depois disso, eles oferecem um relatório sobre o que você precisa corrigir. Depois de ter o relatório, corrija todas as vulnerabilidades de segurança imediatamente.

14. use uma VPN

Se você administra um site que carrega informações confidenciais que nunca devem chegar às mãos de hackers, considere usar uma rede virtual privada (VPN), mais ainda ao usar Wi-Fi público gratuito. Uma VPN protege você contra ataques intermediários comuns em redes públicas, inclusive em casa e no trabalho.

Uma rede privada virtual garante que, mesmo que os invasores obtenham acesso ao sistema e roubem seus detalhes, eles não possam fazer nada com os dados que coletam de você. Se você tem uma rede da Internet que está compartilhando com muitas pessoas, sempre use uma VPN antes de acessar sua área de administração do WordPress.

Outras opções de segurança do WordPress

Precisa de mais para fazer? Gostaríamos muito de manter seu site seguro o tempo todo, portanto, aqui estão itens de segurança bônus a serem adicionados à sua lista de verificação:

  • Desative a execução do arquivo PHP em / wp-content / wp-uploads /
  • Alterar seu prefixo de banco de dados do WordPress
  • Proteger com senha suas páginas de administrador e de login no lado do servidor
  • Desativar indexação de diretório
  • Desative a API REST do WP e o XML-RPC, se não for necessário
  • Não edite / altere o núcleo do WordPress – escreva ou use um plug-in que ofereça a funcionalidade necessária
  • Verifique se o seu site executa a versão mais recente do PHP
  • Use um programa antivírus no seu computador
  • Ativar o Google Search Console
  • Reduza as vulnerabilidades de injeção de XSS e SQL (você pode precisar de uma pessoa mais experiente em tecnologia para ajudar com essas duas)

Realmente, o número de etapas que você pode executar para proteger seu site é infinito. Mas se você pode marcar os 14 itens que listamos, é um grande passo para proteger seu site.


Proteger o seu site WordPress é desafiador, mas não impossível. Com as ferramentas e habilidades certas, você pode fortalecer rapidamente a segurança do WordPress e manter afastados os maus atores.

Como recapitulação, mantenha sempre seu site atualizado. Além disso, nunca baixe temas ou plugins de sites não confiáveis. E para estar do lado seguro, se o pior acontecer, sempre tenha uma solução de backup confiável.

Esperamos que você tenha encontrado todas as dicas necessárias para proteger seu site WordPress, portanto, negócios online. Se você tiver alguma dúvida ou precisar de ajuda para descobrir como proteger seu site WordPress, informe-nos nos comentários. Fique seguro!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me