Como proteger um site? Guia de segurança do site

Ouça este artigo

Segurança do site ou como proteger um site? Alguns hacks acontecem por razões completamente ridículas: atualizações inoportunas, senhas fracas, etc. Neste guia essencial de segurança de sites, mostrarei como proteger um site:

• Mesmo se… você for novo em segurança de sites e não entender muito bem o que isso significa;
• Mesmo que… você tenha tentado e falhado em proteger seu site antes;
• Mesmo que… você esteja sobrecarregado com o trabalho principal e não saiba por onde começar;
• Mesmo se... você pensar: "Não sou páreo para os hackers - então por que tentar fazer alguma coisa?"

Mas, mais importante, vou falar sobre como começamos a pensar na segurança de nossos sites em primeiro lugar. Dessa forma, você tem todas as ferramentas necessárias para tomar as decisões corretas (de segurança) para o seu site. Haverá o máximo de informação possível, sirva-se de uma xícara de chá ou café e prepare-se.

O conteúdo do artigo:

• O que é a segurança do site?
• Por que a segurança do site é importante?
• Como proteger seu site de hackers? (Etapas efetivas)
• Boas práticas de segurança de sites
• O que você deve evitar ao proteger seu site?
• O que fazer se seu site for invadido?
• All In One WP Security & Firewall - segurança do site WordPress
• Conclusão

O que é a segurança do site?

Embora seja ótimo que você esteja tomando algumas medidas para proteger seu site. Você precisa entender que a segurança do site é um processo contínuo que requer atenção periódica de sua parte. Os hackers são pessoas criativas, então as ameaças estão em constante evolução.

A segurança do site é o plano para proteger seu site e os usuários contra hackers e seus malwares. Isso inclui entender os componentes do seu site, como eles funcionam juntos e quais vulnerabilidades eles têm.

Depois que essa base estiver estabelecida, você precisará formular um plano de segurança abrangente para se proteger contra vulnerabilidades. Isso inclui uma série de etapas de configuração, implementação de políticas e atualização das informações sobre ameaças.

A chave para proteger um site é entender que isso não é uma coisa única. A segurança evolui porque as ameaças evoluem.

Você verá no artigo abaixo que um bom plug-in de segurança fará a maior parte do trabalho duro em termos de malware, mas ser cuidadoso e vigilante é o que mantém um site seguro em primeiro lugar.

Por que a segurança do site é importante?

O WordPress é usado por milhões de pessoas, então provavelmente é seguro, certo? Sim e não.

— Sim, porque os arquivos principais do WordPress são protegidos e, mesmo que uma vulnerabilidade seja encontrada, ela é corrigida rapidamente.

- Não, porque seu site não é apenas o núcleo do WordPress. É uma combinação de plugins e temas que ajudam a tornar seu site mais funcional, interativo e atraente. Esses plugins e temas aprimoram a funcionalidade do WordPress, mas também aumentam o potencial de vulnerabilidades. Bons desenvolvedores de plug-ins corrigirão as vulnerabilidades rapidamente. Mas o perigo a esse respeito é muito maior.

Como proteger seu site de hackers? Etapas da ação

Para ter um plano eficaz de proteção do seu site, o primeiro passo é entender como os sites são invadidos. De acordo com o estudo a seguir, os sites são invadidos principalmente de três maneiras:

• 90+% - Vulnerabilidade em um plugin ou tema do WordPress.
• 5+% - Nome de usuário e/ou senha comprometidos.
• <1% - Serviços de hospedagem na web ruins.

Essa alocação deve formar a base de como você planeja proteger seu site e onde deve alocar mais tempo e recursos.

1. Proteja seu site contra vulnerabilidades

Os hackers estão constantemente à procura de sites vulneráveis. Não importa se o site é grande ou pequeno. Eles têm muitos benefícios de hackear quase qualquer site. Em nossa experiência, mais de 90% de todas as violações são devidas a hackers descobrindo e explorando uma vulnerabilidade.

Vamos dar uma olhada mais de perto no que são vulnerabilidades. É muito importante entender isso para que você possa moldar conscientemente sua estratégia de segurança do site no futuro.

O que é uma vulnerabilidade?

Seu site é composto por 3 componentes principais: WordPress, plugins e temas. É tudo basicamente software e, como qualquer software, contém bugs que às vezes causam falhas.

Os erros podem ter várias consequências: alguns deles tornam o seu site mais lento ou causam um erro quando alguém o visita. Isso é irritante e problemático, mas os mais sérios permitem que usuários não autorizados (como hackers) obtenham acesso ao seu site. Esse bug é conhecido como vulnerabilidade.

Tipos de vulnerabilidades

As vulnerabilidades podem ser caracterizadas, como fizemos no parágrafo anterior, como bugs no código. No entanto, existem alguns tipos específicos que ocorrem com mais frequência do que outros:

1. Software desatualizado: é importante manter o core, plugins e temas atualizados;
2. Gerenciamento de funções de usuário insatisfatório: não conceda a todos os usuários acesso total de administrador;
3. Entradas não sanitizadas: Os campos de entrada devem validar a entrada antes de salvar e/ou executar.

Possíveis hacks em um site não seguro

As vulnerabilidades estão intimamente relacionadas aos tipos de ataques que elas permitem e muitas vezes são referidas de forma intercambiável. Os ataques mais comuns que o WordPress enfrenta são:

• injeção de código: quando um código malicioso é inserido através de campos de entrada e executado pelo código do site ou banco de dados. Uma variante comum de injeção de SQL da injeção de código que é especialmente flagrante para aplicativos baseados em banco de dados como o WordPress.
• Ataques de script entre sites: esse tipo de vulnerabilidade rouba os cookies do usuário para se fazer passar por ele ou até sequestrar a sessão. O acesso do usuário-alvo é então usado para atacar seu site.
• ataques de força bruta: como o nome sugere, não há truque para esse tipo de ataque. O hacker bombardeia sua página de login com combinações de nome de usuário/senha na tentativa de encontrar a correta.
• spam SEOR: Qualquer spam é sério, mas esse ataque atinge o que mais prejudica um site: o SEO. Os proprietários de sites desperdiçam recursos trabalhando em seu SEO, apenas para que um hacker tire vantagem indevida inserindo pop-ups e links para produtos ilegais ou cinzas. Os ataques de spam de SEO também são difíceis de detectar e, muitas vezes, os sites sofrem os efeitos nocivos do spam antes de perceberem que estão infectados.
• ataques de phishing: nesses ataques, um hacker tenta se passar por uma pessoa legítima para induzir o usuário a entregar voluntariamente suas informações. O phishing funciona em conjunto com e-mail e um site invadido para obter essas credenciais.

Qual é o efeito da vulnerabilidade?

Plugins e temas são instalados em vários milhares de sites, então o efeito dessa única falha é multiplicado muitas vezes. Desenvolvedores responsáveis de plugins e temas estão se esforçando para fechar brechas de segurança em seus produtos lançando atualizações.

Na verdade, esta é a principal razão pela qual é recomendado escolher plugins premium sempre que possível. A manutenção regular do software deve receber a máxima atenção em uma estratégia de segurança do site. Ótimo, isso significa que o bug foi corrigido. Estamos seguros agora, certo? Bem, não exatamente. A descoberta de vulnerabilidades é um momento perigoso para os proprietários de sites.

O que acontece quando uma vulnerabilidade é descoberta?

Vulnerabilidades são frequentemente descobertas por pesquisadores de segurança de sites. Eles relatam suas descobertas ao desenvolvedor do plug-in ou do tema. Como dissemos na seção anterior, os desenvolvedores responsáveis procurarão corrigir o problema e lançar uma atualização.
Quando a vulnerabilidade for corrigida, o pesquisador de segurança do site publicará suas descobertas. O desenvolvedor lançou uma correção para manter os sites seguros, certo? Na verdade.

Os hackers também leem sobre a vulnerabilidade e procuram sites que não atualizaram suas versões. Vulnerabilidades públicas tendem a atrair hackers iniciantes (também conhecidos como script kids) porque agora eles podem usar sites sem esforço. Eles sabem exatamente onde está seu alvo.

O que deve ser feito para proteger o site de vulnerabilidades?

Agora falarei sobre etapas específicas que você pode seguir para manter seu site seguro e protegido contra hackers. Essas etapas podem parecer simples, mas são formas eficazes de manter seu site seguro.

1. Faça cópias de segurança

Os backups são a parte mais subestimada da estratégia de segurança de um site. Não posso enfatizar o suficiente a importância de backups regulares. Eles são sua rede de segurança, a única coisa em que você pode confiar quando as coisas dão errado. Os backups ajudarão você a reverter rapidamente o site para um estado íntegro.

2. Atualize plugins e temas

Isso pode parecer muito óbvio, especialmente se você leu a seção anterior sobre a importância das atualizações. No entanto, é muito fácil ignorar a notificação vermelha no painel e fazer algo mais urgente.

Portanto, vou repetir. Os desenvolvedores de plugins lançam atualizações com correções de segurança para isso. Mesmo que você decida adiar a instalação das atualizações, atualize o plug-in posteriormente, pelo menos depois de ler as notas de lançamento.

3. Escolha plugins e temas de boa qualidade

É improvável que algum dia haja um software totalmente confiável, existem fatores-chave a serem considerados ao escolher os plugins e temas certos para o seu site:

• O plug-in é atualizado regularmenteR: Um plug-in ou tema mantido consistentemente por seu desenvolvedor tem maior probabilidade de receber um patch de segurança se uma vulnerabilidade for descoberta.
• O plug-in é popular?? Esta é uma faca de dois gumes. Um plugin popular com milhões de instalações será alvo de hackers. Mas plug-ins como esse também tendem a ser mais seguros porque são controlados por muito mais desenvolvedores.
• Este é um plug-in premiumR: Os plug-ins pagos suportam o trabalho dos desenvolvedores e, portanto, têm muito menos probabilidade de serem abandonados do que os plug-ins gratuitos. Isso não significa que o software de código aberto nunca seja seguro; no entanto, com um produto premium, você paga pelo suporte ao cliente e pela qualidade do produto.
• Nunca instale plugins e temas nulosR: O software gratuito premium disponível é problemático em muitos níveis. O software zerado geralmente contém malware ou backdoors que, uma vez instalados, permitem que hackers obtenham acesso ao seu site.

4. Use um firewall

Não há uma maneira confiável de impedir que hackers ou seus bots ataquem sites como o seu. No entanto, você pode reduzir bastante a chance instalando um firewall.

2. Proteja seu nome de usuário e senha

Cerca de 6% dos sites invadidos eram vulneráveis a ataques devido a senhas fracas. Isso pode parecer um número pequeno em comparação com atividades maliciosas diretas, mas ainda é significativo o suficiente para chamar sua atenção.

Perder a senha de administrador do site é como perder as chaves do apartamento ou do carro. Com a chave, o ladrão tem controle total sobre seus bens valiosos. Da mesma forma, com uma senha, os hackers têm acesso total ao seu site e suas informações. No momento, nem mesmo um firewall ou plug-in de segurança pode impedir que hackers danifiquem seu site.

A necessidade de senhas fortes ainda é promovida ativamente, mas devido às dificuldades envolvidas, os usuários do site geralmente a ignoram. Antes de entrar na mecânica de obter uma boa reputação, vamos responder a algumas perguntas comuns que as pessoas têm sobre eles.

Como uma senha pode ser roubada?

A resposta pode ser uma surpresa: o hacker está tentando adivinhar a senha. Com isso, quero dizer que eles tentam senhas diferentes manualmente, mas é para isso que servem os bots. Isso também é conhecido como ataque de força bruta ou, se o bot adivinhar as palavras, ataque de dicionário.

Esses ataques funcionam muito bem por vários motivos.:

• Senhas fáceis de adivinhar: palavras comuns, palavras curtas, a própria palavra "senha" em várias combinações.
• Dados de hacks anteriores: há uma razão pela qual as pessoas recomendam o uso de senhas diferentes para serviços e sites diferentes.

Como se proteger contra roubo de senha

1. Use uma senha forte - As senhas fortes usam uma combinação aleatória de letras, números e símbolos porque são difíceis de decifrar. Pode levar anos para que os bots hackers encontrem a senha correta. Você pode tentar criar uma senha forte sozinho ou usar um gerador de senhas.

2. Limite o número de tentativas de login - Uma boa maneira de evitar um ataque de força bruta é bloquear os intrusos após várias tentativas de login malsucedidas. Esse é um mecanismo eficaz, pois esse tipo de ataque consiste em bots hackers tentando repetidamente senhas diferentes.

3. Implemente autenticação de dois fatores - Alguns serviços usam autenticação de dois fatores durante o processo de login, o que significa essencialmente que você precisa ter dois (idealmente) tokens separados para acessar sua conta. Na maioria das vezes, é uma combinação de senhas e um token de expiração, como um PIN ou código QR, enviado para seu e-mail ou dispositivo.

4. Implemente a proteção CAPTCHA - CAPTCHAs só podem ser resolvidos por humanos. Eles são projetados para impedir que bots hackers acessem uma conta. Você pode usá-lo para proteger seu site.

5. Use um firewall - Alguns firewalls de segurança de sites também monitoram endereços IP maliciosos globalmente. O firewall aprende em todos os sites com o plug-in instalado. Em seguida, ele bloqueia automaticamente IPs ruins antes que eles tentem quebrar sua senha. Isso, combinado com a capacidade de restringir logins, pode proteger seu site contra hackers que tentam invadir a área de administração do seu site.

3. Escolha um bom provedor de hospedagem

Há uma tendência de culpar o host da web por tudo que dá errado com um site. Embora os hosts da Web sejam geralmente responsáveis por muitos aspectos de um site, eles raramente são culpados quando um site é invadido. Na verdade, o oposto geralmente é verdadeiro: os hosts da Web melhoram a segurança dos sites.

Obviamente, existem alguns hosts da Web que desempenham um papel no comprometimento de sites hospedados em seus servidores. Isso raramente acontece, mas quando acontece, é um grande incidente que coloca em risco milhares de sites.

4. Instale um certificado SSL

Secure Sockets Layer, mais conhecido como SSL, é um protocolo de segurança que criptografa todas as conexões com um site. Depois de instalado, ele aparece como um cadeado no início da URL do seu site.

Os benefícios de usar um certificado SSL são os seguintes:

• Todos os dados transmitidos de e para o seu site são criptografados.
• Este é um sinal de confiança em seu site. Na verdade, a maioria dos navegadores marca sites não-SSL como "Inseguros" na barra de endereço.
• O Google adora sites com certificado SSL e até os recompensa com classificações mais altas.

Boas práticas de segurança de sites

Como eu disse no início, a segurança do site é uma prática contínua. Nesta seção, listarei as técnicas que são úteis para incorporar à sua estratégia geral de segurança do site. Depois de adquirir o hábito de fazer isso, o pequeno investimento de seu tempo e esforço será recompensado muitas vezes com um site seguro.

1. Mude sua senha com frequência — Entendo que definir senhas difíceis de adivinhar é complicado, especialmente porque geralmente são sinônimos de senhas difíceis de lembrar. Também podemos imaginar a ansiedade causada por sermos solicitados a alterar regularmente nossa excelente senha.

O motivo é que as senhas são o elo mais fraco da segurança, especialmente se você usar as mesmas senhas para várias contas. Mesmo que um site seja invadido, você pode assumir com segurança que todas as suas contas estão potencialmente comprometidas. Regular também pode significar coisas diferentes para pessoas diferentes. Algumas instituições financeiras, como bancos, exigem que as senhas sejam alteradas a cada 90 dias.

2. Verifique os usuários do site, rastreie novos usuários administradores — os hackers geralmente deixam os usuários administradores para que possam recuperar o acesso ao site. Portanto, verificar regularmente os usuários administradores pode aumentar a segurança de um site.

Em segundo lugar, os coautores do site podem mudar. Se um usuário não precisar mais de acesso, é melhor remover seu acesso ao site. A razão é dupla:

1. você não deseja que o usuário faça alterações em seu site;
2. suas contas inativas podem ser comprometidas por hackers.

Com o tempo, à medida que construímos nosso site com novos conteúdos e designs, continuamos a adicionar novos usuários ao nosso site. Você deve verificar esses usuários periodicamente. Você mesmo pode seguir as regras de segurança, mas outro usuário comprometido afetará seu site. Ao adicionar usuários, sempre que possível, dê a eles apenas os níveis de acesso necessários. Por exemplo, se alguém apenas escreve artigos, não dê a ele direitos de administrador.

3. Configure um log de atividades em seu site Os hackers não usam as principais APIs do WordPress para modificar o site, portanto, muitas das alterações feitas não serão refletidas no log de atividades. No entanto, eles podem deixar rastros, como criar contas de administrador para acessar o site. Essas atividades inesperadas podem ajudar a detectar uma violação. Por outro lado, se as alterações estiverem sendo feitas por um colaborador, os logs de atividades podem ajudar a evitar pânico desnecessário quando você vir alterações feitas em seu site.

4. Bloqueie o PHP na sua pasta de Downloads - Toda uma classe de vulnerabilidades (para ser preciso, Execução Remota de Código) permite que hackers carreguem arquivos PHP maliciosos na pasta Uploads. O hacker pode usá-lo para executar qualquer código em seu site. Em outras palavras, eles têm controle total sobre seu site.

O ataque pode ser efetivamente mitigado se você bloquear a execução dos arquivos PHP na pasta Uploads. Não se preocupe. Bloquear arquivos PHP na pasta Downloads é seguro porque eles não deveriam estar lá. A pasta Uploads é onde você armazena seus arquivos de mídia, não scripts.

O que você deve evitar ao proteger seu site?

Uma rápida pesquisa no Google lhe dará muitas dicas e estratégias para proteger seu site. Vários plugins de segurança também fornecem várias opções para proteger seu site contra crackers de senha. Proteger seu site é algo que você deve fazer, no entanto, há algumas coisas que você deve evitar.

Os motivos variam para cada um dos pontos que discuto abaixo, mas, no fundo, suas medidas devem fornecer benefícios de segurança tangíveis, especialmente se você estiver pedindo aos usuários que superem barreiras de segurança adicionais. Por exemplo, se você usar captcha e autenticação de dois fatores, acessar seu site se tornará difícil, com poucos benefícios adicionais.

Você pode obter uma sensação extra de segurança aplicando todas as opções disponíveis, mas em termos de análise de custo-benefício, elas não cortam a linha.

1. Ocultar página de login wp - Você verá isso em muitos fóruns: altere a página wp-login para a própria URL do seu site. A lógica é que, se os hackers não conseguirem encontrar a página de login, eles não poderão usar ataques de força bruta para obter acesso ao seu site. Isso tem várias desvantagens:

• O WordPress também permite que você faça login usando XML-RPC.
• Isso tornará seu site difícil de usar. Se você esquecer o URL especial que criou para si mesmo no lugar do wp-login, a recuperação pode ser difícil.
• Se você usar o URL genérico ou o URL padrão que vem com o plug-in de segurança, ainda é fácil para os hackers adivinhar o que irá anular completamente o seu propósito.
• Ocultar esta página requer configurações complexas a serem aplicadas ao seu site, o que pode ter outros efeitos colaterais inesperados.

2. Geoblocking Outra medida de segurança comumente recomendada é o bloqueio geográfico. Você pode não precisar ou esperar tráfego legítimo de determinados países e, portanto, optar por restringir o acesso.

• Endereços IP para regiões não são ideais e podem conter erros.
• Se você se bloquear por engano, será difícil desfazê-lo.
• Você pode acabar bloqueando bons bots como o Google que não podem prejudicar seu site.

Um bom firewall pode e irá proteger seu site de bots maliciosos e tráfego indesejado. Cobri os benefícios dos firewalls na seção anterior.

3. Senha protege o diretório wp-admin - A pasta wp-admin é uma das pastas mais importantes do seu site. Naturalmente, atrai muita atenção dos hackers. Portanto, protegê-lo com uma senha pode parecer uma jogada brilhante, mas contraproducente.

A senha que protege seu diretório wp-admin quebra a funcionalidade AJAX em seu site WordPress. AJAX é uma técnica de codificação que baixa partes do seu site do servidor sem alterar a página exibida no momento.

Se isso parece sem sentido, o que significa essencialmente é que torna seu site dinâmico sem recarregar constantemente os usuários toda vez que algo muda.

Pense em percorrer seu feed de mídia social. Novas histórias ou tweets são carregados enquanto você ainda está lendo os que já estão na tela, e você pode atualizar seu feed de notícias sempre que quiser carregar um novo conteúdo.

4. Ocultar versão do WordPress - A lógica por trás de ocultar a versão do seu site WordPress se deve às atualizações de segurança. Se o seu site não estiver executando a versão mais recente do WordPress, um hacker pode explorar uma vulnerabilidade existente em uma versão mais antiga. No entanto, ocultar sua versão do WordPress é inútil. Existem várias maneiras de determinar a versão WordPress de um site: verificando o código externo do site, verificando o feed RSS, etc. Todas elas são legais, aliás.

A maneira de lidar com as vulnerabilidades do WordPress em versões mais antigas é atualizar sua versão para a mais recente. Muitos administradores de sites temem que a atualização de um site ativo possa quebrá-lo. Portanto, é melhor fazer isso em um site de teste primeiro.

O que fazer se seu site for invadido?

Se o seu site foi invadido recentemente, é ainda mais importante que você esteja extremamente atento à segurança do seu site. Se não for feito corretamente, pode levar a repetidos hacks do site, e toda a situação se transforma em um pesadelo completo.

1. Limpe o malware primeiroR: Use um bom plug-in de segurança para remover automaticamente o malware sem deixar rastros.
2. Atualize tudoR: Como eu disse, as atualizações de software são vitais. Certifique-se de ter as versões mais recentes do WordPress, temas e plugins instalados. Caso contrário, há uma boa chance de que esse seja o motivo pelo qual seu site foi invadido.
3. Ver cada usuário administrador: Dê uma olhada em cada conta de administrador. Já falamos sobre isso neste artigo, mas os hackers criam contas de administrador para recuperar o acesso a um site invadido se um malware for encontrado.
4. Alterar todas as senhas. Suponha que suas credenciais tenham sido comprometidas, altere suas senhas. Espero que você não use a mesma senha para diferentes produtos e serviços, caso contrário, você também deve alterar o restante das senhas.
5. Altere as credenciais do banco de dados (se possível): o arquivo wp-config.php contém as credenciais que o site WordPress usa para se conectar ao banco de dados do site. Em muitos casos, o acesso ao banco de dados é restrito mesmo que as credenciais do banco de dados sejam comprometidas. No entanto, em alguns hosts, os hackers podem usar essas informações para modificar diretamente o banco de dados. Isso pode levar à reinfecção do site.
6. Alterar chaves de segurançaR: O WordPress usa chaves de segurança para gerenciar sessões para usuários registrados.
7. Configure seu firewall do WordPress: já cobri isso em detalhes neste artigo. O firewall do WordPress é sua melhor defesa contra bots maliciosos e tráfego ruim.

All In One WP Security & Firewall - segurança do site WordPress

Resumindo: A maneira mais fácil de proteger seu site é instalar um plug-in de segurança do site, como: All In One WP Security & Firewall é um plug-in de segurança WordPress abrangente, fácil de usar, estável e bem mantido.
O All In One WP Security & Firewall possui os seguintes recursos:

1. Segurança da conta do usuário

• Determine se existe uma conta de usuário com o nome de usuário padrão "admin" e altere facilmente o nome de usuário para um valor de sua escolha.
• O plug-in também detectará se você possui contas de usuário do WordPress com os mesmos logins e nomes de exibição. Ter uma conta com o mesmo nome de exibição do login é uma prática de segurança ruim, pois você está criando um login para hackers já prontos no 50%, pois eles já sabem o login.
• Uma ferramenta de força de senha que permite criar senhas muito fortes.
• Pare de listar usuários. Assim, os usuários/bots não podem descobrir as informações do usuário por meio do permalink do autor.

2. Segurança de login para o usuário

• Defenda-se contra o "Ataque de login de força bruta" com o recurso de bloqueio de login. Usuários com um endereço ou intervalo de IP específico serão banidos do sistema por um período de tempo predeterminado, dependendo das definições de configuração, e você também pode receber notificações.
  via e-mail sempre que alguém é bloqueado devido a muitas tentativas de login.
• Como administrador, você pode visualizar uma lista de todos os usuários bloqueados, que é exibida em uma tabela de fácil leitura e navegação que também permite desbloquear endereços IP individuais ou de grupos com o clique de um botão.
• Forçar o logout de todos os usuários após um período de tempo configurável.
• Rastrear/visualizar tentativas de login com falha, que mostra o endereço IP do usuário, ID/nome de usuário e data/hora da tentativa de login com falha.
• Rastreie/visualize a atividade da conta de todas as contas de usuário em seu sistema rastreando nome de usuário, endereço IP, data/hora de login e data/hora de logout.
• Capacidade de bloquear automaticamente intervalos de endereços IP que tentam fazer login com um nome de usuário inválido.
• Capacidade de ver uma lista de todos os usuários que estão conectados ao seu site.
• Permite especificar um ou mais endereços IP em uma lista branca especial. Os IPs da lista de permissões terão acesso à sua página de login do WP.
• Adicione o reCaptcha do Google ou um captcha matemático simples ao seu formulário de login do WordPress.
• Adicione o reCaptcha do Google ou um captcha matemático simples ao formulário de senha esquecida do seu sistema de login do WP.

3. Segurança de registro do usuário

• Ative a verificação manual de contas de usuário do WordPress. Se o seu site permite que as pessoas criem suas próprias contas por meio do formulário de registro do WordPress, você pode minimizar SPAM ou registros falsos confirmando manualmente cada registro.
• Capacidade de adicionar Google reCaptcha ou captcha matemático simples à sua página de registro de usuário do WordPress para protegê-lo do registro de usuário de spam.
• A capacidade de adicionar um Honeypot ao formulário de registro de usuário do WordPress para reduzir o número de tentativas de registro de bots.

4. Protegendo o banco de dados do WordPress

• Defina facilmente o prefixo WP padrão para um valor de sua escolha com o clique de um botão.
• Agende backups automáticos e notificações por e-mail ou faça backups instantâneos do banco de dados a qualquer momento com apenas um clique.

5. Segurança do sistema de arquivos de um site WordPress

• Identifique arquivos ou pastas com configurações de permissão inseguras e defina permissões para valores seguros recomendados com o clique de um botão.
• Proteja seu código PHP desativando a edição de arquivos na área de administração do WordPress.
• Visualize e monitore facilmente todos os logs do sistema host em uma única página de menu e mantenha-se atualizado sobre quaisquer problemas ou problemas que ocorram em seu servidor para que você possa resolvê-los rapidamente.
• Evite que as pessoas acessem os arquivos readme.html, license.txt e wp-config-sample.php do seu site WordPress.

6. Faça backup e restaure os arquivos htaccess e wp-config.php

• Facilmente faça backup de seus arquivos originais .htaccess e wp-config.php caso precise deles para restaurar a funcionalidade quebrada.
• Altere o conteúdo dos arquivos .htaccess ou wp-config.php atualmente ativos no painel de administração com apenas alguns cliques.

7. Funcionalidade da lista negra

• Bloqueie usuários especificando endereços IP ou use um curinga para especificar intervalos de endereços IP.
• Negar usuários especificando agentes de usuário.

8. Funcionalidade do firewall

Este plug-in permite adicionar facilmente muitos elementos de proteção de firewall ao seu site por meio do arquivo htaccess. O arquivo htaccess é processado pelo seu servidor web antes de qualquer outro código em seu site.
Portanto, essas regras de firewall interromperão o(s) script(s) malicioso(s) antes que ele tenha a chance de acessar o código do WordPress em seu site.

• Objeto de controle de acesso.
• Ative instantaneamente um conjunto de configurações de firewall que variam de básico, intermediário e avançado.
• Habilite as famosas regras de firewall "6G Blacklist", cortesia da Perishable Press.
• Desative a postagem de comentários por meio de um proxy.
• Bloqueie o acesso ao arquivo de log de depuração.
• Desativar rastreamento e rastreamento.
• Nega strings de consulta inválidas ou maliciosas.
• Proteja-se contra cross-site scripting (XSS) ativando um abrangente filtro avançado de cadeia de caracteres.
  ou bots maliciosos que não possuem um cookie especial em seu navegador. Você (o administrador do site) saberá como definir esse cookie especial e poderá fazer login no seu site.
• Recurso de proteção de vulnerabilidade do WordPress PingBack. Este recurso de firewall permite que o usuário negue o acesso ao arquivo xmlrpc.php para se proteger contra certas vulnerabilidades no recurso de ping. Isso também é útil para impedir que os bots acessem constantemente o arquivo xmlrpc.php e desperdicem os recursos do servidor.
• A capacidade de impedir que Googlebots falsos rastreiem seu site.
• Capacidade de evitar hotlinking de imagens. Use isso para evitar que outras pessoas criem links diretos para suas imagens.
• Capacidade de registrar todos os 404 eventos em seu site. Você também pode bloquear automaticamente endereços IP que recebem muitos erros 404.
• A capacidade de adicionar suas próprias regras para bloquear o acesso a vários recursos em seu site.

9. Impedir o ataque de força bruta de login

• Bloqueie ataques de força bruta instantaneamente com nosso recurso personalizado de prevenção de força bruta de login baseado em cookies. Esse recurso de firewall bloqueia todas as tentativas de login de humanos e bots.
• Capacidade de adicionar captcha matemático simples ao formulário de login do WordPress para proteger contra ataques de força bruta.
• Capacidade de ocultar a página de login do administrador. Renomeie o URL da página de login do WordPress para evitar que bots e hackers acessem o URL real do login do WordPress. Este recurso permite que você altere a página de login padrão (wp-login.php) para algo que você personalize.
• A capacidade de usar o Login Honeypot, que ajudará a reduzir o número de tentativas de login por meio da força bruta dos robôs.

10. Verificador de segurança de arquivos do site

• O File Change Detection Scanner pode alertá-lo se algum arquivo foi modificado em seu sistema WordPress. Você pode então investigar e ver se foi uma mudança legítima ou se algum código ruim foi introduzido.

11. Proteção contra spam de comentários

• Rastreie os IPs mais ativos que produzem consistentemente a maioria dos comentários de spam e bloqueie-os instantaneamente com o clique de um botão.
• Evite que comentários sejam enviados se não forem do seu domínio (isso deve reduzir o número de comentários postados por bots de spam em seu site).
• Adicione um captcha ao seu formulário de comentários do WordPress para melhorar sua proteção contra spam de comentários.
• Bloqueie de forma automática e permanente os endereços IP que excedam um determinado número de comentários marcados como SPAM.

12. Texto de proteção contra cópia frontal

• Capacidade de desabilitar o botão direito, seleção de texto e opção de cópia para o seu frontend.

13. Recursos adicionais do plug-in

• Capacidade de remover metainformações do gerador WordPress do código-fonte HTML do seu site.
• Capacidade de remover informações da versão do WordPress dos arquivos JS e CSS do seu site.
• Capacidade de impedir que as pessoas acessem os arquivos readme.html, license.txt e wp-config-sample.php.
• A capacidade de bloquear temporariamente a frente do seu site de visitantes regulares enquanto você executa várias tarefas internas (investigação de ataques de segurança do site, atualização do site, manutenção, etc.)
• Capacidade de exportar/importar configurações de segurança.
• Impeça que outros sites exibam seu conteúdo por meio de um frame ou iframe.

É ideal para quem simplesmente não tem tempo para lidar com a segurança do site. Basta instalar e esquecer o plugin. Mas se você puder dispor de mais tempo para aumentar sua segurança, recomendo fortemente que implemente todas as medidas acima.

Conclusão

Comecei este artigo sobre como proteger um site com um ponteiro claro: o primeiro passo é acertar a segurança do seu site. Esse é um processo em andamento. É uma boa prática padrão em qualquer organização realizar auditorias periódicas para permitir o máximo controle sobre a segurança do site. O cenário de ameaças está mudando constantemente e os hackers encontrarão maneiras mais criativas de burlar a segurança. Os especialistas em segurança permanecem constantemente vigilantes, e esta é a principal conclusão de tudo: não relaxe.

Lendo este artigo:

• Qual é a diferença entre malware e vírus? (explicação)
• 10 etapas essenciais para melhorar a segurança do seu site

Obrigado por ler: AJUDANTE DE SEO | NICOLA.TOP