10 dicas pouco conhecidas e super eficazes para proteger seu blog WordPress
Começar um blog hackeado e perder anos e anos de trabalho com blogs durante a noite é uma triste realidade que as pessoas realmente passaram. Na verdade, pesquisas mostram que 37.000 sites são hackeados todos os dias e, com o WordPress acionando aproximadamente 25,4% de todos os sites, você pode ter certeza de que uma boa quantidade de blogs do WordPress é hackeada todos os dias..
A segurança do WordPress é um jogo totalmente diferente; Uma vez que você possui um blog WordPress, dicas como ter um nome de usuário difícil de adivinhar e uma senha tão difícil quanto o rock não são mais suficientes. UMA tema com bugs únicos, o plug-in incorreto ou um arquivo incorretamente protegido pode resultar em seu blog ser invadido durante a noite.
Se você é inexperiente com o WordPress, ou se você está usando a plataforma desde a sua existência, este artigo tem 10 maneiras práticas e eficazes de garantir seu blog WordPress que qualquer um pode implementar. Você não encontrará a maioria dessas dicas em artigos populares "como proteger seu blog", mas eles podem muito bem salvar seu blog um dia!
1. Desativar o Editor de Tema e Plugin do WordPress
O WordPress tem um recurso prático que dá aos proprietários de sites mais flexibilidade, permitindo que eles personalizem e editem seus temas e plugins diretamente no painel do WordPress, mas esse recurso tem sido o desfazer da maioria dos blogs..
Com esse recurso, Um pequeno erro pode travar seu site e bloqueá-lo de seu próprio site. Os hackers podem facilmente inserir códigos maliciosos em seu tema para dar acesso clandestino ao seu site, ou até mesmo assumir seu site completamente, ganhando o controle de uma conta que tenha privilégios suficientes para usar o editor de temas e plug-ins..
Você pode se proteger desabilitando o editor de plugins e temas, Tornando impossível modificar seus temas e plugins sem acesso FTP.
Faça isso adicionando o seguinte código ao seu arquivo wp-config.php:
define ('DISALLOW_FILE_EDIT', true);
2. Ativar autenticação de dois fatores
A autenticação de dois fatores está se tornando rapidamente uma das maneiras mais confiáveis de proteger suas contas on-line, e a maioria dos sites confiáveis insistirá que seus usuários o habilitem..
Embora o WordPress não tenha necessariamente autenticação de dois fatores, você pode habilitar a autenticação de dois fatores em seu blog instalando os seguintes plug-ins:
- Google Authenticator
- Authy
- Clave
- Rublon
3. Limite de logins com base no número de tentativas com falha
Há muitas maneiras pelas quais os hackers tentam obter acesso ao seu blog, e uma das técnicas mais comuns é um ataque de força bruta: um hacker tenta uma combinação de nomes de usuário e senhas, repetidamente, até conseguir acessar com êxito seu blog.
Por padrão, o WordPress não está protegido contra esse ataque. Ao instalar plug-ins que limitam logins após um determinado número de tentativas malsucedidas de um determinado IP, você pode dificultar muito mais o acesso dos hackers ao seu blog..
O plugin do Jetpack Protect Module também pode protegê-lo contra ataques de força bruta.
4. Escaneie seu blog regularmente
Arquivos de tema, plugins, links e outros elementos aparentemente inofensivos podem ser usados para obter acesso ao seu blog. Não espere até que seu site esteja totalmente infectado antes de tomar medidas. Em vez disso, instale plug-ins de verificação de segurança para verificar regularmente seu site e notificá-lo se os arquivos forem alterados.
Um bom exemplo de um plugin de verificação de segurança é o Wordfence. Além de lhe dar a opção de verificar manualmente / automaticamente o seu blog WordPress, ele também avisa instantaneamente quando a atividade suspeita está acontecendo em seu blog.
Ele também envia informações sobre comentários potencialmente mal-intencionados e compara seus arquivos de tema e plug-in com o repositório WordPress para informá-lo se sua versão de um plug-in ou tema foi modificada e pode servir como um backdoor para hackers em seu site.
Outros plug-ins de segurança que podem ajudar você a verificar seu malware em busca de malware e exploits são:
- Scanner de segurança Sucuri
- Segurança Acunetix WP
- iThemes Security (anteriormente conhecido como "Better WP Security")
5. Mude seu host
Embora isso pareça um conselho simplista, ele realmente tem muito peso. Pesquisas mostram que 41% dos sites do WordPress invadidos invadiu a vulnerabilidade de segurança em sua plataforma de hospedagem. Isso é muito mais do que de outras fontes, incluindo ter uma senha fraca.
Seu host pode desempenhar um papel importante em saber se você será hackeado ou não; tenha certeza que você só vá para hosts confiáveis que resistiram ao teste do tempo e essa cumprir as melhores práticas do setor.
6. Ocultar o seu número de versão do WordPress
Por padrão, o WordPress exibe seu número de versão do WordPress; Isso torna mais fácil para o WordPress controlar quantos blogs do WordPress estão ativos em todo o mundo. No entanto, isso também pode ser uma enorme fonte de problemas; hackers e bots podem verificar a web para blogs usando um número de versão do WordPress com uma vulnerabilidade conhecida, fazendo de você um alvo fácil.
Você pode facilmente resolver este problema escondendo seu número de versão do WordPress. Para ocultar o seu número de versão do WordPress, basta adicionar o seguinte código ao seu arquivo functions.php:
add_filter ('the_generator', '__return_null');
7. Desativar relatórios de erros do PHP
Quando um plug-in ou tema não está funcionando bem em seu blog do WordPress, os relatórios de erros do PHP podem ajudar, mostrando uma mensagem que revela a causa do erro. No entanto, nesta vantagem reside uma desvantagem: quando o erro do PHP está sendo relatado, inclui o caminho completo do servidor do erro, revelando informações que os hackers podem usar contra você.
Você pode se proteger desabilitando o relatório de erros do PHP. Basta adicionar o seguinte código ao seu arquivo wp-config.php:
error_reporting (0); @ini_set ('display_errors', 0);
8. Trabalhe em suas permissões de arquivo do WordPress
Quando se trata de impedir o seu site WordPress de explorações de segurança, é essencial garantir que você tenha as permissões de arquivo corretas. Isso torna difícil para um hacker manipular plugins, temas ou arquivos em seu servidor para assumir o controle do seu site..
Certifique-se de que o WordPress pasta permissões são definidas para 755 ou 750; Arquivo as permissões estão definidas para 640 ou 644; e que a permissão wp-config.php está definida para 600.
9. Garantir backups regulares
Mesmo grandes sites com uma equipe de especialistas em segurança e consultores são hackeados e, embora seguir as práticas recomendadas possa tornar seu site mais forte que 99,9% dos sites, as coisas ainda podem quebrar.
A melhor segurança que você tem contra ataques de hack do WordPress é um bom backup; Verifique se você está fazendo backups do seu site regularmente - se possível, diariamente. Desta forma, se o seu site é hackeado você tem seus arquivos no lugar e pode restaurar as coisas imediatamente.
Aqui estão alguns dos melhores plugins de backup do WordPress:
- BackUpWordPress
- Pronto! Cópia de segurança
- VaultPress
- BackupBuddy
10. Limite o acesso à sua página de login
Quando o empurrão chega, você pode ter que tomar alguma ação drástica. Uma maneira muito confiável de proteger seu blog de tentativas de hackers é bloqueando totalmente o acesso à sua página wp-admin e wp-login.php.
Isto só é recomendado se você usar um endereço IP que não muda (você não quer se esconder do seu blog!). Você ainda pode usar essa opção se usar mais de um endereço IP, mas controlar esses endereços.
Para limitar o acesso à sua página de login, adicione o seguinte código ao seu arquivo .htaccess:
RewriteEngine em RewriteCond% REQUEST_URI ^ (. *)? Wp-login \ .php (. *) $ [OU] RewriteCond% REQUEST_URI ^ (. *)? Wp-admin $ RewriteCond% REMOTE_ADDR! Endereço IP 1 $ RewriteCond% REMOTE_ADDR! ^ O seu endereço IP 2 $ RewriteCond% REMOTE_ADDR! ^ O seu endereço IP 3 $ RewriteCond% REMOTE_ADDR! ^ O seu endereço IP 4 $ RewriteCond% REMOTE_ADDR! ^ O seu endereço IP 5 $ RewriteRule ^ (. *) $ - [R = 403, L]
Certifique-se de editar Seu endereço IP 1 através de Seu endereço IP 5 com os diferentes endereços IP que você deseja dar acesso; você pode simplesmente adicionar ou remover uma linha para permitir ou impedir que mais IPs acessem seu site.
Conclusão
É claro, você não deve ignorar as dicas básicas de segurança, como não usar um nome de usuário previsível, ter uma senha forte, atualizar a instalação do WordPress regularmente, etc. No entanto, as dicas de segurança pouco conhecidas e frequentemente ignoradas podem fazer com que o seu WordPress blog apenas um pouco mais seguro.
Nota do editor: Este guest post foi escrito para o Hongkiat.com por John Stevens. John é um especialista em WordPress e hospedagem. Ele é o fundador e CEO da HostingFacts.com, um portal onde ele analisa e classifica os hosts da web com base no desempenho.