Como impedir que seu site WordPress seja invadido ou hackeado

Categorias

Como impedir que seu site WordPress seja invadido ou hackeado

Wordpress proteção contra Hacker

Haver muitos sistemas de gerenciamento de conteúdo (CMS), mas nenhum deles alcance o WordPress com mais de 75 milhões de sites.
O WordPress alimenta 35% da Internet em 2020, um aumento de 2% em relação ao início de 2019 e um aumento de 4% em relação ao ano anterior.
No entanto, a segurança do WordPress e dicas práticas para impedir a invasão do WordPress – ainda tem um caminho a percorrer.

No entanto, queremos ajudá-lo a proteger seu site desde o início – porque a prevenção é melhor do que remediar.
Se você está aterrorizado, está justificado. Todo mundo quer impedir a invasão do WordPress. Recuperar pode levar algum tempo e esforços intensos. Portanto, fortaleça seu site com essas práticas recomendadas de segurança do WordPress, para que esse destino terrível não aconteça. E sim, levará algum tempo e esforço contínuo para evitar ataques de hackers.

1. Impedir a invasão do WordPress começa com sua estação de trabalho

Este é o primeiro e mais facilmente esquecido: o seu computador. Você sempre deve manter seu sistema livre de malware e vírus, principalmente se estiver acessando a Internet com ele. A proteção da estação de trabalho é ainda mais essencial quando você realiza transações e possui um site, pois basta um keylogger para eliminar os sites mais endurecidos. Um keylogger lerá todos os seus nomes de usuário e senhas e os enviará para hackers – o que obviamente criará uma série de problemas para o seu site.

2. Mantenha-se protegido contra as ameaças mais recentes com as atualizações do WordPress

WordPress Atualização
WordPress Segurança Atualização

Toda vez que um pacote de software é atualizado, você fica animado porque, ei, novos recursos! Os hackers estão entusiasmados com as notas de versão de segurança e manutenção. Isso ocorre porque, infelizmente, cada atualização do WP traz consigo várias vulnerabilidades de segurança do WordPress.

As versões do WordPress não são diferentes. A cada nova atualização, obtemos recursos e atualizações adicionais, além de uma página listando as falhas de segurança na versão anterior e suas correções. Essa página é praticamente uma cábula para hackers em todos os lugares. Se você não conseguir atualizar a tempo, essas falhas serão a desgraça de sua existência. E se o seu site for invadido, não será culpa de ninguém, a não ser sua.

Portanto, não dê aos hackers mais preguiçosos a chance de invadir seu site. Instale a versão mais recente do WP assim que for lançada. Se você tem medo que isso atrapalhe seu site cuidadosamente criado (sabe-se que isso acontece), crie um backup antes de atualizar. Isso resolverá os problemas de segurança existentes na versão anterior – e ajudará bastante a impedir hackers do WordPress.

Deseja que seu site seja atualizado automaticamente? Dê uma olhada no plugin Companion Auto Update eles têm excelentes recursos específicos do WordPress para que você possa atualizar seu site e plugins automaticamente assim que eles saírem.

3. Verifique se o seu hospedagem / servidor está seguro

A cibersegurança é agora uma questão cotidiana para as empresas. Os sites são invadidos todos os dias e alguns deles são fatais para as empresas atacadas.
Em média, 30.000 novos sites são invadidos todos os dias.

Foi realizado um estudo que afirmou que há um ataque a cada 39 segundos, em média, na Web, e os nomes de usuário e senhas não seguros que estão sendo usados dão aos atacantes mais chances de sucesso.

Esse fato bastante alarmante é verdadeiro porque a maioria dos sites / blogs está hospedada em servidores compartilhados. Basicamente, se um site em um servidor compartilhado for infectado, todos os outros sites estarão em risco, independentemente da segurança do site / blog. Você será invadido sem culpa alguma.

Portanto, escolha um host confiável e seguro. O VPS e a hospedagem gerenciada minimizam as chances de violações e são excelentes para sites de comércio eletrônico. Se a hospedagem compartilhada for suficiente para você, verifique a segurança deles antes de assinar a hospedagem com eles. Certifique-se de verificar os intervalos de manutenção. Esta é outra etapa que deve estar na sua lista de prioridades, se você deseja impedir a invasão do WordPress.

Verifique os intervalos de manutenção. Esta é a outra etapa que deve estar na sua lista de prioridades, se você deseja impedir a invasão do WordPress.

4. Use o Network Security para impedir a interceção de senha e dados

Dica essencial: crie uma senha segura e não reutilize senhas.
Dica essencial: proteja seu site e tráfego com criptografia leia mais =>> SSL TSL HTTPS

Senha segura
Senha segura

Nosso próximo passo sobre como proteger o WP dos hackers fala sobre um tópico muito clichê – senhas seguros.

Um número surpreendente de pessoas pensa que senhas longas e complicadas são superestimadas e preferem algo mais curto e fácil de lembrar; um fato que os hackers conhecem e se aproveitam.

Não há outra maneira de colocar isso: uma boa senha forte composta de letras, números e outros caracteres válidos realmente ajudará bastante a proteger seu blog e site. O algoritmo de força bruta funciona infinitamente, sim. Mas quanto mais caracteres houver em sua senha, mais tempo será necessário para decifrá-la. E eu quero dizer exponencialmente mais.

Quaisquer dados pessoais ou uma senha baseada neles serão fáceis de decifrar. Também não use palavras únicas (independentemente do tamanho), senhas somente letras ou números. O que você está tentando fazer é quebrar os padrões conhecidos para dificultar os hackers, se não impossível.

Crie uma senha que seja fácil de lembrar, mas difícil de adivinhar para impedir a invasão do WordPress – se o seu blog é sobre segurança, faça algo como pressmyWORDSe5egurit! $

6. Proteja através do isolamento: mantenha seus bancos de dados seguros e isolados

Códigos automatizados para injeções de SQL podem ser executados para invadir o banco de dados do site com relativa facilidade. Se você estiver executando vários sites / blogs em um único servidor (e banco de dados), todos os seus sites estão em risco.

Como o recurso de código coloca, é melhor usar bancos de dados individuais para cada blog / site e permitir que eles sejam gerenciados por usuários separados. Você também pode revogar todos os privilégios do banco de dados, exceto a leitura e gravação de dados de usuários que trabalharão apenas com postagem / upload de dados e instalação de plug-ins. Porém, não é recomendado devido aos privilégios de alteração de esquema necessários nas principais atualizações.

Você também deve renomear seu banco de dados (alterando seu prefixo) para direcionar incorretamente os hackers que apontam seus ataques contra ele. Embora isso não impeça os hackers do WordPress em si, garante que, se algum banco de dados for comprometido, os hackers não possam pular para a próxima instalação do WP.

7. Esconda o nome de login e administrador do seu site

A seguir, sobre como proteger o WordPress contra hackers, diz respeito à Administração do WP.

Deixar os padrões do WP intocados está praticamente pedindo problemas.

É ridiculamente simples encontrar o nome de administrador do seu site se você não o ocultar ativamente. Tudo o que um hacker precisa é adicionar? Author = 1 após o seu URL e a pessoa / membro que aparece provavelmente é o administrador. Imagine como seria fácil para os hackers usar força bruta depois de encontrar o nome de usuário do administrador. Como você pode evitar hackers, se você está deixando tanta informação disponível, facilitando a exploração?

Solução para impedir hackers do WP: oculte todos os nomes de usuários com este código no arquivo functions.php:

add_action(‘template_redirect’, ‘bwp_template_redirect’);

function bwp_template_redirect()

{

if (is_author())

{

wp_redirect( home_url() ); exit;

}

}

Sua página de login também é fácil de acessar, e não apenas para você. Posso simplesmente adicionar wp-admin ou wp-login.php após o URL da sua página inicial, preencher o nome de usuário que aprendi de? Author = 1 enquanto o algoritmo de força bruta quebra sua senha.

Plug-ins de segurança como RSFirewall até fará isso por você – e mais uma vez, executar esta etapa simples ajudará bastante a impedir a invasão do WordPress.

8. Como proteger o WordPress através do .htaccess

Vamos esclarecer: o wp-includes é o núcleo. Deve ser deixado sozinho, até por você. E de modo algum deve ser deixado acessível a hackers em potencial.

Portanto, evite que pessoas / bots maliciosos enviem scripts indesejados diretamente ao coração do seu site para evitar ataques de hackers. Adicione isso antes do #BEGIN WordPress no seu arquivo .htaccess:

<files wp-config.php>
order allow,deny
deny from all
</files>
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans

<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>

# Block the include-only files.

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteBase /

RewriteRule ^wp-admin/includes/ - [F,L]

RewriteRule !^wp-includes/ - [S=3]

RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]

RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]

RewriteRule ^wp-includes/theme-compat/ - [F,L]

</IfModule>

# BEGIN WordPress

9. Faça backup do seu site !!

Akeeba backup WordPress
Akeeba backup WordPress

Esta é a rede de segurança. Um backup é uma das primeiras coisas que você precisará para restaurar seu site se for invadido por hackers.

Faça backup do site pelo menos com a frequência que você executa a manutenção ou atualiza-o. Não há desculpa para ser negligente neste departamento, não quando existem serviços e plugins bastante completos que executam backups automatizados para você. Recomendamos akeeba backup wordpress uma ótima ferramenta para fazer backup e recuperar seu site.

Crie uma programação e deixe o plug-in fazer o resto. Este plugin vem com opções de restauração fáceis. Verifique se o plug-in está fazendo backup de todo o site, incluindo todos os bancos de dados e diretórios. Embora isso não impeça os hackers do WordPress, você terá a tranqüilidade de restaurar o site, se o impensável acontecer.

10. Use fontes confiáveis apenas para downloads

Se você estiver com um orçamento apertado (e mesmo se não estiver), poderá ficar tentado pela opção de obter todos os recursos e funcionalidades dos plugins / temas premium gratuitamente.

Em resumo: mercadorias piratas.

Você não pode ser mais esperto que um hacker se estiver baixando coisas premium de fontes de má reputação ou não autorizadas – elas voltarão para dar um soco no seu coração. Eles têm má reputação porque encherão esses plug-ins / temas legítimos ‘premium’ com malware e permitirão que o pessoal estúpido faça o resto.

Um backdoor oculto será tudo o que eles precisam para converter a aparência on-line da sua marca em um pôster gigante para pílulas de aumento – ou pior ainda, malware. Seu site será rapidamente incluído na lista negra, mesmo a partir de mecanismos de pesquisa e navegadores, se houver malware.

Essa é uma tática conhecida e muito popular dos hackers. Temas e plugins pirateados estão repletos de backdoors e malware. Este é um dos problemas de segurança do WordPress mais fáceis de resolver. É melhor procurar um tema confiável de uma fonte confiável, como a que analisamos aqui: Tema Avada

Lembre-se: coisas piratas? Não se preocupe.

Você é bom com os diretórios oficiais de Temas e plug-ins. Tente seguir esses. Você também pode confiar em fontes como Theme Forest, Code Canyon, ElegantThemes, etc.

11. Proteja seu site contratando um profissional

Um novato é mais fácil de invadir. Pelo menos, é o que a maioria dos hackers pensa (não incorretamente). Até a Bíblia diz: Abstenha-se de todas as aparências de ser um amador; mesmo e especialmente se você é um.

12. A boa segurança do WordPress requer boas permissões de arquivos

A regra geral é 755 para diretórios e 644 para arquivos.

Embora isso varie dependendo do servidor e do tipo de arquivo em questão – na maioria dos casos, você deve trabalhar muito bem com essas permissões.

Seria melhor pedir ao seu host para verificar ou, se você tiver acesso direto, poderá fazer isso sozinho.

13. Pecados de segurança do site: nunca defina as permissões de arquivo para 777 (nem mesmo temporariamente)

Se você quer mesmo impedir os hackers do WordPress – NUNCA defina a permissão de arquivo / diretório como 777, a menos que queira dar controle total sobre todos, inclusive hackers.

Há uma tendência muito perigosa entre os iniciantes em definir as permissões de arquivo para 777, “porque é fácil” ou “porque vamos corrigi-lo mais tarde” ou “porque vou mudar mais tarde”.

Isso é extremamente perigoso – 777 significa que quem quiser pode alterar o conteúdo desse arquivo.

Com essas permissões definidas, seu site é uma casa aberta. Depois que eles tiverem acesso a um arquivo, tenha certeza de que é muito fácil pular para outros arquivos ou instalar backdoors e outras coisas desagradáveis no seu site.

O codex WP fornece um guia completo para permissões de arquivo: como alterá-las e as permissões recomendadas para alguns arquivos.Você precisa equilibrar a segurança do seu site com a funcionalidade. Portanto, comece baixo e aumente gradualmente as permissões até acertar.

As permissões de arquivo corretas certamente ajudarão a evitar invasões de sites. Novamente, esse é um dos problemas de segurança do WordPress mais fáceis de evitar, você só precisa estar ciente disso.

 

Compartilhar no facebook
Facebook
Compartilhar no twitter
Twitter
Compartilhar no linkedin
LinkedIn
Compartilhar no whatsapp
WhatsApp
Compartilhar no telegram
Telegram
Compartilhar no email
Email
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no whatsapp
Compartilhar no telegram
Compartilhar no email

Orçamento

Mais Posts

Veja abaixo alguns depoimentos de nossos clientes de Web design e SEO

ATENDEMOS TODO BRASIL

Vamos começar com uma conversa sem pressão sobre o seu projeto.

Olá, Tudo Bem ?

Deixa sua Mensagem , será um prazer em responder-lo

Cel. WhatsApp +55 (35) 9 8805-0403

© 2020 Jobadoo Web design

Do NOT follow this link or you will be banned from the site!
×

Olá!

Clique em um de nossos representantes abaixo para conversar no WhatsApp ou envie um email paracontato@jobadoo.com.br

× Converse conosco