Pontos mais importantes da segurança para wordPress

Post Atualizado em 08 de março de 2024

Tudo o que você precisa saber para manter seu site seguro:

Neste post você irá saber tudo com o que precisa se preocupar na questão de segurança do seu site WordPress. Para poder evitar problemas com Hackers/Vírus.

Vamos lá?

---

1 – Plugins Desatualizados:

O alvo maior dos Hackers no mundo dos sites em WordPress, ao existirem tantos plugins e tantas coisas a se preocupar que muitas vezes passa batido.

Que infelizmente ficam algumas brechas abertas pelos desenvolvedores dessas ferramentas, porém a comunidade sempre está atenta a isso, além dos profissionais de segurança que resolvem com frequência esse problema.

A prática de Atualização do WordPress é extremamente necessária:

É preciso fazer ao mínimo uma vez ao ano, ou sempre em que uma brecha muito grave é anunciada/descoberta, ficar meses com uma brecha de segurança aberta em seu site é muito perigoso.

Atualize da maneira correta, veja nosso Post de Como Atualizar o WordPress.

---

2 – PHP Desatualizado:

O PHP também precisa estar em uma versão atual para manter seu site seguro, devido ao mesmo motivo dos plugins, falhas descobertas em versões antigas.

Ultimamente a versão recomendada é da 8.0 para cima, inclusive o sistema todo melhora com a evolução das versões, então é bom manter atualizado.

*Atualize o PHP somente se souber fazer o procedimento.

*É necessário ver se sua hospedagem fornece a versão que você quer atualizar, ao poder haver problemas pela falta de módulos e seu site entrar em erro crítico, caso acontecer volte para a versão que estava e aguarde a estabilidade da versão.

Outro ponto importante é que alguns plugins usam especificamente as versões do PHP para funcionar, ou seja, caso seu site quebre, pode ser que algum plugin crucial tenha versões especificas para cada versão do PHP. Um exemplo o plugin ALIDROPSHIP.

---

3 – Falta de Ajuste na Hospedagem:

Existem funções importantes para a segurança do WordPress que são tratadas diretamente nas configurações da sua Hospedagem, como Forçar o Https, SSL, Cpguard, Modsecurity, ferramentas de scan para vírus ou Firewall.

Falta de Ferramentas de Segurança na Hospedagem pode atrapalhar:

Nem todas as Hospedagens de Sites oferecem ferramentas de segurança boas, algumas vem com verificadores de vírus que não mudam nada, não encontram nada e muitas nem tem uma camada de segurança aplicada.

Consideramos uma ferramenta chamada CPGuard, uma das melhores para segurança, ao aplicar uma questão de segurança adicional na página Wp-Admin, sendo a página mais visada pelos Bots e Hackers pelo fato de ser a página de acesso principal ao painel de gerenciamento do mesmo. E isso oferecemos aqui na WEBTOM com nosso serviço de Hospedagem Segura para Sites WordPress.

Veja se a sua tem alguma dessas e habilite agora mesmo, não tem muito segredo.

---

4 – Falta de Ajuste no WordPress:

Dentro do WordPress, por exemplo, existem questões até que simples, mas que abrem uma certa brecha dentro dele.

Por exemplo, qualquer pessoa pode observar a versão no qual o seu WordPress está, e isso é ruim pelo fato de que se, o usuário que está com a intenção ruim, souber exatamente a versão, ele pode injetar práticas de vulnerabilidade para aquela versão em específica.

Caso isso esteja oculto, ele ficaria um pouco mais perdido, neste caso ele terá que testar as brechas de várias versões, ou seja, esconder a versão complica um pouco a vida deles.

Outro ponto é um modelo chamado XML-RPC que oferece uma flexibilidade quanto a editar o site pelo celular, mas não é amigável, então não é de todo proveito, o conselho aqui é desativar.

* Desativar essa função não inibe que você possa editar o site pelo celular, só desabilita algumas coisas remotas.

---

5 – Plugin de Segurança para Wordpress:

Todo Site precisa de uma ferramenta que faça o papel da segurança e que esteja muito bem configurada para evitar o “estrago” feito pelos Hackers.

Na WEBTOM usamos o Wordfence:

Ele tem muita coisa que nos ajuda, como adição de verificações do Google na página WP-Admin, verificação adicional com o Google Authenticator e muito mais.

Existem outras como Wp Cerber, mas por preferência usamos o Wordfence, recomendamos que usem também, mesmo na versão gratuita ele ajuda bastante.

---

6 – Ferramentas Adicionais:

Cdn e ReCAPTCHA são basicamente essas as Ferramentas adicionais para proteger seu site.

Recaptcha em todos os formulários:

Por padrão é o ideal que todos os formulários de contato ou de dados tenham um configurado, evitar spam é um bom caminho.

Fica mais fácil de fazer essa configuração quando se instala um plugin chamado Advanced Google reCaptcha, caso não tenha experiência em instalar direto no formulário.

Configuração de uma CDN no Site: (O que é uma CDN?)

A Cloudflare tem um papel muito importante também nessa jornada, pois lá dentro existem opções quanto a segurança e podem ajudar principalmente quem tem site hospedado em lugares onde não oferecem muitas ferramentas.

*A Cloudflare vem apresentando problemas nos e-mails em nosso testes, recomendamos que ao configurar no site de vocês, façam testes de envio e recebimento de e-mails.

Plugin que oferece desativação de XML-RPC:

Algumas hospedagens permitem que os usuários desativem esse módulo direto no cPanel, outras não, se o seu caso for esse segundo, alguns plugins de desempenho como o Perfmatters oferece a função de desabilitar o XML-RPC.

---

7 – Cuidados Adicionais com senhas:

Quantidade de Caracteres:

As senhas precisam atender um tipo específico, a partir de 13 caracteres é o recomendado para uma senha segura.

E claro, a combinação de diferentes tipos de caracteres, número, letras maiúsculas e símbolos.

Senhas populares, esqueça!

Existem por coincidência, senhas usadas com frequência pelas pessoas, bom algumas estão aqui, mas sempre tente visar por coisas mais específicas e únicas para você, ou recorra aos famosos geradores de senhas.

---

Bônus: Meu site foi invadido!

Se seu site apresenta atualmente o erro 403, ou apresenta caracteres japoneses, ou é redirecionado para outro site que não é o seu, alguns desses pontos podem te ajudar a resolver o seu problema.

1 – Limpe os arquivos do seu site pelo Wordfence:

O Plugin oferece uma verificação de arquivos e consegue acusar coisas que podem estar erradas, caso o seu site tenha arquivos extras que são frutos de uma infecção o plugin pode ajudar a identificar e apagar.

2 – Limpe o WordPress:

Você pode fazer uma limpeza baixando uma instalação do WordPress nova e jogando algumas pastas para dentro do seu projeto, no caso basta apagar todas as pastas e manter o arquivo WP-CONFIG.PHP e a pasta WP-CONTENT. Para evitar que seus itens sejam apagados, é melhor explicado aqui neste vídeo.

3 – Limpe o banco de dados:

Neste caso é mais para sites que estão com o problema do redirecionamento, Você precisa identificar através do console do Google qual URL seu site está acionando para dai, sim, corrigir ela em seu banco de dados, veja:

4 – Use o VírusDie:

É um programa pago muito efetivo para a resolução deste problema, basta inserir seu site no plano escolhido e ele fará análise e irá te ajudar a apagar os itens infectados e os causadores.

5 – Peça ajuda:

Profissionais do ramo de Criação e Manutenção de sites, geralmente conseguem ou trazer boas resoluções, ou executar as tarefas acima com mais facilidade, portanto, precisando, procure auxilio.

---

Para Proteger seu Site WordPress: Resumo

• Mantenha tudo atualizado.
• Faça ajustes de segurança na Hospedagem.
• Faça ajustes no WordPress.
• Use um plugin de segurança.

Lembrete: Todos os pontos citados acima estão inclusos nos nossos pacotes de Segurança para sites em WordPress da WEBTOM.

---

Tendo em vista isso, fará um ótimo papel na segurança do seu Site WordPress:

Pontuamos, mas não detalhamos as ações, algumas das palavras acima tem o negrito e link incluso para poder te ajudar melhor na explicação das ações.

---

Se precisar de ajuda, fale conosco: