Pagina Inicial / Artigos / WordPress / WordPress Dicas de segurança para leigos: Proteja seu WordPress Login e outras práticas de segurança

WordPress Dicas de segurança para leigos: Proteja seu WordPress Login e outras práticas de segurança

Atualizado a by

Divulgação: WHSR é compatível com o leitor. Quando compra através dos nossos links, podemos ganhar uma comissão.

Desde que foi introduzido pela primeira vez há mais de duas décadas, WordPress cresceu (e cresceu) agora com segurança ser nomeado como o mais popular do mundo sistema de gestão de conteúdos. Hoje em dia, mais de um quarto dos sites que existem são executados em WordPress.

No entanto, desde tempos imemoriais, quanto mais popular é algo, mais as pessoas querem aproveitar isso por meios nefandos. Basta olhar para o Microsoft Windows e o grande número de malware, vírus e outras explorações projetado para atingir apenas este específico operasistema ting.

WordPress vulnerabilidades
The 10 WordPress Versões com mais vulnerabilidades (fonte). A pesquisa em 2017 identificou 74 versões diferentes de WordPress no Alexa Top 1 milhão de sites; 11 dessas versões são inválidas – por exemplo, a versão 6.6.6.

Porquê o teu WordPress blog é um alvo valioso?

Caso você esteja se perguntando por que diabos um hacker iria querer controlar seu Wordpress blog, existem vários motivos, incluindo;

  • Usá-lo para enviar secretamente e-mails de spam
  • Roube seus dados, como uma lista de discussão ou informações de cartão de crédito
  • Adicionando seu site a um botnet que eles podem usar mais tarde

Felizmente, WordPress é uma plataforma que oferece uma infinidade de oportunidades para se defender.

Tendo ajudado a configurar e administrar vários sites e blogs, gostaria de compartilhar com você algumas das coisas mais básicas que você pode fazer para ajudar a proteger seu WordPress site.

Aqui estão as dicas de segurança acionáveis ​​da 10 que você pode usar.

Proteja seu WordPress Página de login

A proteção da sua página de login não pode ser realizada por uma técnica específica, mas certamente existem etapas e plug-ins de segurança gratuitos que você pode executar para tornar os ataques muito menos prováveis ​​de serem bem-sucedidos.

A página de login do seu site é certamente uma das páginas mais vulneráveis ​​do seu site, então vamos começar a fazer o seu WordPress página de login do site um pouco mais segura.

1. Escolha um bom nome de usuário de administrador

Use nomes de usuários incomuns. Anteriormente com WordPress, você tinha que começar com um nome de usuário de administrador padrão, mas não é mais assim. Ainda assim, a maioria dos novos administradores da Web usa o nome de usuário padrão e precisa alterar seu nome de usuário. Você pode usar Admin Renamer Extended para alterar seu nome de usuário do administrador.

Páginas de login de força bruta é uma das formas comuns de ataques na Web que seu site provavelmente enfrentará. Se você tiver uma senha ou nome de usuário fácil de adivinhar, seu site quase certamente não será apenas um alvo, mas eventualmente uma vítima. Por experiência, a maioria das tentativas de invasão de sites tenta fazer login com três opções principais de nomes de usuário. Os dois primeiros são sempre 'admin' ou 'administrador', enquanto o terceiro é geralmente baseado no seu nome de domínio.

Por exemplo, se o seu site for crazymonkey33.com, o hacker pode tentar fazer o login com 'crazymonkey33'.

Não é uma boa ideia.

2. Certifique-se de usar uma senha forte

Até agora você provavelmente pensaria que as pessoas saberiam usar senhas fortes e complexas para proteger sua conta, mas ainda há muitas que acham que a "senha" é ótima.

A Splash Data compilou uma lista de senhas usadas com frequência em 2018. Senha por classificação em termos de uso.

  1. 123456
  2. senha
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. luz do sol
  9. QWERTY
  10. iloveyou

Se você usar uma dessas senhas e seu site receber algum tráfego, seu site quase certamente será removido mais cedo ou mais tarde.

Uma senha forte incluirá uma mistura de:

  • Caracteres maiúsculos superior e inferior
  • Seja alfanumérico (AZ e az)
  • Inclua um caractere especial (!, @, #, $, Etc)
  • Pelo menos 8 caracteres de comprimento

Quanto mais aleatória for sua senha, mais segura ela será. Tente usar um gerenciador de senhas para gerar uma senha aleatória forte se você estiver tendo problemas para criar uma.

3. Implementar um reCaptcha

Wall bots off do seu blog WP.

O reCaptcha foi projetado para impedir que ferramentas automatizadas trabalhem em um site. É claro que, dada a complexidade das ferramentas de hacking hoje, elas podem ser ignoradas facilmente, mas pelo menos há essa camada adicional de segurança.

Existem um número de plugins reCaptcha você pode usar com a sua instalação que funcionará praticamente fora da caixa.

4. Use autenticação de dois fatores (2FA)

2FA é um método de autenticação que requer uma verificação no seu login. Por exemplo, depois de entrar com seu nome de usuário e senha, o sistema pode enviar um SMS para seu celular ou enviá-lo por e-mail com um código que você precisa inserir para verificar sua identidade.

Este método de autenticação oferece boa proteção e é usado por muitos bancos e instituições financeiras hoje. Mais uma vez, essa necessidade pode ser facilmente satisfeita 2FA plugin.

Veja como o miniOrange (um plug-in 2FA) funciona com WordPress faça o login no vídeo a seguir.

T

5. Renomeie seu URL de login

A maioria dos hackers tentará fazer login por meio do padrão wordpress página de login, que geralmente é algo como

sample.com/wp-admin.

Para adicionar outra camada de proteção, altere o URL da página de login rapidamente e sem esforçossly com uma ferramenta como WPS Hide Login.

6. Limite o número de tentativas de login

Esta é uma técnica incrivelmente simples para impedir ataques de força bruta em sua página de login em suas trilhas. Um ataque de força bruta funciona tentando obter seu nome de usuário e senha corretamente, tentando várias combinações repetidas vezes.

Se o IP específico que está perpetrando o ataque for rastreado, você poderá bloquear as repetidas tentativas de força bruta e manter seu site seguro. É também por isso que os ataques DDOS globais ocorrem com vários Endereços IP com diferentes origens de ataque, lançar serviços de hospedagem e segurança para os websites desprevenido.

Entrar LockDown e a Solução de Segurança de Login ambos oferecem ótimas soluções para proteger as páginas de login do seu site. Eles rastreiam endereços IP e limitam o número de tentativas de login para proteger seu site.

Proteger a parede de segurança do site

Discutimos várias táticas para proteger seu WordPress página de login – as etapas mencionadas acima são o básico que você pode fazer. Você também deve estar ciente de que alguns hosts da Web impõem algumas dessas práticas de segurança a seus usuários. Existem vários outras práticas de segurança que você pode implementar em seus sites.

7. Proteja seu diretório wp-admin

Adicione uma camada extra de segurança ao seu diretório de host.

O diretório wp-admin é o coração do seu WordPress instalação. Como proteção adicional, a senha protege esse diretório.

Para fazer isso, você precisará fazer login no painel de controle da sua conta de hospedagem. Esteja você usando cPanel ou Plesk, a opção que você está procurando é 'Diretórios protegidos por senha'.

Como alternativa, você pode proteger um diretório com senha ajustando seu .htaccess e arquivos .htpasswds. Guia detalhado passo a passo e um gerador de código estão disponíveis gratuitamente em Drive Dinâmico.

Observe que a proteção por senha da pasta wp-admin quebrar AJAX público para WordPress - você precisará permitir permissões para administrar ajax via .htaccess para evitar erros no site.

8. Usar SSL para criptografar dados

Conexão HTTP vs HTTPS (Fonte: Sucuri)

Além do próprio site, você também deseja proteger a conexão entre você e o servidor e é aqui que SSL entra para criptografar suas comunicações. Por ter uma conexão criptografada, os hackers não conseguirão interceptar dados (como sua senha) quando você estiver se comunicando com seu servidor.

Além disso, também é uma boa prática implementar SSL agora, uma vez que os motores de busca estão cada vez mais penalizando os sites que consideram 'não seguros'.

Para blogueiros individuais e pequenas empresas, um site gratuito e compartilhado SSL – que você geralmente pode obter do seu provedor de hospedagem, Let's Encryptou Cloudflare - geralmente é mais do que suficiente. Para empresas que processam pagamentos de clientes - é melhor que você compre um dedicado SSL certificado do seu host da Web ou uma autoridade de certificação (CA).

Aprenda mais sobre SSL em nosso abrangente Guia AZ para SSL.

9. Faça uso de uma rede de distribuição de conteúdo (CDN)

Embora isso possa não impedir que seu site seja invadido, ele ajuda a mitigar ataques maliciosos contra ele. Alguns hackers pretendem derrubar sites, tornando-os inacessíveis ao público. Uma CDN ajudará a amortecer o golpe de um Distributed Denial of Service ataque no seu site.

Além disso, também ajuda o seu acelere seu site um pouco armazenando em cache algum conteúdo. Para explorar esta opção, olhe para Cloudflare como um exemplo. Cloudflare oferece serviços CDN com níveis de preços em várias camadas, para que você possa usar os recursos básicos gratuitamente.

Aprenda mais sobre como Cloudflare funciona e as vantagens de utilizar o serviço.

10. Verifique se TODO o seu software está atualizado

Não importa quão bom ou caro seja o software, sempre haverá novos pontos fracos encontrados neles que podem deixá-los abertos para serem explorados. WordPress não é exceção e a equipe está constantemente lançando novas versões com correções e atualizações.

Os hackers quase sempre buscam tirar proveito da fraqueza e uma exploração conhecida que não é corrigida é simplesmente pedir problemas. Isso vale duas vezes para os plugins, que geralmente são criados por empresas muito menores, com menos recursos.

Se você estiver usando plug-ins, verifique se as atualizações são lançadas regularmente ou considere encontrar plugins populares com funcionalidade semelhante que são mantidos atualizados.

Dito isto, eu não recomendo que você use automático WordPress e atualizações de plug-ins, especialmente se você estiver executando um site ao vivo. Algumas atualizações podem causar problemas, seja internamente ou em conflito com outros plugins e configurações.

Idealmente, crie um ambiente de teste que espelhe seu site ativo e teste as atualizações lá. Quando tiver certeza de que tudo funciona bem, você poderá aplicar a atualização ao site ao vivo.

Painéis de controle como o Plesk oferecem a opção de criar um website clone para este propósito.

11. Backup, backup e backup!

Não importa quais medidas de segurança ou quão cauteloso você seja, acidentes acontecem. Salve-se de um desgosto esmagador e centenas de horas de trabalho, simplesmente certificando-se de ter serviços de backup adequados no lugar.

Normalmente, seu host da web viria com alguns recursos básicos de backup, pelo menos, mas se você é paranóico como eu, sempre certifique-se de realizar seus próprios backups independentes. Fazer o backup não é tão simples quanto apenas copiar alguns arquivos, mas também levar em consideração as informações em seu banco de dados.

Procure uma solução de backup testada e comprovada. Mesmo um pequeno investimento vale a pena salvar as lágrimas em caso de emergência. Algo como BackupBuddy pode ajudá-lo a salvar tudo, incluindo seu banco de dados de uma só vez.

12. Seu host conta!

Embora tradicionalmente, hospedagem na web empresas simplesmente ofereceram espaço para hospedarmos nossos sites, os tempos mudaram. provedores de hospedagem na web, compreender as vulnerabilidades, aumentaram a segurança com muitos oferecendo serviços de valor agregado para complementar sua hospedagem na web.

Considere por exemplo HostGator, um dos nomes mais estabelecidos no jogo. Além do básico Cloudflare características, HostGator (pelo preço de $ 10+/mês) também vem com proteção gratuita contra spam, remoção automatizada de malware, backups automatizados, privacidade de domínio e muito mais.

Dirigido WordPress hospedagem provedor, Kinsta, crie firewalls de hardware e monitore ativamente seus servidores em busca de malwares e ataques DDoS com seu sistema personalizado.

Se isso é algo que ainda não ocorreu com você, recomendo que você analise quais recursos de segurança seu host oferece e compare-o com o que está disponível atualmente.

Para uma lista abrangente, você pode conferir Compilação da WHSR dos melhores hosts da web aqui.

O que agora?

Antes de correr solta e começar a vasculhar a Internet em pânico, procurando por um milhão e uma solução de segurança - respire fundo. Como com todo o resto, alguém já o ajudou a entrar em pânico e procurou uma solução.

Mesmo se você implementar tantas soluções de segurança quanto puder encontrar, você certo você está seguro?

Aqui é onde algo como Ninja segurança Entre, o que ajuda você a investigar seu site quanto a pontos fracos.

Demonstração rápida: Como funciona o Security Ninja.

Há um par de razões convincentes para usar algo como o Security Ninja, mas deixe-me dizer que é uma ferramenta que eu recomendaria usar em vários estágios da sua jornada para proteger seu site.

Primeiro, execute-o no seu website "como está" antes de fazer qualquer alteração. Deixe o plug-in cutucar e estimular seu site antes de fornecer os resultados.

Em seguida, com base nesses resultados, trabalhe para proteger seu site. O Security Ninja realiza mais de testes 50 para investigar suas defesas. Mesmo depois de fazer as alterações, execute-as novamente (e sempre que houver alterações no site ou no plug-in) apenas para testar seu site.

Se isso soa um pouco demais para você, o Security Ninja também vem com uma série de módulos adicionais (versão pro, site único $ 29) que pode ajudá-lo a corrigir os problemas que encontrar.

Alguns outros recursos importantes nesses módulos incluem:

  • Analise os arquivos principais do WP para identificar arquivos problemáticos
  • Restaure arquivos modificados com um clique
  • Corrigir atualizações automáticas de WP quebradas
  • Banir 600 milhões de IPs ruins coletados de milhões de sites atacados
  • Lista atualizações automáticas, sem necessidade de manutenção ou trabalho manual
  • Proteja o formulário de login de ataques de força bruta

Considerações Finais

Embora tudo isso possa parecer um pouco excessivo para a média WordPress usuário, garanto que tudo isso (e mais) é necessário. Ignorando as estatísticas mundiais de hacking e outros enfeites por um tempo, deixe-me compartilhar com você algumas informações pessoais em um dos sites mais obscuros que ajudo a gerenciar.

Originalmente começou como um site de biografia simples, eu criei www.timothyshim.com. Obviamente, foi apenas algo que eu configurei e na maioria das vezes deixo sozinho, simplesmente como um ponto de referência. Em cada período de um mês, este site que basicamente não faz nada e não coleta dados, enfrenta ataques 30 - uma combinação de força bruta e complexa.

Tudo o que precisa é que um deles tenha sucesso e eu estaria tendo um clientes dia ruim.

Leia também

Foto do autor

Artigo escrito por Timothy Shim

Timothy Shim é um escritor, editor, e nerd da tecnologia. Iniciando a sua carreira no campo da Tecnologia da Informação, rapidamente encontrou o seu caminho na imprensa e desde então tem trabalhado com títulos de meios de comunicação internacionais, regionais e nacionais, incluindo ComputerWorld, PC.com, Business Today, e The Asian Banker. A sua experiência reside no campo da tecnologia, tanto do ponto de vista dos consumidores como das empresas.

Continue lendo

15 Comparação de Hospedagem de Site Gratuita – Hospede um Site por US$ 0

Custo de hospedagem de site comparado: quanto pagar por um host da web

Quem está hospedando isso: 5 verificadores de host de sites para experimentar

Como a localização do servidor de hospedagem afeta a velocidade do seu site

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
Website Translation: English / 简体中文 / 繁體中文 / Español / Türkçe / Français / Português / Deutsch / Русский