O WordPress é o sistema de gerenciamento de conteúdo mais utilizado no mundo, o que o torna um alvo frequente de hackers, ataques de força bruta e bots. Manter as configurações padrão pode levar a sérios problemas de segurança, como a perda de acesso ao seu site ou a injeção de código malicioso. Aqui estão 22 recomendações para proteger seu site WordPress e fortalecer sua segurança.
1. Alterar o prefixo wp_ do banco de dados
Ao instalar o WordPress, um prefixo padrão é gerado. wp_ Isso se aplica a tabelas de banco de dados, que são conhecidas por hackers. Modifique esse prefixo para um personalizado para evitar ataques direcionados a tabelas padrão do WordPress.
2. Evite usar o usuário 'Administrador'.
Não use nomes de usuário comuns como admin o root Para o usuário principal do WordPress, já que ele será o primeiro alvo de um invasor, escolha um nome único e difícil de adivinhar.
3. Use senhas fortes
Use senhas fortes com letras maiúsculas, letras minúsculas, números e caracteres especiais. Isso reduz a probabilidade de ser vítima de ataques de força bruta.
4. Mantenha o WordPress atualizado
Os hackers costumam visar versões antigas porque elas podem conter vulnerabilidades conhecidas. Certifique-se de ter a versão mais recente. WordPress Para manter a proteção ideal.
5. Atualize os plugins
Os plugins são um alvo comum de ataques. Atualize-os com frequência, especialmente aqueles que não fazem parte do diretório oficial do WordPress.
6. Atualize o tema ativo.
Os temas também podem ser uma porta de entrada para hackers se estiverem desatualizados. Se você usa temas de terceiros, mantenha-se atualizado com as atualizações dos desenvolvedores.
7. Evite plugins e temas desatualizados.
Plugins e temas desatualizados representam um risco. Verifique regularmente se estão atualizados ou substitua-os por alternativas seguras e ativas.
8. Exclua plugins e temas inativos.
Plugins e temas inativos podem se tornar vulnerabilidades se não forem atualizados. Exclua tudo o que você não usa, deixando apenas o tema de backup do seu WordPress.
9. Baixe plugins e temas de sites confiáveis.
Evite baixar arquivos de sites desconhecidos ou redes P2P como Torrent, pois podem conter malware. Use sempre o repositório oficial ou sites confiáveis como o Envato.
10. Proteja o arquivo de configuração wp-config.php
O arquivo wp-config.php Contém dados confidenciais. Mova-o para uma pasta segura e altere as suas permissões para 444 e restringe o acesso com regras em .htaccess.
11. Proteja a pasta de uploads.
A pasta uploads É vulnerável a ataques. Limite as extensões de arquivo permitidas adicionando regras em .htaccess para maior segurança
12. Faça backups.
Os backups são essenciais. Certifique-se de que seu provedor de hospedagem os execute automaticamente e considere usar um plugin como o BackWPup para agendá-los na nuvem.
13. Limitar tentativas de login
Instale plugins como o Limit Login Attempts para proteger a tela de login e impedir que usuários indesejados se registrem, com medidas de segurança adicionais como o reCaptcha.
14. Instale um plugin de segurança
Plugins como o WordFence ou o iThemes Security ajudam a proteger seu site contra ataques de força bruta e outros métodos maliciosos, notificando você em caso de riscos.
15. Utilize permissões seguras em arquivos e pastas.
Certifique-se de que os arquivos tenham as permissões necessárias. 644 e as pastas 755 para evitar vulnerabilidades.
16. Implemente um proxy reverso como o Cloudflare.
A Cloudflare não oferece apenas armazenamento em cache, mas também medidas de segurança como ofuscação de e-mails e bloqueio de IPs suspeitos.
17. Registre seu site no Google Search Console
Além da análise de tráfego, o Google Search Console oferece alertas sobre problemas de usabilidade, problemas de velocidade e possíveis injeções de código no seu site.
18. Evite o registro de Splogger
Se você permitir o cadastro de usuários, utilize um plugin como o WangGuard para detectar usuários falsos ou maliciosos que tentem injetar spam ou malware.
19. Proteja o arquivo .htaccess
Adicionar regras em .htaccess Para impedir que terceiros acessem este arquivo, pois ele controla configurações importantes do seu site.
20. Controle o spam nos comentários
Proteja seus formulários de comentários contra spam com um plugin como o Akismet e verifique suas configurações de comentários para melhorar a segurança.
21. Desative a vulnerabilidade de pingback
Desativar o protocolo xmlrpc.php en .htaccess Para evitar ataques via pingbacks, caso você não utilize aplicativos de administração remota.
22. Monitorar alterações nos arquivos
Plugins como o WordFence podem alertá-lo sobre alterações inesperadas nos arquivos do seu site, permitindo que você detecte e reverta possíveis ameaças.
Artigo original de Fernando Tellado | 20 de novembro 2023 publicado em Classroom CM
