AIOSEO Blog

Tutoriais, Dicas e Recursos de WordPress para Ajudar a Crescer Seu Negócio

Quer saber como reforçar a segurança do seu site? Então este post é para você.

Segurança do Site: 8 Dicas para Tornar seu Site WordPress Seguro

Updated on
Written By: avatar do autor Kato Nkhoma
avatar do autor Kato Nkhoma
Kato is one of those rare unicorns born with a pen in his hand—so the legend says. He’s authored 2 books and produced content for hundreds of brands. When he’s not creating content for AIOSEO, you’ll find him either watching tech videos on YouTube or playing with his kids. And if you can’t find him, he’s probably gone camping.
See Full Bio
Reviewed By: avatar do revisor Ben Rojas
avatar do revisor Ben Rojas
Ben Rojas is an expert WordPress developer and the President of All in One SEO (AIOSEO). With a robust foundation in the IT sector spanning over 25 years, Ben has developed a profound expertise in technology and digital landscapes.
See Full Bio
LinkedIn

Querendo saber como reforçar a segurança do seu site?

A segurança do WordPress é um tópico muito importante para todos os proprietários de sites, pois tem muitas implicações para o sucesso do seu site. 

Felizmente, o WordPress fez muito para garantir que a plataforma seja segura. No entanto, o recurso mais proeminente do WordPress também é seu calcanhar de Aquiles: o fato de ser um sistema de gerenciamento de conteúdo (CMS) de código aberto. Como qualquer pessoa pode modificar o código-fonte, muitos plugins, temas e outras ferramentas são desenvolvidos para integrar ou até mesmo alterar o código. Isso pode expor seu site a diferentes vulnerabilidades críticas que podem comprometer a integridade do seu site.

É por isso que você precisa tomar medidas para melhorar a segurança do seu site.

Não se preocupe. Embora isso possa parecer uma tarefa desafiadora, proteger seu site WordPress é fácil se você tomar as medidas adequadas. 

Por que a Segurança do Site é Importante?

Se você administra um site de hobby, um site de negócios, um site de marketing de afiliados ou qualquer outro tipo de site, mantê-lo seguro deve ser sempre uma prioridade.

A segurança da web é importante pelas muitas razões mencionadas abaixo.

Aqui estão quatro razões principais pelas quais a segurança do site é importante:

  1. Proteja suas informações: Violações de segurança podem dar aos invasores acesso às suas informações valiosas ou às de seus clientes. Essas são informações que eles podem usar para muitas atividades maliciosas que podem prejudicar.
  2. Proteja sua reputação: Quando as pessoas descobrem que seu site é vulnerável a ataques, sua reputação será comprometida. Como resultado, você pode perder clientes.
  3. Visitantes do site esperam isso: Os visitantes do site se sentem mais confortáveis navegando em sites com boa segurança. Portanto, se o seu site apresentar qualquer sinal de insegurança, isso pode levar a taxas de rejeição mais altas e conversões mais baixas.
  4. Mecanismos de busca promovem sites seguros: A segurança do site desempenha um papel enorme na sua estratégia de SEO. Isso porque os mecanismos de busca preferem sites seguros aos que não são.

Agora que você conhece alguns motivos pelos quais a segurança do site é importante, vamos analisar alguns problemas de segurança do site dos quais você precisa estar ciente.

Segurança do Site: 5 Tipos de Vulnerabilidades e Ataques de Segurança do WordPress que Você Precisa Conhecer

Para reforçar a segurança do seu site, você deve conhecer as diferentes vulnerabilidades e ataques para se proteger. Abaixo estão os cinco mais comuns:

1. Phishing

Phishing é quando um invasor entra em contato com você, fingindo ser uma empresa ou provedor de serviços legítimo. A razão por trás das tentativas de phishing é fazer com que você divulgue informações pessoais, visite um site perigoso ou baixe malware. Se um agente malicioso obtiver acesso ao seu painel de administração do WordPress, ele poderá até mesmo realizar ataques de phishing em seus clientes, fingindo ser você.

2. Ataques de Força Bruta

Ataques de força bruta são os tipos mais simples de ataques a sites. Eles envolvem invasores usando automação para inserir muitas combinações diferentes de nome de usuário e senha na esperança de obter a combinação correta.

3. Backdoors

Um ataque de backdoor é uma violação de segurança de sites pela qual hackers instalam malware que pode contornar seu login padrão do WordPress. Isso permite que os invasores acessem seu site a qualquer momento. Para executar um ataque de backdoor, os hackers colocam um backdoor entre outros arquivos de origem do WordPress que são legítimos ou parecem legítimos. Para reduzir a chance de backdoors, o WordPress restringe e monitora os tipos de arquivos que os usuários podem carregar. No entanto, este ainda é um tipo de ataque a ser observado.

4. Ataques de Negação de Serviço (DoS)

Ataques DoS são realizados para impedir que usuários autorizados acessem um site ou rede. Isso geralmente é alcançado direcionando uma quantidade esmagadora de tráfego para um site, fazendo com que ele caia. Os efeitos desse tipo de ataque são piores no caso de um ataque distribuído de negação de serviço (DDoS). Um DDoS é realizado em vários computadores comprometidos ao mesmo tempo.

Frequentemente, esse tipo de ataque resulta nos perpetradores mantendo seu site refém e exigindo um resgate para encerrar a interrupção do serviço. 

5. Injeções de SQL e Cross-site Scripting (XSS)

Injeções de SQL e XSS envolvem a injeção de código malicioso para roubar informações ou impactar negativamente a funcionalidade de um site. A diferença é que ataques de injeção de SQL visam diretamente bancos de dados (seu site). Em contraste, ataques XSS direcionam usuários para sites comprometidos desenvolvidos para roubar os dados dos visitantes.

Com os fundamentos resolvidos, vamos proteger seu site.

Como Aumentar a Segurança do Seu Site — 8 Dicas

Agora que vimos a importância da segurança do site e alguns dos problemas de segurança para os quais se preparar, vamos mergulhar em algumas medidas que você pode tomar para proteger seu site WordPress.

1. Invista em um Provedor de Hospedagem Consciente de Segurança

Ao considerar a segurança do site, um dos melhores lugares para começar é seu provedor de hospedagem de escolha. Sempre opte por um provedor de hospedagem que priorize a segurança e demonstre isso oferecendo recursos de aprimoramento de segurança como parte do pacote. Estes são recursos como firewalls de aplicativos web (WAF), certificados SSL/TLS e proteção DDoS. Um bom provedor de hospedagem também:

  • Monitora sua rede quanto à segurança
  • Mantém seu hardware, versões de PHP e software de servidor atualizados para impedir que hackers explorem vulnerabilidades conhecidas
  • Adiciona ferramentas e estratégias de recuperação de desastres ao seu arsenal de ferramentas em caso de uma violação bem-sucedida

Além da segurança, considere também o suporte. Com uma boa equipe de suporte, seu provedor de hospedagem pode ajudá-lo a se recuperar rapidamente de um ataque malicioso.

Se você precisa de um provedor de hospedagem excelente e consciente de segurança, recomendamos Bluehost e Siteground para hospedagem compartilhada. Para hospedagem WordPress gerenciada, você não encontrará um provedor de hospedagem melhor do que WPEngine. Tendo estado no ramo por toda a vida (bem, quase), você pode ter certeza de que eles entendem de cibersegurança e como manter seu site seguro.

2. Mude Seu Site WordPress para SSL/HTTPS

Secure Sockets Layer (SSL) é um protocolo de segurança que criptografa os dados transferidos entre o seu site e o navegador de um usuário. A criptografia dificulta que atores maliciosos espionem e roubem informações suas ou dos visitantes do seu site.

Quando você ativa o SSL, seu site começa a usar o protocolo seguro de transferência de hipertexto (HTTPS) em vez do protocolo de transferência de hipertexto (HTTP). Assim que você fizer isso, os mecanismos de busca exibirão um ícone de cadeado ao lado do endereço do seu site no navegador para mostrar que você está usando a versão mais segura.

Mover seu site para HTTPS é um bom passo a ser dado em direção a uma segurança web robusta.

Certificados SSL são emitidos por autoridades certificadoras e têm um custo, com os melhores a partir de US$ 80 a milhares de dólares por ano. Devido a esse custo adicional na manutenção de um site, muitos proprietários de sites relutavam em mudar para o protocolo mais seguro. Felizmente, no entanto, agora existem muitos provedores de certificados SSL gratuitos no mercado, então não há desculpa para você não mudar.

No entanto, certificados SSL gratuitos são muito limitados para fornecer segurança suficiente se você aceita pagamentos em seu site ou lida com informações de clientes muito sensíveis. Se você deseja um certificado SSL mais robusto do que o gratuito que vem com sua hospedagem, considere comprar um em Domain.com. Eles têm algumas das melhores ofertas de SSL do mercado, especialmente considerando que seus certificados SSL vêm com uma garantia de segurança de US$ 10.000 e um selo de segurança TrustLogo.

Se você ainda não o fez, mova seu site para HTTPS.

3. Sempre Atualize WordPress, Temas e Plugins

Outra maneira de garantir que a segurança do seu site esteja sempre em dia é manter o WordPress atualizado. Embora o WordPress instale automaticamente atualizações menores, você precisa aceitar as maiores. Além de garantir que o WordPress esteja constantemente atualizado, você também deve estar vigilante em manter seus temas e plugins atualizados. 

Na mesma linha, avalie cuidadosamente os temas e plugins que você escolhe instalar em seu site. Certifique-se de que sejam de desenvolvedores confiáveis e que sejam atualizados regularmente. 

Manter o WordPress, temas e plugins atualizados é uma boa prática para a segurança do site.

Não manter o WordPress, seus temas e plugins atualizados o deixará exposto a vulnerabilidades de segurança. Sempre reserve os poucos momentos necessários para manter tudo atualizado. Isso também pode incluir a exclusão de plugins e temas antigos que você não está usando.

4. Garanta que seus Procedimentos de Login sejam Seguros

Os ataques mais comuns a sites envolvem o roubo de credenciais de login. É por isso que uma das etapas mais importantes para manter seu site WordPress seguro é garantir que seus procedimentos de login sejam à prova de falhas.

Implementar autenticação de dois fatores é outra excelente maneira de fortalecer a segurança do seu site.

Algumas dicas para ajudá-lo a fazer isso incluem:

  • Use senhas fortes: Sempre garanta que você e seus usuários usem senhas fortes. Uma maneira de fazer isso é usar um gerenciador de senhas para gerar e gerenciar as senhas de todos.
  • Ativar autenticação de dois fatores (2FA): 2FA refere-se a um processo de login que exige duas etapas em vez de uma. A segunda etapa geralmente envolve a obtenção de um código em um smartphone ou outro dispositivo. Você precisará instalar uma ferramenta como LastPass Authenticator ou Authy para ativar a 2FA.
  • Limitar tentativas de login: Limitar o número de vezes que um usuário pode inserir as credenciais de login incorretas é uma excelente maneira de prevenir ataques de força bruta. Um ótimo plugin que você pode usar para isso é Limit Login Attempts Reloaded.
  • Ativar logout automático: Embora a maioria das pessoas saia de sites quando termina, pode ser fácil esquecer. Agentes maliciosos podem bisbilhotar essa conta e comprometê-la quando isso acontece. Ativar o logout automático com um plugin como Inactive Logout aumentará a segurança do seu site.
  • Evite usar “admin” em qualquer nome de usuário: As contas de administrador geralmente são as primeiras a serem alvejadas em ataques de força bruta. É por isso que você deve evitar usar “admin” em qualquer um dos seus nomes de usuário.

Outros procedimentos de login a serem implementados podem incluir o uso de um plugin “captcha” e a evitação de conceder acesso de administrador a muitos usuários.

Tornar o processo de login seguro dificulta que atores maliciosos comprometam seu site. 

5. Tenha uma Solução de Backup do WordPress

Não importa o quanto você possa reforçar a segurança do seu site, ela nunca será 100%. É por isso que uma parte significativa da sua estratégia de segurança é sempre ter um backup do seu site.

Um dos melhores princípios de segurança de sites é fazer backup do seu site regularmente.

Backups permitem que você restaure rapidamente seu site se algo acontecer com ele. Um dos fatores mais importantes a saber sobre backups de sites é salvar regularmente backups completos do site em um local remoto e não em sua conta de hospedagem. Recomendamos armazenar seus backups de site em serviços em nuvem como Amazon, Dropbox ou até mesmo um serviço de nuvem privada como Stash.

Felizmente, existem muitos plugins de backup do WordPress que você pode usar para fazer backup do seu site — gratuitos e pagos. Alguns confiáveis incluem UpdraftPlus e BlogVault. Uma vantagem adicional desses dois plugins é que eles não exigem código, tornando-os fáceis para iniciantes.

6. Instale um Plugin de Segurança do WordPress

Além de backups, você também precisa instalar e ativar um plugin de segurança do WordPress.

Outra medida de segurança de site a ser tomada é instalar um plugin de segurança.

Isso ajudará a auditar, monitorar e acompanhar tudo o que acontece em seu site. Exemplos incluem, entre outras questões de segurança:

  • Monitoramento de integridade de arquivos
  • Tentativas de login com falha
  • Verificação de malware
  • Prevenção de hotlinking (um tipo de roubo de conteúdo)

Um dos melhores plugins de segurança gratuitos do WordPress que você pode considerar para isso é o Sucuri Scanner. Você também pode fazer upgrade para os planos pagos deles para uma segurança de site mais robusta.

7. Ative um Firewall de Aplicativo Web (WAF)

Uma das melhores maneiras de proteger seu site WordPress é usar um firewall de aplicativo da web (WAF). Isso ocorre porque um WAF bloqueia todo o tráfego malicioso antes mesmo de atingir seu site, filtrando e monitorando o tráfego vindo da internet. Exemplos de ataques que você pode prevenir usando um WAF incluem XSS, injeção de SQL, envenenamento de cookies e muito mais.

Dois exemplos de níveis de WAF que você pode implementar em seu site são:

  1. Firewall de site em nível de DNS: Este tipo de firewall roteará o tráfego do seu site através de servidores proxy na nuvem, e então filtrará o tráfego que chega ao seu site. Fazer isso permite que os servidores enviem apenas tráfego genuíno para o seu servidor web.
  2. Firewall em nível de aplicativo: Ao contrário dos firewalls de DNS que operam em nível de servidor, os firewalls em nível de aplicativo examinam o tráfego depois que ele passou pelo seu servidor, mas antes de carregar quaisquer scripts do WordPress. 

Devido à forma como funcionam, os firewalls são uma ótima maneira de impedir que ameaças cheguem ao seu site. No entanto, eles podem e não devem ser usados sozinhos, mas como parte de um sistema de medidas de segurança.

Novamente, Sucuri funciona bem nesse quesito e é altamente recomendada como solução de firewall. Mas você só obtém a proteção do firewall nos planos pagos. 

8. Bloqueie as Permissões de Arquivo

A maior parte das informações, dados e conteúdo do seu site é armazenada em uma série de arquivos e pastas. Esses arquivos e pastas são organizados em uma estrutura hierárquica, com cada um tendo um nível de permissão atribuído a ele. Essas permissões determinam o que os usuários podem fazer com os arquivos, ou seja, visualizar, editar ou restringir o acesso de determinados usuários. 

Você pode acessá-los a partir do seu cPanel, na seção Gerenciador de Arquivos.

No WordPress, as permissões de arquivo são representadas por um número de três dígitos, com cada dígito tendo um significado. Um exemplo típico é 755.

Uma ótima maneira de reforçar a segurança do seu site é alterando as permissões de arquivo.

O que esses números significam?

  • O primeiro dígito representa "Usuário" ou o indivíduo responsável pelo site.
  • O segundo dígito representa "Grupo" (membros do seu site).
  • O terceiro dígito representa "Mundo" ou todos os outros visitantes sem participação no seu site.

Aqui está o código para ajudá-lo a decifrar seus níveis de permissão de arquivo:

0: Sem acesso ao arquivo/pasta

1: Só pode executar o arquivo/pasta

2: Pode editar o arquivo/pasta

3: Pode editar e executar o arquivo/pasta

4: Pode ler o arquivo/pasta

5: Pode ler e executar o arquivo/pasta

6: Pode ler e editar o arquivo/pasta

7: Pode ler, editar e executar o arquivo/pasta

Vamos ver um exemplo. Diga que um arquivo tem um nível de permissão de 700. Isso significa que o usuário (proprietário do site) pode ler, editar e executar o arquivo, mas todos os outros não têm acesso. Por outro lado, todos podem ler e executar um arquivo com nível de permissão 755, mas apenas o proprietário do site pode editá-lo.

Embora isso possa parecer complicado, saber como alterar permissões é outra excelente maneira de proteger seu site. Para alterar o nível de permissão de um arquivo ou pasta, clique nele e, em seguida, clique na opção de permissões no menu do seu cPanel.

Para reforçar a segurança do seu site alterando as permissões de arquivo, você precisa acessar os arquivos no cPanel.

Uma janela onde você pode editar as permissões para o arquivo/pasta será aberta.

Garantir que cada pessoa tenha apenas o nível de acesso aos diferentes arquivos e pastas do seu site é essencial para ter uma segurança robusta no seu site.

Como regra geral, o WordPress recomenda definir as pastas para um nível de permissão de 755 e os arquivos para 644. No entanto, você pode defini-los para o nível que achar adequado. Você só precisa garantir que não está dando a nenhum usuário mais acesso do que ele precisa. Isso é especialmente importante para arquivos principais.

Segurança do Site — Não Deve Haver Compromisso

A segurança do site nunca deve ser levada a sério — você nunca deve comprometer essa área. Afinal, se o seu site for invadido, você pode passar dias, até semanas, tentando reparar os danos. Nos piores cenários, você pode até comprometer os dados dos seus clientes. Claro, isso pode custar dinheiro e arruinar sua reputação. 

É por isso que, quando se trata de segurança do site, você deve sempre ser proativo e não reativo.

Com essas dicas em mãos, vá em frente e reforce a segurança do seu site.

Além de reforçar sua segurança, outro elemento de sucesso que você precisa é impulsionar seu SEO.

Felizmente, isso não é tão complicado quanto o aspecto da segurança. Isso é especialmente verdade com um plugin de SEO poderoso para WordPress como o AIOSEO. Com o AIOSEO, você pode impulsionar o SEO do seu site sem tocar em uma única linha de código. Sim, isso inclui aspectos complexos como sitemaps, marcação de esquema, redirecionamentos e muito mais.

Enquanto você trabalha para melhorar a segurança do seu site, certifique-se de baixar o AIOSEO e aumentar seus rankings.  

Quer Experimentar o AIOSEO Gratuitamente?

Digite o URL do seu site WordPress para instalar o AIOSEO Lite.

Aviso: Nosso conteúdo é apoiado pelo leitor. Isso significa que se você clicar em alguns de nossos links, poderemos ganhar uma comissão. Recomendamos apenas produtos que acreditamos que agregarão valor aos nossos leitores.

avatar do autor
Kato Nkhoma Content Writer
Kato is one of those rare unicorns born with a pen in his hand—so the legend says. He’s authored 2 books and produced content for hundreds of brands. When he’s not creating content for AIOSEO, you’ll find him either watching tech videos on YouTube or playing with his kids. And if you can’t find him, he’s probably gone camping.
See Full Bio
SEO Content Marketing Email Marketing

Adicionar um Comentário

Estamos felizes que você escolheu deixar um comentário. Por favor, tenha em mente que todos os comentários são moderados de acordo com nossa política de privacidade, e todos os links são nofollow. NÃO use palavras-chave no campo do nome. Vamos ter uma conversa pessoal e significativa.

5 comentários em “Segurança do Site: 8 Dicas para Tornar seu Site WordPress Seguro

  3. Artigo incrível! Você dividiu a segurança do site em etapas claras e acionáveis — desde a atualização de plugins e o uso de senhas fortes até a configuração de SSL e backups regulares. Conselhos práticos e oportunos que todo proprietário de site deve seguir!

    Reply