Como proteger um site WordPress contra hackers

Dicas sobre como proteger um site WordPress de ser hackeado, incluindo plug-ins de segurança recomendados.

WordPress é um alvo frequente para hackers. Os hackers têm como alvo o tema, os arquivos principais do WordPress, plug-ins e até a página de login. Estas são as etapas a serem seguidas para diminuir a probabilidade de ser hackeado e para ser capaz de se recuperar mais facilmente, caso ainda deva acontecer.

Como os hackers atacam o WordPress

Todos os sites da web estão sob constante ataque, seja um fórum phpBB ou um site WordPress, todos os sites estão sendo investigados por hackers. Não é incomum que um hacker escaneie milhares de páginas ou tente fazer login centenas de vezes por dia.

E esse é apenas um hacker. Os sites estão sendo atacados por vários hackers ao mesmo tempo.

Normalmente não é uma pessoa que está tentando hackear você. Hackers empregam software automatizado para rastrear a web para sondar pontos fracos específicos no site.

Esses programas de software automatizados que rastreiam a web são chamados de bots. Eu os chamo de hacker bots para distingui-los dos scraper bots (software que está tentando copiar conteúdo).

Proteja seu site WordPress com um firewall

Um firewall é um programa de software que bloqueia um intruso. Na minha opinião, o melhor firewall do WordPress é um plugin chamado Wordfence.

O que o Wordfence faz é verificar se o comportamento do visitante do site corresponde ao de um bot abusivo. Se o bot quebrar certas regras, como pedir muitas páginas da web em um curto período de tempo, o Wordfence bloqueará automaticamente o bot.

O Wordfence também é programado para permitir bots legítimos como Google e Bing no site.

Existem recursos avançados que permitem que um editor veja quais bots estão atacando um site e de onde o bot está vindo, como se é um bot ruim vindo da Amazon Web Services ou Bluehost, por exemplo. O Wordfence fornece ao editor a capacidade de bloquear o bot por seu endereço IP, todo o intervalo de endereços IP ou mesmo por um agente de usuário de navegador falso que o bot está usando.

Sobre os agentes do usuário (UA)

Um agente de usuário está identificando informações que um navegador envia que informa a um site qual navegador ele é (Chrome, Firefox, Vivaldi) e em qual sistema operacional ele está operando (Windows 10, Mac OS X).

Por exemplo, esta é uma string de agente de usuário para um navegador Safari 11 em um computador Mac OS X:

Mozilla / 5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit / 605.1.15 (KHTML, como Gecko) Versão / 11.1.2 Safari / 605.1.15

Os bots usam vários agentes de usuário diferentes para enganar sites e entrar furtivamente. Por exemplo, alguns bots fingem ser um navegador no Windows XP.

A quantidade real de usuários reais no Win XP é próxima de zero, posso criar uma regra com o Wordfence para bloquear todos os agentes de usuário com o Windows XP como sistema operacional e com essa regra posso bloquear milhares de bots ruins, independentemente do país eles estão vindo de ou endereço IP.

Os bots ruins às vezes respondem mudando para outro agente de usuário, então, combinando essas regras, um editor tem uma chance de bloquear uma ampla gama de bots hackers ruins.

E isso com a versão gratuita do Wordfence.

A versão paga pode bloquear países inteiros. Portanto, se você não tiver visitantes legítimos do site de determinados países, poderá bloquear todos os visitantes provenientes desses países.

WordPress Defense Against Exploits

Além disso, a versão paga do Wordfence irá protegê-lo antecipadamente de muitos temas e plug-ins comprometidos antes que esses plug-ins sejam corrigidos.

Uma vez que os pesquisadores do Wordfence estão cientes de um exploit, eles irão atualizar a versão premium do firewall para fornecer aos assinantes proteção contra esses exploits, às vezes semanas antes de o exploit ser corrigido pelo tema comprometido ou desenvolvedor do plugin.

Proteção de segurança de sites

Outro plugin gratuito que fornece uma camada adicional de proteção é chamado de Sucuri Security. A Sucuri (de propriedade da GoDaddy) ajuda a fortalecer a segurança do WordPress para impedir que bots mal-intencionados se aproveitem de certos tipos de ataques. Ele também possui um recurso de verificação de malware que verifica todos os arquivos para ver se eles foram alterados.

A Sucuri irá alertá-lo sempre que alguém fizer login em seu site, ajudando editores a identificar se um hacker está fazendo login. A Sucuri também pode alertar um editor se um arquivo foi alterado, algo que os hackers fazem.

Estas são as características da versão gratuita da Sucuri:

  • “Auditoria de Atividades de Segurança
  • Monitoramento de integridade de arquivo
  • Verificação remota de malware
  • Monitoramento de lista negra
  • Proteção de segurança eficaz
  • Ações de segurança pós-hack
  • Notificações de segurança ”

A versão paga da Sucuri inclui um firewall de site.

Limite de logins ao seu site

O WordFence é capaz de bloquear bots que estão repetidamente preenchendo nomes de usuário e senhas na página de login do WordPress.

Mas se você quiser se concentrar em limitar esses logins, existe um plugin chamado Limit Login Attempts Reloaded, que permite que os editores bloqueiem automaticamente todos os hackers que inserirem um número definido de combinações de nome e senha com falha. Por exemplo, você pode configurá-lo para bloquear hackers após três tentativas de adivinhar a senha.

Estes são os recursos do bloqueador de login:

  • “Limite o número de novas tentativas ao efetuar login (por cada IP). Isso é totalmente personalizável.
  • Informa o usuário sobre as tentativas restantes ou o tempo de bloqueio na página de login.
  • Registro opcional e notificação opcional por e-mail.
  • É possível colocar na lista branca / negra IPs e nomes de usuário.
  • Compatibilidade do Firewall de sites da Sucuri.
  • Proteção de gateway XMLRPC.
  • Proteção da página de login do Woocommerce.
  • Compatibilidade multi-site com configurações extras de MU.
  • Compatível com GDPR. Com esse recurso ativado, todos os IPs registrados são ofuscados (hash md5).
  • Suporte para origens de IP personalizadas (Cloudflare, Sucuri, etc.) ”

O plug-in Limit Login Reloaded fornece uma maneira rápida de encerrar hack bots que estão tentando adivinhar uma senha.

Faça backup do seu site WordPress

É importante criar automaticamente um backup diário do seu site. Qualquer evento catastrófico que derrube o site pode ser recuperado com um backup.

Existem muitas soluções de backup, mas a que descobri ser extremamente útil se chama UpdraftPlus WordPress Backup Plugin. O UpdraftPlus tem a confiança de mais de dois milhões de usuários, é uma escolha bem vista.

Ele pode ser configurado para enviar os backups por e-mail todos os dias ou enviá-los para um local de armazenamento em nuvem como o Dropbox.

Certa vez, removi acidentalmente todos os arquivos de layout de tema de um site, removi completamente a aparência do site. Mas consegui restaurar o site exatamente como estava antes usando um backup do UpdraftPlus. Foi fácil de fazer e fiquei muito grato.

Atualize todos os temas e plug-ins

É importante sempre atualizar todos os temas e plug-ins. O WordPress fornece uma maneira de atualizar todos os plug-ins automaticamente, o que é conveniente para editores ou empresas que não se conectam e fazem atualizações com frequência.

Ao habilitar o recurso de atualização automática, um editor pode ter certeza de ter o software mais atualizado. Ter um plugin desatualizado é uma das principais causas de invasão.

Há motivos para não ativar o recurso de atualização automática, mas os negativos tendem a acontecer raramente. Por exemplo, um plug-in atualizado pode ser incompatível com outros plug-ins.

Mas para sites que não mudam com frequência, o recurso de atualização automática é provavelmente uma boa opção para habilitar.

Cuidado com os plug-ins abandonados

Um aviso final sobre plug-ins abandonados. Alguns plug-ins podem continuar a funcionar anos depois de serem abandonados pelo desenvolvedor. O que pode acontecer é que esses plug-ins antigos podem conter uma vulnerabilidade. Mas porque eles estão abandonados, isso nunca será consertado.

Outro problema é que os hackers às vezes compram os plug-ins antigos e os atualizam com malware e vírus.

Verifique todos os seus plug-ins do WordPress para ter certeza de que eles não foram abandonados e parecem ser atualizados com bastante frequência.

Proteja seu site WordPress de hackers

Para muitos sites, simplesmente seguir essas pequenas etapas para proteger um site é suficiente para evitar que os sites sejam hackeados. As versões gratuitas desses plug-ins fornecem uma quantidade extraordinária de proteção e as versões premium oferecem ainda mais proteção.

Existem muitos plug-ins de tipo de segurança e alguns deles, na verdade, continham vulnerabilidades. Wordfence e Sucuri são, na minha opinião, as melhores escolhas para a segurança do WordPress.