Blog da AIOSEO

Tutoriais, dicas e recursos do WordPress para ajudar a expandir seus negócios

Quer saber como aumentar a segurança de seu site? Então este post é para você.

Segurança do site: 8 dicas para tornar seu site WordPress seguro

Atualizado em Escrito por: avatar do autor Kato Nkhoma
avatar do autor Kato Nkhoma
Kato é um daqueles raros unicórnios que nascem com uma caneta na mão - assim diz a lenda. Ele é autor de dois livros e produziu conteúdo para centenas de marcas. Quando não está criando conteúdo para a AIOSEO, você o encontrará assistindo a vídeos de tecnologia no YouTube ou brincando com seus filhos. E se você não o encontrar, provavelmente ele foi acampar.
Ver biografia completa
Avaliado por: avatar do revisor Ben Rojas
avatar do revisor Ben Rojas
Ben Rojas é um desenvolvedor especialista em WordPress e presidente da All in One SEO (AIOSEO). Com uma base sólida no setor de TI que abrange mais de 25 anos, Ben desenvolveu um profundo conhecimento em tecnologia e cenários digitais.
Ver biografia completa
LinkedIn

Quer saber como você pode aumentar a segurança do seu site?

A segurança do WordPress é um tópico muito importante para todo proprietário de site, pois tem muitas implicações para o sucesso do seu site. 

Felizmente, o WordPress fez muito para garantir a segurança da plataforma. Entretanto, o recurso mais proeminente do WordPress é também seu calcanhar de Aquiles: o fato de ser um sistema de gerenciamento de conteúdo (CMS) de código aberto. Como qualquer pessoa pode modificar o código-fonte, muitos plugins, temas e outras ferramentas são desenvolvidos para se integrar e até mesmo alterar o código. Isso pode abrir seu site para diferentes vulnerabilidades críticas que podem comprometer a integridade do seu site.

É por isso que você precisa tomar medidas para melhorar a segurança do seu site.

Não se preocupe. Embora isso possa parecer uma tarefa desafiadora, proteger seu site WordPress é fácil se você tomar as medidas adequadas. 

Por que a segurança do site é importante?

Se você estiver administrando um site de hobby, um site comercial, um site de marketing de afiliados ou qualquer outro tipo de site, mantê-lo seguro deve ser sempre uma prioridade.

A segurança na Web é importante pelos vários motivos mencionados abaixo.

Aqui estão quatro motivos principais pelos quais a segurança do site é importante:

  1. Proteja suas informações: As violações de segurança podem dar aos invasores acesso a informações valiosas suas ou de seus clientes. Essas informações podem ser usadas para muitas atividades maliciosas que podem causar danos.
  2. Proteja sua reputação: Quando as pessoas descobrem que seu website é vulnerável a ataques, sua reputação fica comprometida. Como resultado, você poderá perder clientes.
  3. Os visitantes do site esperam isso: Os visitantes do site se sentem mais confortáveis navegando em sites com boa segurança. Portanto, se o seu site mostrar sinais de não ser seguro, isso poderá resultar em taxas de rejeição mais altas e conversões mais baixas.
  4. Os mecanismos de pesquisa promovem sites seguros: A segurança do site desempenha um papel importante em sua estratégia de SEO. Isso ocorre porque os mecanismos de pesquisa preferem sites seguros aos que não são.

Agora que você sabe alguns motivos pelos quais a segurança do site é importante, vamos examinar alguns problemas de segurança do site que você precisa conhecer.

Segurança do site: 5 tipos de vulnerabilidades e ataques de segurança do WordPress que você deve conhecer

Para aumentar a segurança do seu site, você deve conhecer as diferentes vulnerabilidades e ataques contra os quais deve se proteger. Abaixo estão os cinco mais comuns:

1. Phishing

Phishing é quando um invasor entra em contato com você, fazendo-se passar por uma empresa ou um provedor de serviços legítimo. O motivo por trás das tentativas de phishing é fazer com que você divulgue informações pessoais, visite um site perigoso ou faça download de malware. Se um agente mal-intencionado obtiver acesso ao seu painel de administração do WordPress, ele poderá até mesmo realizar ataques de phishing contra seus clientes, fazendo-se passar por você.

2. Ataques de força bruta

Os ataques de força bruta são os tipos mais simples de ataques a sites. Eles envolvem invasores que usam a automação para inserir muitas combinações diferentes de nome de usuário e senha com a esperança de obter a combinação certa.

3. Backdoors

Um ataque backdoor é uma violação de segurança de site em que os hackers instalam malware que pode ignorar seu login padrão do WordPress. Isso permite que os invasores acessem seu site a qualquer momento. Para executar um ataque de backdoor, os hackers colocam um backdoor entre outros arquivos de origem do WordPress que são legítimos ou parecem legítimos. Para reduzir a chance de backdoors, o WordPress restringe e monitora os tipos de arquivos que os usuários podem carregar. No entanto, esse ainda é um tipo de ataque do qual se deve estar ciente.

4. Ataques de negação de serviço (DoS)

Os ataques DoS são realizados para impedir que usuários autorizados acessem um site ou uma rede. Em geral, isso é feito direcionando uma quantidade excessiva de tráfego para um site, fazendo com que ele trave. Os efeitos desse tipo de ataque são agravados no caso de um ataque distribuído de negação de serviço (DDoS). Um DDoS é realizado em vários computadores comprometidos ao mesmo tempo.

Muitas vezes, esse tipo de ataque faz com que os criminosos mantenham seu site como refém e exijam um resgate para acabar com a interrupção do serviço. 

5. Injeções de SQL e XSS (Cross-site Scripting)

Tanto as injeções de SQL quanto o XSS envolvem a injeção de código mal-intencionado para roubar informações ou afetar negativamente a funcionalidade de um site. A diferença é que os ataques de injeção de SQL visam diretamente os bancos de dados (seu site). Em contrapartida, os ataques de XSS direcionam os usuários a sites comprometidos, desenvolvidos para roubar os dados dos visitantes.

Com os fundamentos resolvidos, vamos proteger seu site.

Como aumentar a segurança do seu site - 8 dicas

Agora que já vimos a importância da segurança do site e alguns dos problemas de segurança para os quais devemos nos preparar, vamos nos aprofundar em algumas medidas que você pode tomar para proteger seu site WordPress.

1. Invista em um provedor de hospedagem que se preocupa com a segurança

Ao considerar a segurança do site, um dos melhores lugares para começar é o provedor de hospedagem de sua escolha. Sempre opte por um provedor de hospedagem que priorize a segurança e demonstre isso oferecendo recursos de aprimoramento de segurança como parte do pacote. Esses são recursos como firewalls de aplicativos da Web (WAF), certificados SSL/TLS e proteção contra DDoS. Um bom provedor de hospedagem também:

  • Monitora a segurança da rede
  • Mantém o hardware, as versões do PHP e o software do servidor atualizados para evitar que os hackers explorem vulnerabilidades conhecidas
  • Adiciona ferramentas e estratégias de recuperação de desastres ao seu arsenal de ferramentas no caso de uma violação bem-sucedida

Além da segurança, considere também o suporte. Com uma boa equipe de suporte, seu host da Web pode ajudá-lo a se recuperar rapidamente de um ataque mal-intencionado.

Se você precisar de um provedor de hospedagem excelente e preocupado com a segurança, recomendamos o Bluehost e o Siteground para hospedagem compartilhada. Para hospedagem gerenciada do WordPress, não há melhor provedor de hospedagem do que o WPEngine. Por estarem no ramo desde sempre (bem, quase), você pode ter certeza de que eles entendem de segurança cibernética e de como manter seu site seguro.

2. Mude seu site WordPress para SSL/HTTPS

Secure Sockets Layer (SSL) é um protocolo de segurança que criptografa os dados transferidos entre o seu site e o navegador do usuário. A criptografia dificulta a ação de agentes mal-intencionados que farejam e roubam informações suas ou dos visitantes do seu site.

Ao ativar o SSL, seu site começará a usar o protocolo de transferência de hipertexto mais seguro (HTTPS) em vez do protocolo de transferência de hipertexto (HTTP). Depois de fazer isso, os mecanismos de pesquisa exibirão um sinal de cadeado ao lado do endereço do seu site no navegador para mostrar que você está usando a versão mais segura.

Migrar seu site para HTTPS é uma boa medida para garantir uma segurança robusta na Web.

Os certificados SSL são emitidos por autoridades de certificação e têm um custo, sendo que os melhores custam de US$ 80 a milhares de dólares por ano. Devido a esse custo adicional na administração de um site, muitos proprietários de sites relutavam em mudar para o protocolo mais seguro. Felizmente, porém, agora há muitos provedores de certificados SSL gratuitos no mercado, portanto, não há desculpa para você não mudar.

No entanto, os certificados SSL gratuitos são muito limitados para oferecer segurança suficiente se você aceitar pagamentos em seu site ou lidar com informações muito confidenciais de clientes. Se você quiser um certificado SSL mais robusto do que o certificado gratuito que vem com sua hospedagem, considere comprar um da Domain.com. Eles têm algumas das melhores ofertas de SSL do mercado, especialmente considerando que seus certificados SSL vêm com uma garantia de segurança de US$ 10.000 e um selo de segurança TrustLogo.

Se ainda não o fez, mude seu site para HTTPS.

3. Atualize sempre o WordPress, os temas e os plug-ins

Outra maneira de garantir que a segurança do seu site esteja sempre em dia é manter o WordPress atualizado. Embora o WordPress instale automaticamente pequenas atualizações, você precisa aceitar as principais. Além de garantir que o WordPress seja constantemente atualizado, você também deve estar atento para manter seus temas e plug-ins atualizados. 

Da mesma forma, examine cuidadosamente os temas e plug-ins que você escolher para instalar em seu site. Certifique-se de que eles sejam de desenvolvedores confiáveis e que sejam atualizados regularmente. 

Manter o WordPress, os temas e os plug-ins atualizados é uma boa prática para a segurança do site.

Se você não mantiver o WordPress, seus temas e plug-ins atualizados, ficará exposto a vulnerabilidades de segurança. Sempre dedique alguns momentos necessários para manter tudo atualizado. Isso também pode incluir a exclusão de plug-ins e temas antigos que não estejam sendo usados.

4. Certifique-se de que seus procedimentos de login sejam seguros

Os ataques mais comuns a sites envolvem o roubo de credenciais de login. É por isso que uma das etapas mais importantes para manter seu site WordPress seguro é garantir que seus procedimentos de login sejam à prova de balas.

A implementação da autenticação de dois fatores é outra excelente maneira de fortalecer a segurança do seu site.

Algumas dicas para ajudá-lo a fazer isso incluem:

  • Use senhas fortes: Certifique-se sempre de que você e seus usuários usem senhas fortes. Uma maneira de fazer isso é usar um gerenciador de senhas para gerar e gerenciar as senhas de todos.
  • Habilite a autenticação de dois fatores (2FA): 2FA refere-se a um processo de login que exige duas etapas em vez da etapa usual. A segunda etapa geralmente envolve a obtenção de um código em um smartphone ou outro dispositivo. Você precisará instalar uma ferramenta como o LastPass Authenticator ou o Authy para ativar a 2FA.
  • Limite as tentativas de login: Limitar o número de vezes que um usuário pode inserir as credenciais de login erradas é uma excelente maneira de evitar ataques de força bruta. Um ótimo plug-in que você pode usar para isso é o Limit Login Attempts Reloaded.
  • Habilite o logout automático: Embora a maioria das pessoas faça o logout dos sites quando termina, pode ser fácil esquecer. Agentes mal-intencionados podem bisbilhotar essa conta e comprometê-la quando isso acontece. A ativação do logout automático com um plug-in como o Inactive Logout aumentará a segurança do seu site.
  • Evite usar "admin" em qualquer nome de usuário: as contas de administrador geralmente são as primeiras a serem visadas em ataques de força bruta. É por isso que você deve evitar usar "admin" em qualquer nome de usuário.

Outros procedimentos de login a serem implementados podem incluir o uso de um plug-in "captcha" e evitar conceder acesso de administrador a muitos usuários.

Tornar o processo de login seguro dificulta que agentes mal-intencionados comprometam seu site. 

5. Tenha uma solução de backup do WordPress

Não importa o quanto você reforce a segurança do seu site, ela nunca poderá ser 100%. É por isso que uma parte importante de sua estratégia de segurança é sempre ter um backup de seu site.

Um dos melhores princípios de segurança de sites é fazer backup de seu site regularmente.

Os backups permitem que você restaure rapidamente seu site se algo acontecer a ele. Um dos fatores mais importantes a saber sobre backups de sites é salvar regularmente backups completos do site em um local remoto e não em sua conta de hospedagem. Recomendamos armazenar os backups de seu site em serviços de nuvem como Amazon, Dropbox ou até mesmo em um serviço de nuvem privada como o Stash.

Felizmente, há muitos plug-ins de backup do WordPress que você pode usar para fazer backup do seu site, tanto gratuitos quanto pagos. Alguns dos mais confiáveis são o UpdraftPlus e o BlogVault. Uma vantagem adicional desses dois plug-ins é que eles não têm código, o que os torna fáceis de usar para iniciantes.

6. Instalar um plug-in de segurança do WordPress

Além dos backups, você também precisa instalar e ativar um plug-in de segurança do WordPress.

Outra medida de segurança do site a ser adotada é a instalação de um plug-in de segurança.

Isso ajudará a auditar, monitorar e acompanhar tudo o que acontece em seu site. Os exemplos incluem, entre outros problemas de segurança:

  • Monitoramento da integridade do arquivo
  • Tentativas de login com falha
  • Varredura de malware
  • Prevenção de hotlinking (um tipo de roubo de conteúdo)

Um dos melhores plug-ins gratuitos de segurança do WordPress que você pode considerar para isso é o Sucuri Scanner. Você também pode fazer upgrade para seus planos pagos para obter uma segurança mais robusta do site.

7. Habilite um firewall de aplicativo da Web (WAF)

Uma das melhores maneiras de proteger seu site WordPress é usar um firewall de aplicativo da Web (WAF). Isso porque um WAF bloqueia todo o tráfego mal-intencionado antes mesmo que ele chegue ao seu site, filtrando e monitorando o tráfego proveniente da Internet. Exemplos de ataques que você pode evitar usando um WAF incluem XSS, injeção de SQL, envenenamento de cookies e outros.

Dois exemplos de níveis de WAF que você pode implementar em seu site são:

  1. Firewall de site em nível de DNS: Esse tipo de firewall roteará o tráfego do seu site por meio de servidores proxy em nuvem e, em seguida, filtrará o tráfego que chega ao seu site. Isso permite que os servidores enviem apenas tráfego genuíno para o seu servidor da Web.
  2. Firewall no nível do aplicativo: Ao contrário dos firewalls de DNS que operam no nível do servidor, os firewalls no nível do aplicativo examinam o tráfego depois que ele passa pelo servidor, mas antes de carregar qualquer script do WordPress. 

Devido ao seu funcionamento, os firewalls são uma ótima maneira de evitar que ameaças cheguem ao seu site. Entretanto, eles não podem e não devem ser usados isoladamente, mas como parte de um sistema de medidas de segurança.

Novamente, a Sucuri funciona bem nesse departamento e é altamente recomendada como uma solução de firewall. Mas você só obtém a proteção de firewall nos planos pagos. 

8. Bloqueie as permissões dos arquivos

A maioria das informações, dos dados e do conteúdo do seu site é armazenada em uma série de arquivos e pastas. Esses arquivos e pastas são organizados em uma estrutura hierárquica e cada um tem um nível de permissão atribuído a ele. Essas permissões determinam o que os usuários podem fazer com os arquivos, ou seja, visualizar, editar ou restringir o acesso de determinados usuários. 

Você pode acessá-los no cPanel, na seção Gerenciador de arquivos.

No WordPress, as permissões de arquivo são representadas por um número de três dígitos, sendo que cada dígito tem um significado. Um exemplo típico é 755.

Uma ótima maneira de reforçar a segurança do seu site é alterar as permissões dos arquivos.

O que esses números significam?

  • O primeiro dígito representa "Usuário" ou o indivíduo responsável pelo site.
  • O segundo dígito representa o "Grupo" (membros de seu site).
  • O terceiro dígito representa "World" (Mundo) ou qualquer outro visitante sem qualquer participação em seu site.

Aqui está o código para ajudá-lo a decifrar seus níveis de permissões de arquivo:

0: Sem acesso ao arquivo/pasta

1: Só pode executar o arquivo/pasta

2: Pode editar o arquivo/pasta

3: Pode editar e executar o arquivo/pasta

4: Pode ler o arquivo/pasta

5: Pode ler e executar o arquivo/pasta

6: Pode ler e editar o arquivo/pasta

7: Pode ler, editar e executar o arquivo/pasta

Vamos dar uma olhada em um exemplo. Digamos que um arquivo tenha um nível de permissão de 700. Isso significa que o usuário (proprietário do site) pode ler, editar e executar o arquivo, mas todos os outros não têm acesso. Por outro lado, todos podem ler e executar um arquivo com nível de permissão 755, mas somente o proprietário do site pode editá-lo.

Embora isso possa parecer complicado, saber como alterar as permissões é outra excelente maneira de proteger seu site. Para alterar o nível de permissão de um arquivo ou pasta, clique nele e, em seguida, clique na opção de permissões no menu do cPanel.

Para aumentar a segurança do seu site alterando as permissões dos arquivos, é necessário acessar os arquivos no cPanel.

Será aberta uma janela na qual você poderá editar as permissões do arquivo/pasta.

Garantir que cada pessoa tenha apenas o nível de acesso aos diferentes arquivos e pastas em seu site é essencial para ter uma segurança robusta em seu site.

Como regra geral, o WordPress recomenda configurar as pastas em um nível de permissões de 755 e os arquivos em 644. No entanto, você pode configurá-los para qualquer nível que considerar adequado. Só é preciso garantir que nenhum usuário tenha mais acesso do que o necessário. Isso se aplica especialmente aos arquivos principais.

Segurança do site - não deve haver comprometimento

A segurança do site nunca deve ser considerada levianamente - você nunca deve fazer concessões nessa área. Afinal de contas, se o seu site for violado, você poderá passar dias, até mesmo semanas, tentando reparar os danos. Na pior das hipóteses, você pode até comprometer os dados dos seus clientes. É claro que isso pode lhe custar dinheiro e arruinar sua reputação. 

É por isso que, quando se trata de segurança de sites, você deve ser sempre proativo e não reativo.

Munido dessas dicas, vá em frente e reforce a segurança de seu site.

Além de reforçar sua segurança, outro elemento de sucesso de que você precisa é aumentar seu SEO.

Felizmente, isso não é tão complicado quanto o aspecto da segurança. Principalmente com um poderoso plugin de SEO para WordPress como o AIOSEO. Com o AIOSEO, você pode impulsionar o SEO do seu site sem tocar em uma única linha de código. Sim, isso inclui aspectos complexos como sitemaps, marcação de esquema, redirecionamentos e muito mais.

Ao trabalhar para melhorar a segurança do seu site, não deixe de fazer o download do AIOSEO e aumentar suas classificações.  

Quer experimentar o AIOSEO gratuitamente?

Digite o URL do seu site WordPress para instalar o AIOSEO Lite.

Ative o JavaScript em seu navegador para preencher este formulário.

Divulgação: Nosso conteúdo é apoiado pelo leitor. Isso significa que, se você clicar em alguns de nossos links, poderemos receber uma comissão. Recomendamos apenas produtos que acreditamos que agregarão valor aos nossos leitores.

avatar do autor
Kato Nkhoma Redator de conteúdo
Kato é um daqueles raros unicórnios que nascem com uma caneta na mão - assim diz a lenda. Ele é autor de dois livros e produziu conteúdo para centenas de marcas. Quando não está criando conteúdo para a AIOSEO, você o encontrará assistindo a vídeos de tecnologia no YouTube ou brincando com seus filhos. E se você não o encontrar, provavelmente ele foi acampar.
Ver biografia completa
SEO Marketing de conteúdo Marketing por e-mail

Adicionar um comentário

Ficamos felizes por você ter optado por deixar um comentário. Lembre-se de que todos os comentários são moderados de acordo com nossa política de privacidade, e todos os links são nofollow. NÃO use palavras-chave no campo do nome. Vamos ter uma conversa pessoal e significativa.

4 comentários sobre "Segurança do site: 8 dicas para tornar seu site WordPress seguro"