10 hacks inovadores de segurança do WordPress para proteger seu site
Independentemente de você possuir um blog pessoal ou um site comercial crítico com dados confidenciais, você deve dar a devida ênfase em protegê-los o máximo possível. Para evitar que um visitante com intenção maliciosa tenha acesso ao seu site, é vital preparar uma lista de verificação de segurança e realizar auditorias de segurança periódicas.
Dito isto, é praticamente impossível configurar um sistema cem por cento seguro, pois sempre há a probabilidade de novas ‘ameaças’ surgirem do nada. Embora possa não ser possível erradicar totalmente o risco de violações de segurança, seguir um conjunto de práticas recomendadas pode ajudá-lo a minimizar as possíveis vulnerabilidades.
Quando se trata de proteger um site WordPress, você terá muitas opções no que diz respeito à disponibilidade de recursos. Existem muitas dicas, ajustes e tutoriais publicados em vários sites e blogs. No entanto, quando você olha mais de perto, pode ficar desapontado com a falta de conteúdo. As medidas de segurança do WordPress listadas na maioria desses sites são de natureza muito básica. Seja atualizando para a versão mais recente do WordPress, agendando backups periódicos ou usando uma senha de administrador com alta complexidade – você já deve ter implementado todas essas medidas fundamentais. Obviamente, a pergunta que vem à sua mente é “O que vem a seguir?”
Este tutorial destina-se a dar uma resposta definitiva à sua pergunta. Discutidos aqui estão dez medidas de segurança inovadoras que podem ajudá-lo a manter o controle de um site WordPress sob sua custódia. Vamos agora aos detalhes.
1 Use autenticação de dois fatores:
Quando você implementa a autenticação de dois fatores, uma pessoa que tenta fazer login no painel do WordPress terá que inserir uma OTP (One Time Password) gerada aleatoriamente, além do nome de usuário e senha padrão. As funções criptográficas são usadas para gerar OTP em tempo real e são enviadas apenas para o destinatário pretendido em um dispositivo de comunicação por meio de um gateway seguro. O celular é o meio de comunicação mais utilizado para esse fim.
Portanto, mesmo que um hacker consiga roubar seu nome de usuário e senha, ele não poderá acessar seu painel de administração do WordPress sem a senha única.
Como implementar a autenticação de dois fatores?
Você pode usar qualquer plug-in de geração de OTP para implementar a autenticação de dois fatores em seu site WordPress. Plugins comerciais e gratuitos estão disponíveis no mercado. Dois plugins recomendados que estão disponíveis gratuitamente no repositório do WordPress são:
Ambos os plugins são muito fáceis de configurar, mesmo para um webmaster novato. A documentação detalhada sobre instalação e configuração pode ser encontrada nas respectivas páginas do plug-in.
2 Desative a edição de arquivo de modelo por meio do painel do WP
Um usuário do WordPress com acesso administrativo pode editar os arquivos de modelo do seu site navegando até Aparência > Editor. Caso um visitante com intenção maliciosa consiga hackear sua credencial de usuário administrador, ele também poderá fazer as modificações desejadas nesses arquivos diretamente no painel do WordPress. Para evitar tal ocorrência, você pode desabilitar a edição de arquivos no painel do WordPress.
Como desativar a edição de arquivo de modelo?
Para desabilitar a edição de arquivos por meio do editor do painel, você precisa adicionar uma linha de código ao arquivo de configuração do seu site WordPress. Vá para o programa gerenciador de arquivos disponível no painel de controle de sua hospedagem e navegue até o diretório raiz. Abra o arquivo wp-config.php em um editor de texto e anexe a seguinte linha de código na parte inferior do arquivo.
define( 'DISALLOW_FILE_EDIT', true );
3 Ocultar comentários de erro de login dos visitantes
Para que serve exibir logs de erros para seus visitantes? Absolutamente nada. Quando algo dá errado, apenas você, o usuário administrador, deve saber. Para piorar a situação, ao tornar público o feedback do erro, você está, na verdade, dando dicas suficientes para um visitante tecnicamente experiente tentar hackear seu site.
Como parar de exibir feedback de erro?
Existe um método direto para evitar que o feedback do erro de login do WordPress seja exibido publicamente. Depois de fazer login no painel de administração do WordPress, navegue até Aparência > Editor. Abra o arquivo functions.php do tema ativo e coloque o trecho de código a seguir em qualquer lugar dentro do arquivo.
add_filter('login_errors',create_function('$a', "return null;"));
4 Exclua o usuário ‘admin’
A conta de usuário administrativo padrão que é criada automaticamente no momento da instalação do WordPress é ‘admin’. É também a área mais vulnerável no que diz respeito à segurança do WordPress, que é explorada pelos hackers com mais frequência. Portanto, excluir essa conta padrão de ‘administrador’ e gerenciar seu site a partir de outra conta ‘pseudo’ de administrador é uma boa ideia para manter os hackers afastados. No mínimo, tornará a vida um pouco mais difícil para qualquer hacker em potencial.
Como excluir o usuário ‘admin’ padrão?
Esta atividade pode ser realizada em duas etapas distintas, conforme descrito a seguir:
- Ao instalar o WordPress: Se for uma nova conta de hospedagem na qual você deseja criar seu site WordPress, poderá se livrar do usuário ‘admin’ durante a instalação do WordPress. Na primeira tela de instalação, você obtém opções configuráveis pelo usuário. O nome de usuário é um desses itens que você tem permissão para modificar. Antes de clicar no botão ‘Instalar’ localizado na parte inferior da tela, basta substituir o nome de usuário padrão ‘admin’ pelo nome que você preferir. Em seguida, prossiga com o processo de instalação como faria normalmente.
- Para uma instalação WordPress existente: Quando você já possui um site WordPress existente, primeiro precisa fazer login com sua conta ‘admin’ e criar uma nova conta de usuário. Certifique-se de fornecer ao novo usuário privilégio administrativo total. Em seguida, saia da conta de administrador e faça login novamente usando a conta de usuário recém-criada. Vá para a guia ‘Usuários’ no painel do WordPress e exclua a conta de usuário ‘admin’. Agora você pode gerenciar seu painel com o usuário administrativo recém-criado.
5 Ocultar número da versão do WordPress
Cada versão do WordPress tem algumas vulnerabilidades que geralmente são corrigidas quando a versão subsequente é lançada. Se um hacker conseguir identificar qual versão do WordPress você está usando, ele poderá associá-la prontamente a uma fraqueza conhecida e explorá-la para obter o controle do seu site. Para evitar tal cenário, você pode instruir o arquivo de funções do WordPress a não divulgar o número da versão.
Como ocultar o número da versão do WP?
Normalmente, o número da versão do WordPress é inserido no arquivo de cabeçalho do seu tema por meio da função ‘wp-head()’. No entanto, remover a função não é uma solução, porque a mesma função também pode ser usada por alguns dos plugins que você instalou. Em vez disso, uma alternativa melhor é adicionar o trecho de código abaixo ao seu arquivo functions.php.
remove_action('ks29so_head','ks29so_generator');
6 Bloqueie o acesso aos bots
Bots são ferramentas automatizadas programadas por computador usadas por hackers para assumir o controle do seu site. Esses programas automatizados também podem utilizar seus recursos de hospedagem na web para realizar outras atividades em nome do hacker. Ao impedir que os bots obtenham acesso às suas páginas e diretórios da Web, você pode controlar melhor a administração do site.
Como impedir que bots acessem seu site?
A reescrita de mod é um remédio eficaz para bloquear o acesso do bot. Usando qualquer programa de edição de texto, abra o .htaccess
arquivo ” presente dentro do diretório raiz do seu WordPress. Role para baixo até a parte inferior do arquivo, insira o trecho de código abaixo mencionado e salve o arquivo no mesmo local. Certifique-se de que você não está alterando o nome do arquivo.
SetEnvIfNoCase User-Agent ^$ keep_out
SetEnvIfNoCase User-Agent (pycurl|casper|cmsworldmap|diavol|dotbot) keep_out
SetEnvIfNoCase User-Agent (flicky|ia_archiver|jakarta|kmccrew) keep_out
SetEnvIfNoCase User-Agent (purebot|comodo|feedfinder|planetwork) keep_out
Order Allow,Deny
Allow from all
Deny from env=keep_out
7 Use permissões de arquivo/pasta adequadas
As permissões de arquivo nada mais são do que um método de restrição de acesso. Usando parâmetros de permissão de arquivo adequados, você pode impedir que os visitantes acessem arquivos de configuração importantes que residem no diretório de instalação do WordPress.
Como implementar a restrição de acesso?
Listadas abaixo estão as configurações de permissão de arquivo e pasta recomendadas para o seu site WordPress:
O valor CHMOD para todos os arquivos de dados deve ser definido como 644.
O valor CHMOD para todas as pastas e subpastas deve ser definido como 755.
O valor CHMOD para o arquivo de configuração do WordPress (wp-config.php) deve ser definido como 640.
8 Limite as tentativas de login do usuário:
Com toda a probabilidade, espera-se que um hacker use diferentes combinações de nome de usuário e senha para invadir seu painel de administração do WordPress. A menos que haja um limite para o número de tentativas de login com falha, um hacker pode continuar pelo tempo que for necessário para encontrar a combinação correta de nome de usuário e senha.
Como limitar as tentativas de login?
A maneira mais simples de limitar as tentativas de login do usuário é usar um plug-in de código aberto, Limitar tentativas de login. Ele pode ser baixado gratuitamente do repositório de plugins do WordPress. Depois de instalar e ativar o plug-in, você pode especificar o número de logins com falha que um usuário pode tentar por um determinado período de tempo.
9 Use o modo SSL para sessões de login
Forçar seu site WordPress para o modo SSL para login garante a transferência segura de dados entre o navegador da web do usuário e seu servidor. O navegador da Web criptografa o nome de usuário e a senha antes de enviá-los para o sistema do servidor por meio de um canal seguro quando o SSL é usado.
Como usar o modo SSL para todos os logins?
Em primeiro lugar, você deve ter um certificado SSL válido instalado em seu servidor web. Para forçar o modo SSL para todos os logins de usuários, você precisa definir as preferências de login SSL em seu arquivo de configuração do WordPress (wp-config.php). Você pode forçar o modo SSL apenas para o usuário administrador ou habilitar esse recurso para todos os logins. Vá para o diretório raiz e abra o arquivo wp-config.php. Em seguida, adicione um dos trechos de código abaixo, dependendo de sua necessidade.
Apenas para sessões de login de administrador:
define('FORCE_SSL_ADMIN', true);
Para todas as sessões de login do usuário:
define('FORCE_SSL_LOGIN', true);
10 Desativar o acesso à pasta ‘wp-content’
Todas as imagens e arquivos de mídia que você carrega em seu site WordPress são armazenados dentro da pasta ‘wp-content’. Ele também contém todos os arquivos do plugin. Os hackers podem usá-lo como um ponto de entrada para injetar elementos nocivos em seu site. Outra atividade antiética que pode ser realizada pelo mesmo canal é o roubo de largura de banda. Portanto, é altamente recomendável bloquear o acesso público a esse diretório.
Como desativar o acesso a arquivos de mídia e plug-ins?
Você pode adicionar uma regra ao seu .htaccess
arquivo para impedir o acesso a todos os tipos de arquivo disponíveis na pasta ‘wp-content’. Lembre-se de que os arquivos CSS e JavaScript, juntamente com as imagens (jpg, png, gif), correm o maior risco de serem explorados pelos hackers.
Order Allow,Deny
Deny from all
Allow from all
Conclusão:
A cada dia que passa, os hackers estão inventando novas técnicas para assumir o controle de seu site e negócios. Não adianta ficar preso ao que os ‘outros’ vêm fazendo há anos. Para eliminar a possibilidade de hackear seu site WordPress, você precisa ficar um passo acima e ser mais esperto que seu inimigo.