A segurança do WordPress geralmente é uma preocupação negligenciada para novos usuários do WordPress. O " hacker É para eles algo que leem, mas que não concebem que possa acontecer com eles. Injeções de SQL, XSS, escalonamento de privilégios e vulnerabilidades de segurança críticas são, portanto, apenas palavras-chave em novas tecnologias.
Mas as coisas devem ser diferentes. A segurança do WordPress é fundamental: todo site do WordPress deve ser total e adequadamente protegido.
Portanto, é essencial, como proprietário do site WordPress, saber o que fazer para proteger seu blog contra ataques.
Acabei de começar, acho que meu blog será poupado
Se você pensa assim, enfrentará sérias dificuldades antes mesmo de ganhar alguma coisa com seu blog. Os hackers não procuram manualmente o seu blog, nem precisam prejudicá-lo diretamente.
Normalmente, "hackers" usam scripts automatizados que pesquisam blogs. Se um link para o seu site aparecer em um fórum, outro blog ou mesmo em uma rede social, esse link pode ser explorado para chegar ao seu blog.
O objetivo geral dos hackers é poder usar seus alojamento para fazer outra coisa. É, portanto, do seu interesse não negligenciar este aspecto.
A "lista TODO" de qualquer blogueiro em termos de segurança
Você já sabe que seu blog não será poupado. O que então você pode fazer?
Preparamos uma lista de recomendações (também é um lembrete para todos aqueles que nos seguem aqui no BlogPasCher), o que você deve fazer para proteger melhor o seu blog WordPress.
1 - Você deve sempre ter uma versão atualizada do WordPress
Repetidas vezes, você lerá comentários sobre blogueiros que se recusam a atualizar sua versão do WordPress, porque temem que essa atualização represente um problema de compatibilidade.
No 2016, é lamentável ver que ainda existe esse tipo de mentalidade.
Se você tivesse que escolher entre um site invadido e um plug-in que não funcionasse momentaneamente, o que escolheria?
Plug-ins incompatíveis com as versões mais recentes do WordPress podem permanecer assim por um curto período de tempo, mas um site hackeado, por outro lado, é um problema muito maior.
Cada atualização do WordPress corrige problemas de segurança descobertos recentemente. Se sua versão do WordPress não for atualizada, seu site ficará vulnerável a falhas.
Aprenda a gerenciar atualizações do WordPress
2 - Não modifique o código fonte do WordPress
A partir do momento em que você ou um desenvolvedor do WordPress modificar os arquivos de sistema do WordPress, não poderá atualizar o WordPress de forma fácil e automática para a versão mais recente, pois perderá as alterações feitas no seu site.
Isso deixará seu site vulnerável a problemas de segurança descobertos na versão do WordPress que você está usando. Então você vai precisar de si mesmo patcher 'As várias vulnerabilidades, e eu duvido que esta noite uma tarefa fácil. Um ditado entre os desenvolvedores do WordPress diz: Nunca altere, por nenhum motivo, o código-fonte do WordPress. Quando você o faz, um gatinho morre na Terra.
Realmente não faz sentido, mas deve-se entender que o WordPress é tão flexível que permite que o plugin modifique seu comportamento sem tocar no código-fonte.
3 - Verifique se você sempre atualizou plug-ins
Tal como acontece com a sua versão do WordPress, as vulnerabilidades são frequentemente encontradas em WordPress plugins. Tem havido muitos casos de hacking de blog WordPress relacionados com a vulnerabilidade dos plugins.
A maioria dos softwares está propensa a esses problemas em algum momento de sua existência. A maneira como as vulnerabilidades são tratadas mostra a seriedade com que algumas empresas administram seus negócios.
Em princípio, assim que um problema for descoberto, os desenvolvedores do plugin irão rapidamente corrigi-lo e oferecer uma atualização.
Descubra como atualizar automaticamente plugins
4 - Remova os plugins que você não usa
Quanto mais plugins você instalar, mais vulnerabilidades o seu blog expõe.
Às vezes, instalamos plug-ins para testar sua funcionalidade e esquecemos de removê-los. Se uma vulnerabilidade for descoberta nesses plug-ins, seu site ficará automaticamente vulnerável, mesmo que o plug-in não seja realmente usado.
Se você não usar um plug-in, exclua-o. Lembre-se sempre de que o teste de plug-in pode ser feito localmente.
Como desinstalar um plugin do WordPress
5 - Verifique se o seu tema é atualizado regularmente
A mesma lógica que se aplica às atualizações do WordPress e seus plugins, se aplica aos seus temas. Proteger o WordPress significa que todos os temas precisam ser atualizados para suas versões mais recentes. Caso contrário, quaisquer vulnerabilidades de segurança que foram corrigidas continuarão sendo um problema para você.
Agora você provavelmente pode pensar que todas as alterações feitas no tema não estarão mais disponíveis após a atualização. Em princípio, as modificações em um tema devem ser feitas necessariamente por um tema filho, ao invés de diretamente no tema pai. Isso permitirá que você obtenha os patches e atualizações de segurança mais recentes sem remover suas alterações.
6 - Instale plugins e temas de uma fonte confiável
Às vezes, quando os tempos estão difíceis, podemos ser tentados a "ignorar" o pagamento de um bom tema ou plugin e obtê-lo gratuitamente de uma fonte ruim.
Na verdade, não há nada de errado em indexar uma fonte aqui. Pirataria, torrents e outras fontes que oferecem software pago gratuitamente são algo que você deve evitar absolutamente como uma praga.
O que geralmente não percebemos, no entanto, é que muitos desses temas invadidos baixados gratuitamente foram corrompidos maliciosamente. Principalmente um " porta traseira Foi instalado no script. Isso permite que o site em que o tema ou plugin seja usado seja controlado remotamente.
Então, você precisa baixar o máximo de temas gratuitos possível WordPress.org, ou temas premium em fontes como " ThemeForest ".
7 - Use senhas fortes
Muitos proprietários de blog são negligentes nesse nível. Se sua senha for fácil de adivinhar, você está com sérios problemas. As senhas mais comumente usadas são:
- 123456
- Administrador
- 0000
- Senha
- Segredo
É horrível perceber isso. Você não pode considerar trabalhar seriamente em seu blog, se sua senha não for.
A proteção de um blog também possui uma senha confiável.
8 - Limitar tentativas de conexão
Já discutimos os casos de ataques de senha de força bruta e o fato de que o uso de bots é barato e muito acessível para seus hackers. Por esse motivo, você deve implementar mecanismos para bloquear qualquer tentativa de ataques de força bruta.
O plugin « limite de Entrada Faz exatamente isso. Se detectar várias tentativas incorretas de logon, impede que o usuário efetue logon novamente. Obviamente, isso dificulta a organização de ataques de força bruta e protege melhor o seu blog.
9 - Faça backups
Listei uma lista de coisas que você deve fazer para proteger o WordPress e entendo que pode ser um pouco difícil de colocá-lo em prática. Eu também sei disso, você pode esquecer de montar.
Mas há uma tarefa que você não deve pular: fazer backups de seu blog.
A única coisa que você nunca deve se esquecer de fazer é ter um plano de backup do WordPress. Não apenas em caso de ataques, mas mesmo em caso de acidentes, falhas técnicas e outros contratempos, ter um backup garante que você possa se recuperar facilmente.
O Snapshot Pro é como uma máquina do tempo para o seu site, permitindo que você faça backup e restaure todo o seu site e até mesmo agende backups automáticos regulares.
10 - Ative o Google Search Console
Embora esta não seja uma recomendação estrita em relação ao WordPress, ainda é algo que você deve considerar como um suplemento para as várias recomendações desta lista.
O Google e outros mecanismos de pesquisa sempre querem ter certeza de que seu site está livre de qualquer ameaça aos usuários de mecanismos de pesquisa. É por esse motivo que o Google irá notificá-lo se notar algo anormal em seu site.
Esta prática permitirá restaurar adequadamente um site que foi "Hacked", especialmente porque o Google oculta de seus resultados qualquer site que represente uma ameaça para esses usuários.
Isso é tudo ?
Não, a lista não é exaustiva. Há muitas coisas que você pode fazer para proteger melhor seu blog. Mas este é o primeiro passo.
