Manter um blog é um trabalho colossal. Parece uma afirmação truísta apenas para alimentar a vaidade dos blogueiros, mas não é o caso. Comecei há um ano um blog de web design e esperava que sua administração consumisse muito tempo e recursos.

Apesar de todos os meus preparativos, subestimei quanto tempo e recursos devo alocar para administrar o blog: promover as postagens do blog leva muito mais tempo do que escrevê-las, a página inicial nunca é totalmente projetada e a monetização é uma tarefa complexa. Essas são apenas algumas lições que aprendi com essa experiência.

Diante disso, negligenciar a segurança do seu blog é compreensível, mas certamente não é uma boa ideia. Eu era um dos muitos blogueiros que simplesmente não se importava com segurança. Eu tenho um antivírus forte, uma senha forte e tenho tentado ficar longe de “sites perigosos". Achei que era o suficiente para evitar ser hackeado, mas a realidade provou que eu estava errado.

Conseqüentemente, alguns meses atrás, decidi colocar a mão na massa com a segurança do WordPress; agora eu quero compartilhar minhas opiniões com você. Em primeiro lugar, sou um blogueiro não desenvolvedor e muitas vezes associei a segurança do WordPress a um nível de proficiência em PHP. Conversei com outros blogueiros e eles compartilharam a mesma ideia; será ótimo saber se você concorda comigo ou se tem um ponto de vista diferente. Bem, agora eu acho que é parcialmente verdade – você pode cuidar da segurança do seu site sem ser um assistente de Php. Obviamente, quanto melhor você conhecer o PHP, melhor poderá proteger seu site! Concluindo, qualquer um pode melhorar substancialmente a segurança de um blog WordPress! Os únicos requisitos – paixão, tempo e um pouco de sorte!

Em segundo lugar, pensei que se um hacker quisesse invadir meu site, seria apenas uma questão de tempo até que ele fizesse o truque. Não mudei de ideia, mas aprendi a fortalecer meu blog. Não existe um site 100% seguro, mas você pode agir e fazer um verdadeiro inferno hackeando um site. Eu propositalmente coloquei em negrito uma questão de tempo – é uma grande diferença entre ser capaz de hackear um site em apenas algumas horas e hackeá-lo em uma semana. Somente os hackers que têm missões de espionagem investirão seus recursos para tentar permanentemente hackear um site.

Em terceiro lugar, os termos específicos de segurança do WordPress fazem com que a maioria dos blogueiros fuja dessa área. Sim, existem alguns termos difíceis de descrever e entender, mas nenhum nasceu como especialista em segurança de alto nível. Passo a passo, qualquer blogueiro pode aprender como proteger seu blog e os termos relacionados à segurança do site. Nas próximas linhas vou explicar para vocês alguns desses termos.

Infelizmente, não basta estudar sobre a segurança do WordPress, você deve colocar o conhecimento teórico em prática. Aqui está o meu guia pessoal para proteger um site WordPress. Acredito que seja um bom ponto de partida para um blogueiro não desenvolvedor; é perfectível e estou aberto a suas sugestões.

Medidas Proativas

A regra de ouro da segurança do site diz que é melhor prevenir do que limpar. Enfatizo fortemente que tomar medidas proativas é a melhor maneira de garantir a segurança do seu blog. Os desenvolvedores por trás do WordPress trabalham dia e noite para fazer versões melhores e mais seguras, mas simultaneamente os hackers tentam por todos os meios encontrar novas vulnerabilidades.

Bingo, o que é vulnerabilidade? Este termo descreve uma fraqueza do produto que permite que um invasor comprometa esse produto. Não é uma definição muito complexa, mas acho que resume a essência do seu significado. Se você deseja uma definição mais perspicaz, este artigo da Microsoft é sua próxima palestra!

O último relatório da Sucuri demonstra que a segurança de um site não é um luxo e os ataques são cada vez mais sofisticados. Além desses, o WordPress é o CMS líder em número de ataques! Minha intenção não é alarmá-lo, quero apresentar a situação exata e dar-lhe um plano para melhorar a segurança do seu site.

1 Escolha uma hospedagem de qualidade

Existem muitos blogs tratando da questão de escolher a hospedagem certa; apesar disso, todas as respostas começam com “depende de” (se quiser nomeá-las como respostas desde que comecem com “depende de”). O WP White Security informa que 41% dos sites invadidos ocorrem por causa do provedor de hospedagem.

É muito difícil confiar nas análises de hospedagem porque elas não são precisas devido às comissões de marketing de afiliados (não me interpretem mal, ainda existem blogs que oferecem análises objetivas). No entanto, acho que as recomendações do WordPress.org devem funcionar melhor em termos de confiabilidade, velocidade, atendimento ao cliente e, obviamente, segurança! A principal desvantagem é o custo, mas a qualidade não pode ser alcançada com preços baixos!

2 Atualize sua versão, temas e plugins do WordPress

Por favor, não desconsidere o artigo só por causa deste conselho – é estúpido, mas você deve saber que é uma das vulnerabilidades mais usadas por hackers para obter o controle de um site. Ou talvez esta dica não seja tão estúpida quanto você pensa – muitos dados podem ser obtidos por um hacker inteligente hackeando plugins ou temas que não são atualizados. Acho que todos já ouviram falar dos Panama Papers. Bem, acredita-se que por trás da enorme perda de dados esteja uma versão vulnerável de um plug-in amplamente usado chamado Revolution Slider! Nessa situação, a violação tem efeitos positivos – as pessoas descobriram os nomes dos líderes que escondem dinheiro delas.

É um verdadeiro paradoxo, quanto mais simples é um método para se proteger de ser hackeado, mais ignorado ele é! Os plug-ins têm mais vulnerabilidades (há mais codificação por trás de um plug-in), mas também as versões e temas do WordPress devem ser atualizados. Imagine que um hacker descubra que você usa uma versão antiga do WordPress. Quase certamente, qualquer hacker possui um banco de dados de versões do WordPress e suas vulnerabilidades. Este é um arquivo útil a esse respeito e pode ser usado livremente por qualquer hacker! Claro, os hackers atualizam seus bancos de dados assim que uma nova vulnerabilidade é encontrada! Siga o exemplo deles e atualize seus temas, plugins e versões do WordPress para evitar problemas de segurança!

3 Senhas fortes – sites fortes

É outra dica de segurança amplamente difundida e conhecida por todos. Apesar disso, quase 8% são hackeados devido às senhas fracas. Honestamente, acho que você não tem desculpa para ser hackeado dessa maneira! Às vezes, os hackers usam métodos sofisticados para roubar as credenciais da sua conta, mas às vezes eles usam a força bruta. Pois é, esse é outro termo específico para segurança de sites!

O conceito de força bruta é simples; o hacker tenta várias combinações de nome de usuário e senha para entrar em seu site. É um trabalho trabalhoso e requer muito trabalho de adivinhação e tempo. Infelizmente, existem soluções de software que fazem o trabalho sujo e são extremamente rápidas. Se o seu nome de usuário é admin (que é um nome de usuário muito comum), então você dá uma ajuda preciosa aos hackers!

4 Limite as tentativas de login

Uma das soluções mais eficientes contra ataques de força bruta é limitar o número de tentativas de login. O conceito é simples e eficaz: o administrador do site limita o número de tentativas malsucedidas de login. Por exemplo, se um usuário tentar fazer login cinco vezes seguidas, seu IP será bloqueado ou ele será solicitado a fazer login após um período de tempo específico. Felizmente, existem alguns plugins confiáveis como Jetpack Protect, Login LockDown e Login Security Solution. Obviamente, os plug-ins vêm com muitos outros recursos adicionais – você pode monitorar as fontes de ataque de IP, receber notificação quando uma conta for invadida e personalizar o número de tentativas de login.

5 Autenticação em duas etapas

Essa medida é mais complicada, mas reduz significativamente o risco de ser hackeado. Trata-se de autenticação em duas etapas – um novo termo da área de segurança de sites. Isso designa o método de usar um código suplementar ou senha para fazer login em seu site. Não é nada complicado, mas requer tempo extra. Praticamente, você insere suas credenciais “convencionais” e é solicitado a enviar um código para o seu smartphone. Depois de recebê-lo e digitá-lo no formulário de envio, você poderá fazer login. É muito difícil gerenciar a invasão de um site que usa autenticação em duas etapas, não é? Além disso, é simples de implementar! Claro, como para qualquer problema relacionado ao WordPress, existe um plugin para resolvê-lo! O WPMU Dev propõe seis plug-ins confiáveis e eficientes para implementar uma autenticação em duas etapas.

6 Desabilitar dicas de login

Para ser sincero, não prestei atenção ao fato de que, ao digitar o nome de usuário ou a senha incorretamente, você recebe uma mensagem informando que o nome de usuário está digitado incorretamente ou a senha não corresponde. Portanto, um hacker recebe uma confirmação do seu site se conseguir roubar seu nome de usuário. Por exemplo, se o nome de usuário for “admin”, o hacker será notificado de que digitou a senha errada – certamente o nome de usuário “admin” é tentado por qualquer hacker! Nesse caso, metade do trabalho já está feito.

Felizmente, é simples fazer desaparecer esta dica, basta adicionar as próximas linhas de código em seu arquivo functions.php. Se você não está muito interessado nos arquivos principais do WordPress, este vídeo do WordPress Beginner lança luz sobre esse assunto.

functionno_wordpress_errors(){
return 'Bad luck! Back off!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

7 Mantenha seu computador seguro

A aplicação de todas as dicas acima tornará seu site mais seguro do que a grande maioria deles, mas ainda é vulnerável. Outra modalidade utilizada pelos hackers para invadir um site é infectar o computador do administrador do site. Normalmente, um administrador verifica periodicamente seu site e é uma pena ser invadido por um vírus armazenado nos arquivos do seu computador!

Consequentemente, você deve ter instalado em todos os seus dispositivos um software antivírus forte; alguns deles são gratuitos, então você não tem desculpa!

8 Evite ataques de phishing e spear phising

Ambos os termos são específicos para a segurança do site e, até certo ponto, acho que todos nós fomos vítimas de tais campanhas. Se você recebeu mensagens indesejadas sobre remédios e soluções mágicas para melhorar sua vida sexual, então você foi vítima desse método.

Como você provavelmente deduziu, phising é uma ilegalidade na qual o invasor tenta obter credenciais ou outro tipo de informação de login se passando por uma entidade confiável. Esses ataques geralmente acontecem por e-mail.

Spear phising é uma versão mais refinada do phising – é um ataque direcionado. No entanto, qualquer pessoa pode ser vítima de um ataque de phishing!

Muitos sites com WordPress são blogs e os blogueiros usam para entrar em contato com muitas pessoas – leitores, patrocinadores em potencial, outros blogueiros, escritores convidados, compradores de sites etc. Portanto, recomendo prestar atenção a qualquer e-mail recebido de pessoas desconhecidas. Por exemplo, recebi um e-mail informando que um investidor rico do Canadá está interessado em comprar meu domínio e está disposto a pagar um bom dinheiro. Foi uma oferta uau para mim… na verdade muito atraente para ser verdade! Pesquisei online por “este rico investidor” e descobri que ele estava interessado em muitos outros domínios. Devo comprar um certificado (de uma agência fraudulenta) e eventualmente fornecer as credenciais. Para ser sincero, fiquei em êxtase quando li o e-mail pela primeira vez e estava quase a ponto de comprar o certificado. Certamente, outros blogueiros do WordPress experimentaram a mesma situação e sentimentos. Improvável, alguns blogueiros obtiveram os certificados e talvez forneceram as credenciais de login.

Como determinar se um site foi invadido

Infelizmente, há casos em que até mesmo os administradores de sites mais vigilantes são enganados por vírus ou hackers. Portanto, é recomendável ter uma compreensão sólida sobre como determinar se o seu site foi realmente invadido. Além disso, é uma boa ideia ter uma delimitação clara entre uma violação de segurança e um plug-in ou mau funcionamento do tema. Às vezes, um plug-in ou um tema pode não funcionar corretamente por vários motivos e você pode entrar em pânico porque o site foi invadido.

Aqui eu sugiro algumas ferramentas para você ter uma avaliação clara da segurança do seu site!

1 console de pesquisa do Google

O Google Search Console (anteriormente conhecido como Google Webmaster Tools) é um recurso precioso que ajuda os administradores de sites a obter informações úteis (indexação, tráfego de pesquisa, aspectos de rastreamento e segurança) sobre os sites gerenciados. Os usuários do Search Console podem configurar para serem notificados sempre que o Google identificar uma atividade suspeita em relação à administração do site. Além disso, aqui você obtém algumas informações valiosas quando o site é invadido.

Concluindo, se você possui ou administra um site, o Google Search Console é uma ferramenta que deve ser usada com frequência e você deve começar a usá-la até mesmo para proteger o site.

2 Navegação segura do Google

Essa é outra ferramenta fornecida pelo Google e segue o mesmo padrão – é simples e eficiente. Você deve digitar o nome do site na caixa de pesquisa e o Google fornecerá o veredicto rapidamente. Vamos torcer para que o status atual seja “não perigoso”!

3 Pesquisa orgânica do Google

Sim, é um bom indicador para verificar seu site, mas deve ser considerado como uma última solução. O Google usa para sinalizar o site invadido nas listagens de pesquisa. Muito provavelmente, você gasta muitos recursos para conquistar a primeira ou a segunda posição nos resultados da pesquisa. É totalmente indesejado ser o número um quando os usuários pesquisam sua palavra-chave e o Google sinaliza seu site com mensagens como “Este site pode danificar seu computador” ou “Este site pode ter sido hackeado”! Além disso, os usuários evitarão clicar no nome do seu site!

4 ferramentas de análise

Normalmente, um site invadido está associado a um pico de tráfego, portanto, você deve verificar suas análises a esse respeito. Claro que um pico de trânsito deve ser motivo de alegria, mas às vezes é melhor ser cauteloso!

Além dessas ferramentas, os webmasters têm à sua disposição muitas varreduras online que podem fornecer informações úteis e dicas de segurança úteis. Aqui está uma lista de alguns dos mais apreciados pelos usuários do WordPress, sem ordem específica:

1 Sucos Online Scan

A Sucuri é um fornecedor famoso de soluções de segurança WordPress e sua ferramenta de verificação funciona como um ímã para atrair novos clientes. Obviamente, ele permite que você saiba se seu site está sofrendo de spam injetado, desfigurações ou malware.

2 Vírus Total

O Virus Total é uma ferramenta simples que faz um ótimo trabalho. Ele permite a varredura de um arquivo ou URL e informa sobre os vírus encontrados – esperemos que o Virus Total reporte 0 vírus encontrados. Apesar de seu design simples, por trás dessa ferramenta existe uma comunidade ativa esperando que você se junte a ela.

3 SpamHaus

O SpamHaus é uma grande ajuda de segurança para qualquer tipo de site. Possui duas ferramentas distintas: Pesquisa de endereço IP e Pesquisa de domínio. A primeira ferramenta é útil para determinar se um endereço IP está associado a spam ou atividades ilegais. Por exemplo, se você notou que um endereço IP tentou várias vezes fazer login em seu site, verifique-o e encontre informações adicionais sobre.

A segunda ferramenta, o Domain Lookup, informa se o seu site está na lista de fontes de spam. Desejo que você nunca seja adicionado a esta lista, mas caso seja, a SpamHaus lhe oferece informações sobre como resolver seus problemas de segurança e, por fim, ser apagado da lista.

4 Quttera

Quttera é outra ferramenta impressionante que deve ser usada periodicamente por qualquer pessoa interessada na segurança de seu site. Ele analisa muitos arquivos, portanto demora alguns minutos antes de listar o resultado. Além disso, devido aos vários sites analisados simultaneamente, é possível receber uma mensagem solicitando que você tente posteriormente seus serviços. Não está tudo bem, mas os serviços são gratuitos e de alta qualidade, então um pouco de paciência vale ouro!

5 Acunetix

Ao contrário das ferramentas anteriores, esta requer uma assinatura, mas é semelhante em termos de eficiência e utilidade. Acunetix é líder em segurança e sua varredura online oferece muitas informações preciosas. Eles têm uma oferta especial – 14 dias para testar gratuitamente e se beneficiar de seus serviços.

Como limpar um site invadido

Apesar de tantas ferramentas para fortalecer a segurança do site, ainda existem dezenas de sites invadidos todos os dias! Espero que os próximos parágrafos sejam apenas uma leitura para aprimorar seus conhecimentos gerais e não algo para colocar em prática. Você adivinhou, nas próximas linhas vamos discutir sobre como limpar os ataques de hackers.

Em primeiro lugar, nestes casos é inestimável a importância de uma cópia de segurança. Novo conteúdo é necessário para manter uma forte conexão com os leitores e alimentar as aranhas dos motores de busca. Muitas criações do WordPress são blogs ou revistas de notícias, então você não deve desperdiçar seu conteúdo se for hackeado. Existem inúmeras soluções para fazer backup do seu site e muitas são gratuitas. Verifique esta lista de plug-ins de backup fornecidos pelo WP Beginner ou este artigo escrito por um especialista do WPMU Dev.

Em segundo lugar, você deve ficar calmo! Se você está em pânico, é bem possível tomar decisões erradas! Não se esqueça, não há nada que não possa ser reparado. Em terceiro lugar, se você é um blogueiro não desenvolvedor, é melhor solicitar os serviços de agências de segurança de sites. Os preços são caros para um site de baixo orçamento, mas você tem a certeza de que a limpeza é feita por especialistas.

Ao todo, um corajoso blogueiro não desenvolvedor é capaz de limpar seu site hackeado. Aqui está uma estratégia pessoal para limpar um site – espero que você nunca seja forçado a aplicá-la em seu site, mas é aconselhável prestar muita atenção a cada uma das etapas abaixo.

1 Entre em contato com seu anfitrião

Normalmente, em hospedagem compartilhada, o hack pode ter afetado mais sites e a equipe de hospedagem já é alertada quando você está pedindo ajuda. Além disso, uma empresa de hospedagem confiável possui uma equipe de segurança que frequentemente lida com vários tipos de ataques de hackers. Consequentemente, os especialistas em segurança são capazes de ajudar um administrador de site não desenvolvedor. Siga seus conselhos e você terá grandes chances de minimizar os efeitos do hack.

2 Altere as senhas e restaure um backup

Antes de começar a limpar os arquivos infectados, você deve alterar as senhas – tanto suas quanto de outros usuários do site. Se você tiver uma solução de backup, terá sorte. Você apenas reverte para uma versão anterior e os arquivos infectados desaparecem. Você ainda deve ser cauteloso ao aplicar esse método – você pode acabar perdendo partes importantes do conteúdo. Esta é a razão pela qual é tão importante criar backups diariamente.

3 Determine os arquivos infectados

Esta é a etapa mais exigente; encontrar os arquivos infectados é uma tarefa difícil. Os administradores não desenvolvedores devem perguntar à equipe de hospedagem sobre quais arquivos foram invadidos. Normalmente, o host envia por e-mail uma lista com o nome dos arquivos infectados e algumas instruções sobre como limpá-los.

Outra solução é o uso de varreduras online que orientam na limpeza do site. Estes sugerem os arquivos infectados e que tipo de ações você deve tomar. Depois de ter os arquivos infectados, você deve eliminar e substituir arquivo por arquivo.

4 Atualize tudo

Bem, tenho certeza de que se você teve seu site hackeado, a questão de atualizar o núcleo do WordPress, temas e plugins será tratada com muito mais seriedade.

5 Solicite uma revisão ao Google

Se você for hackeado, o Google provavelmente será o primeiro a descobrir. Os administradores do site são avisados por meio do Google Search Console sobre possíveis problemas de segurança, mas o Google também avisa os usuários da Internet sobre os sites invadidos. Obviamente, não apenas o Google avisa os usuários sobre sites invadidos, mas também o restante dos mecanismos de pesquisa e até os navegadores notam os usuários sobre sites invadidos.

Definitivamente, prejudica muito o tráfego – quem se atreve a visitar um site quando o Google informa que o respectivo endereço é usado por um hacker? Consequentemente, um administrador de site deve agir rápido e limpar o site. Imediatamente após a conclusão deste trabalho, os especialistas do Google devem ser informados de que o site está limpo e solicitar uma revisão.

Espero que os especialistas em segurança confirmem que o site não contém nenhum código malicioso e é seguro para os usuários. No entanto, aqui está um guia elaborado pelo Google para ajudá-lo a lidar com esse assunto.

Como disse anteriormente, no mundo WordPress os milagres são possíveis e muitos deles se metamorfoseiam em forma de plugins. O repositório WordPress está cheio de plug-ins altamente eficientes e ativos que são ferramentas gratuitas para fortalecer seu site. Aqui listei para você algumas das melhores soluções, em nenhuma ordem específica.

1 Segurança Wordfence

O Wordfence Security tem mais de 1 milhão de instalações ativas e classificação de 4,9 em 5. Passei muito tempo no repositório WordPress e não conheço outro plugin com tantas instalações ativas e uma classificação tão boa ao mesmo tempo. Essas estatísticas devem convencê-lo sobre seu grande poder. Eu sou um usuário deste plugin (sem links de afiliados aqui) e o recomendo para quem não quer gastar muito tempo com a segurança do site. Ele faz tudo o que você precisa para tornar seu site uma verdadeira fortificação que resiste aos ataques de hackers.

É inacreditável, mas o plugin é grátis! Você tem muitos recursos, mesmo que seja uma versão gratuita. Se você ainda quiser mais, existe um plano premium para este plugin incrível. Você deve verificar o site oficial do Wordfence para obter mais detalhes; O Learn Center é uma fonte preciosa de informações para qualquer usuário do WordPress e você deve usar a experiência dos especialistas do Wordfence para fortalecer seu site.

2 Tudo em um WP Segurança e Firewall

Este é outro plugin que merece totalmente a sua atenção. É um plugin popular, amplamente utilizado por muitos sites WordPress – em outras palavras, é confiável, eficiente e poderoso. O plug-in é construído levando em consideração as necessidades de um usuário não desenvolvedor do WordPress, portanto, não haverá problemas ao configurá-lo. A interface é atraente e projetada para manter o interesse do usuário. Por exemplo, o medidor de força de segurança é uma solução original e atraente.

Entre outras características importantes, você tem proteção contra ataques de login de força bruta, informações completas sobre a atividade das contas, agendamento de backups, adição de diferentes firewalls e importação/exportação de configurações de segurança.

3 iThemes Segurança

Este é outro plug-in de primeira linha que não permite que ninguém invada seu site. Seu nome anterior era Better WP Security; é a mesma ferramenta eficiente contra invasores de sites. Algumas das configurações podem ser confusas para os usuários WordPress menos experientes, mas este artigo é uma pepita de ouro para eles. Aqui você tem explicações claras e precisas; você tem um bônus – um pequeno vídeo para assistir sobre como configurar melhor o plugin. Além de fortalecer seu site, o iThemes Security cria versões de backup do site, portanto, tem duas funções principais – solução de backup e plug-in de fortalecimento de segurança.

4 sucos de segurança

A Sucuri é uma empresa conhecida por qualquer pessoa que tenha um conhecimento sólido sobre segurança online. O plug-in do WordPress é uma ótima ferramenta que ajuda os usuários a melhorar significativamente a segurança de seus sites. Entre muitas opções e recursos, os desenvolvedores afirmam que uma das funções mais subestimadas é o monitoramento de atividades de segurança. Praticamente, o administrador do site pode ver qualquer modificação/atividade dos usuários. Em palavras simples, a Sucuri Security oferece a possibilidade de prevenir qualquer falha de segurança. Obviamente, o plug-in é eficiente contra ataques de força bruta ou negação de serviço. Bem, é hora de outro termo – negação de serviço. As explicações da Wikipedia são claras e os exemplos são sugestivos.
Segundo a Wikipedia, uma negação de serviço é comparada à situação em que centenas de pessoas lutam para entrar simultaneamente em uma loja.

Claramente, ninguém pode entrar pela porta e assim a loja fica bloqueada. A mesma ideia é aplicada a um site – o invasor impede que os usuários legítimos façam login no site.

Este é o ponto final de nossa jornada; se você ler atentamente este post e aplicar pelo menos metade das dicas apresentadas, as chances de ser hackeado são baixas e você pode focar totalmente em outros aspectos. Ainda assim, a segurança de um site é um campo dinâmico e você deve se manter atualizado com as últimas notícias. Como você pode ver, fortalecer seu site WordPress não é tão complicado quanto parece para um blogueiro não desenvolvedor. Quase tudo pode ser resolvido com a ajuda de um plugin.

No final, estou curioso para saber sua opinião sobre a segurança do WordPress e o que você fará para melhorar a segurança de seus sites. Quanto mais opiniões, melhor para todos nós! Claro, você pode compartilhar as postagens com seus amigos para que eles saibam como proteger seus sites.