{"id":261615,"date":"2023-10-09T07:43:00","date_gmt":"2023-10-09T04:43:00","guid":{"rendered":"https:\/\/inform.click\/10-hacks-inovadores-de-seguranca-do-wordpress-para-proteger-seu-site\/"},"modified":"2023-10-09T07:43:00","modified_gmt":"2023-10-09T04:43:00","slug":"10-hacks-inovadores-de-seguranca-do-wordpress-para-proteger-seu-site","status":"publish","type":"post","link":"https:\/\/inform.click\/pt-pt\/10-hacks-inovadores-de-seguranca-do-wordpress-para-proteger-seu-site\/","title":{"rendered":"10 hacks inovadores de seguran\u00e7a do WordPress para proteger seu site"},"content":{"rendered":"

\n Independentemente de voc\u00ea possuir um blog pessoal ou um site comercial cr\u00edtico com dados confidenciais, voc\u00ea deve dar a devida \u00eanfase em proteg\u00ea-los o m\u00e1ximo poss\u00edvel. Para evitar que um visitante com inten\u00e7\u00e3o maliciosa tenha acesso ao seu site, \u00e9 vital preparar uma lista de verifica\u00e7\u00e3o de seguran\u00e7a e realizar auditorias de seguran\u00e7a peri\u00f3dicas.\n<\/p>\n

\n Dito isto, \u00e9 praticamente imposs\u00edvel configurar um sistema cem por cento seguro, pois sempre h\u00e1 a probabilidade de novas ‘amea\u00e7as' surgirem do nada. Embora possa n\u00e3o ser poss\u00edvel erradicar totalmente o risco de viola\u00e7\u00f5es de seguran\u00e7a, seguir um conjunto de pr\u00e1ticas recomendadas pode ajud\u00e1-lo a minimizar as poss\u00edveis vulnerabilidades.\n<\/p>\n

\n Quando se trata de proteger um<\/a> site WordPress, voc\u00ea ter\u00e1 muitas op\u00e7\u00f5es no que diz respeito \u00e0 disponibilidade de recursos. Existem muitas dicas, ajustes e tutoriais publicados em v\u00e1rios sites e blogs. No entanto, quando voc\u00ea olha mais de perto, pode ficar desapontado com a falta de conte\u00fado. As medidas de seguran\u00e7a do WordPress listadas na maioria desses sites s\u00e3o de natureza muito b\u00e1sica. Seja atualizando para a vers\u00e3o mais recente do WordPress, agendando backups peri\u00f3dicos ou usando uma senha de administrador com alta complexidade \u2013 voc\u00ea j\u00e1 deve ter implementado todas essas medidas fundamentais. Obviamente, a pergunta que vem \u00e0 sua mente \u00e9 “O que vem a seguir?”\n<\/p>\n

\n Este tutorial destina-se a dar uma resposta definitiva \u00e0 sua pergunta. Discutidos aqui est\u00e3o dez medidas de seguran\u00e7a inovadoras que podem ajud\u00e1-lo a manter o controle de um site WordPress sob sua cust\u00f3dia. Vamos agora aos detalhes.\n<\/p>\n

\n 1 Use autentica\u00e7\u00e3o de dois fatores:
\n<\/h4>\n

\n Quando voc\u00ea implementa a autentica\u00e7\u00e3o de dois fatores, uma pessoa que tenta fazer login no painel do WordPress ter\u00e1 que inserir uma OTP (One Time Password) gerada aleatoriamente, al\u00e9m do nome de usu\u00e1rio e senha padr\u00e3o. As fun\u00e7\u00f5es criptogr\u00e1ficas s\u00e3o usadas para gerar OTP em tempo real e s\u00e3o enviadas apenas para o destinat\u00e1rio pretendido em um dispositivo de comunica\u00e7\u00e3o por meio de um gateway seguro. O celular \u00e9 o meio de comunica\u00e7\u00e3o mais utilizado para esse fim.\n<\/p>\n

\n Portanto, mesmo que um hacker consiga roubar seu nome de usu\u00e1rio e senha, ele n\u00e3o poder\u00e1 acessar seu painel de administra\u00e7\u00e3o do WordPress sem a senha \u00fanica.\n<\/p>\n

\n Como implementar a autentica\u00e7\u00e3o de dois fatores?<\/strong>\n<\/p>\n

\n Voc\u00ea pode usar qualquer plug-in de gera\u00e7\u00e3o de OTP para implementar a autentica\u00e7\u00e3o de dois fatores em seu site WordPress. Plugins comerciais e gratuitos est\u00e3o dispon\u00edveis no mercado. Dois plugins recomendados que est\u00e3o dispon\u00edveis gratuitamente no reposit\u00f3rio do WordPress s\u00e3o:\n<\/p>\n

    \n
  1. \n Autentica\u00e7\u00e3o de dois fatores<\/a>\n <\/li>\n
  2. \n Autentica\u00e7\u00e3o dupla de dois fatores<\/a>\n <\/li>\n<\/ol>\n

    \n Ambos os plugins s\u00e3o muito f\u00e1ceis de configurar, mesmo para um webmaster novato. A documenta\u00e7\u00e3o detalhada sobre instala\u00e7\u00e3o e configura\u00e7\u00e3o pode ser encontrada nas respectivas p\u00e1ginas do plug-in.\n<\/p>\n

    \n 2 Desative a edi\u00e7\u00e3o de arquivo de modelo por meio do painel do WP
    \n<\/h4>\n

    \"\"<\/a><\/p>\n

    \n Um usu\u00e1rio do WordPress com acesso administrativo pode editar os arquivos de modelo do seu site navegando at\u00e9 Apar\u00eancia > Editor. Caso um visitante com inten\u00e7\u00e3o maliciosa consiga hackear sua credencial de usu\u00e1rio administrador, ele tamb\u00e9m poder\u00e1 fazer as modifica\u00e7\u00f5es desejadas nesses arquivos diretamente no painel do WordPress. Para evitar tal ocorr\u00eancia, voc\u00ea pode desabilitar a edi\u00e7\u00e3o de arquivos no painel do WordPress.\n<\/p>\n

    \n Como desativar a edi\u00e7\u00e3o de arquivo de modelo?<\/strong>\n<\/p>\n

    \n Para desabilitar a edi\u00e7\u00e3o de arquivos por meio do editor do painel, voc\u00ea precisa adicionar uma linha de c\u00f3digo ao arquivo de configura\u00e7\u00e3o do seu site WordPress. V\u00e1 para o programa gerenciador de arquivos dispon\u00edvel no painel de controle de sua hospedagem e navegue at\u00e9 o diret\u00f3rio raiz. Abra o arquivo wp-config.php em um editor de texto e anexe a seguinte linha de c\u00f3digo na parte inferior do arquivo.\n<\/p>\n

    define( 'DISALLOW_FILE_EDIT', true );<\/code><\/pre>\n
    \n  3 Ocultar coment\u00e1rios de erro de login dos visitantes
    \n<\/h4>\n
    \"\"<\/a><\/p>\n
    \n  Para que serve exibir logs de erros para seus visitantes? Absolutamente nada. Quando algo d\u00e1 errado, apenas voc\u00ea, o usu\u00e1rio administrador, deve saber. Para piorar a situa\u00e7\u00e3o, ao tornar p\u00fablico o feedback do erro, voc\u00ea est\u00e1, na verdade, dando dicas suficientes para um visitante tecnicamente experiente tentar hackear seu site.\n<\/p>\n
    \n  Como parar de exibir feedback de erro?<\/strong>\n<\/p>\n
    \n  Existe um m\u00e9todo direto para evitar que o feedback do erro de login do WordPress seja exibido publicamente. Depois de fazer login no painel de administra\u00e7\u00e3o do WordPress, navegue at\u00e9 Apar\u00eancia > Editor. Abra o arquivo functions.php do tema ativo e coloque o trecho de c\u00f3digo a seguir em qualquer lugar dentro do arquivo.\n<\/p>\n
    add_filter('login_errors',create_function('$a', \"return null;\"));<\/code><\/pre>\n
    \n  4 Exclua o usu\u00e1rio ‘admin'
    \n<\/h4>\n
    \"\"<\/a><\/p>\n
    \n  A conta de usu\u00e1rio administrativo padr\u00e3o que \u00e9 criada automaticamente no momento da instala\u00e7\u00e3o do WordPress \u00e9 ‘admin'. \u00c9 tamb\u00e9m a \u00e1rea mais vulner\u00e1vel no que diz respeito \u00e0 seguran\u00e7a do WordPress, que \u00e9 explorada pelos hackers com mais frequ\u00eancia. Portanto, excluir essa conta padr\u00e3o de ‘administrador' e gerenciar seu site a partir de outra conta ‘pseudo' de administrador \u00e9 uma boa ideia para manter os hackers afastados. No m\u00ednimo, tornar\u00e1 a vida um pouco mais dif\u00edcil para qualquer hacker em potencial.\n<\/p>\n
    \n  Como excluir o usu\u00e1rio ‘admin' padr\u00e3o?<\/strong>\n<\/p>\n
    \n  Esta atividade pode ser realizada em duas etapas distintas, conforme descrito a seguir:\n<\/p>\n
      \n
    1. \n    Ao instalar o WordPress<\/strong>: Se for uma nova conta de hospedagem na qual voc\u00ea deseja criar seu site WordPress, poder\u00e1 se livrar do usu\u00e1rio ‘admin' durante a instala\u00e7\u00e3o do WordPress. Na primeira tela de instala\u00e7\u00e3o, voc\u00ea obt\u00e9m op\u00e7\u00f5es configur\u00e1veis \u200b\u200bpelo usu\u00e1rio. O nome de usu\u00e1rio \u00e9 um desses itens que voc\u00ea tem permiss\u00e3o para modificar. Antes de clicar no bot\u00e3o ‘Instalar' localizado na parte inferior da tela, basta substituir o nome de usu\u00e1rio padr\u00e3o ‘admin' pelo nome que voc\u00ea preferir. Em seguida, prossiga com o processo de instala\u00e7\u00e3o como faria normalmente.\n  <\/li>\n
    2. \n    Para uma instala\u00e7\u00e3o WordPress existente<\/strong>: Quando voc\u00ea j\u00e1 possui um site WordPress existente, primeiro precisa fazer login com sua conta ‘admin' e criar uma nova conta de usu\u00e1rio. Certifique-se de fornecer ao novo usu\u00e1rio privil\u00e9gio administrativo total. Em seguida, saia da conta de administrador e fa\u00e7a login novamente usando a conta de usu\u00e1rio rec\u00e9m-criada. V\u00e1 para a guia ‘Usu\u00e1rios' no painel do WordPress e exclua a conta de usu\u00e1rio ‘admin'. Agora voc\u00ea pode gerenciar seu painel com o usu\u00e1rio administrativo rec\u00e9m-criado.\n  <\/li>\n<\/ol>\n
      \n  5 Ocultar n\u00famero da vers\u00e3o do WordPress
      \n<\/h4>\n
      \"\"<\/a><\/p>\n
      \n  Cada vers\u00e3o do WordPress tem algumas vulnerabilidades que geralmente s\u00e3o corrigidas quando a vers\u00e3o subsequente \u00e9 lan\u00e7ada. Se um hacker conseguir identificar qual vers\u00e3o do WordPress voc\u00ea est\u00e1 usando, ele poder\u00e1 associ\u00e1-la prontamente a uma fraqueza conhecida e explor\u00e1-la para obter o controle do seu site. Para evitar tal cen\u00e1rio, voc\u00ea pode instruir o arquivo de fun\u00e7\u00f5es do WordPress a n\u00e3o divulgar o n\u00famero da vers\u00e3o.\n<\/p>\n
      \n  Como ocultar o n\u00famero da vers\u00e3o do WP?<\/strong>\n<\/p>\n
      \n  Normalmente, o n\u00famero da vers\u00e3o do WordPress \u00e9 inserido no arquivo de cabe\u00e7alho do seu tema por meio da fun\u00e7\u00e3o ‘wp-head()'. No entanto, remover a fun\u00e7\u00e3o n\u00e3o \u00e9 uma solu\u00e7\u00e3o, porque a mesma fun\u00e7\u00e3o tamb\u00e9m pode ser usada por alguns dos plugins que voc\u00ea instalou. Em vez disso, uma alternativa melhor \u00e9 adicionar o trecho de c\u00f3digo abaixo ao seu arquivo functions.php.\n<\/p>\n
      remove_action('ks29so_head','ks29so_generator');<\/code><\/pre>\n
      \n  6 Bloqueie o acesso aos bots
      \n<\/h4>\n
      \"\"<\/a><\/p>\n
      \n  Bots s\u00e3o ferramentas automatizadas programadas por computador usadas por hackers para assumir o controle do seu site. Esses programas automatizados tamb\u00e9m podem utilizar seus recursos de hospedagem na web para realizar outras atividades em nome do hacker. Ao impedir que os bots obtenham acesso \u00e0s suas p\u00e1ginas e diret\u00f3rios da Web, voc\u00ea pode controlar melhor a administra\u00e7\u00e3o do site.\n<\/p>\n
      \n  Como impedir que bots acessem seu site?<\/strong>\n<\/p>\n
      \n  A reescrita de mod \u00e9 um rem\u00e9dio eficaz para bloquear o acesso do bot. Usando qualquer programa de edi\u00e7\u00e3o de texto, abra o .htaccess<\/code>arquivo ” presente dentro do diret\u00f3rio raiz do seu WordPress. Role para baixo at\u00e9 a parte inferior do arquivo, insira o trecho de c\u00f3digo abaixo mencionado e salve o arquivo no mesmo local. Certifique-se de que voc\u00ea n\u00e3o est\u00e1 alterando o nome do arquivo.\n<\/p>\n
      SetEnvIfNoCase User-Agent ^$ keep_out\nSetEnvIfNoCase User-Agent (pycurl|casper|cmsworldmap|diavol|dotbot) keep_out\nSetEnvIfNoCase User-Agent (flicky|ia_archiver|jakarta|kmccrew) keep_out\nSetEnvIfNoCase User-Agent (purebot|comodo|feedfinder|planetwork) keep_out\nOrder Allow,Deny\nAllow from all\nDeny from env=keep_out<\/code><\/pre>\n
      \n  7 Use permiss\u00f5es de arquivo\/pasta adequadas
      \n<\/h4>\n
      \"\"<\/a><\/p>\n
      \n  As permiss\u00f5es de arquivo nada mais s\u00e3o do que um m\u00e9todo de restri\u00e7\u00e3o de acesso. Usando par\u00e2metros de permiss\u00e3o de arquivo adequados, voc\u00ea pode impedir que os visitantes acessem arquivos de configura\u00e7\u00e3o importantes que residem no diret\u00f3rio de instala\u00e7\u00e3o do WordPress.\n<\/p>\n
      \n  Como implementar a restri\u00e7\u00e3o de acesso?<\/strong>\n<\/p>\n
      \n  Listadas abaixo est\u00e3o as configura\u00e7\u00f5es de permiss\u00e3o de arquivo e pasta recomendadas para o seu site WordPress:\n<\/p>\n
      \n  O valor CHMOD para todos os arquivos de dados deve ser definido como 644.\n<\/p>\n
      \n  O valor CHMOD para todas as pastas e subpastas deve ser definido como 755.\n<\/p>\n
      \n  O valor CHMOD para o arquivo de configura\u00e7\u00e3o do WordPress (wp-config.php) deve ser definido como 640.\n<\/p>\n
      \n  8 Limite as tentativas de login do usu\u00e1rio:
      \n<\/h4>\n
      \"\"<\/a><\/p>\n
      \n  Com toda a probabilidade, espera-se que um hacker use diferentes combina\u00e7\u00f5es de nome de usu\u00e1rio e senha para invadir seu painel de administra\u00e7\u00e3o do WordPress. A menos que haja um limite para o n\u00famero de tentativas de login com falha, um hacker pode continuar pelo tempo que for necess\u00e1rio para encontrar a combina\u00e7\u00e3o correta de nome de usu\u00e1rio e senha.\n<\/p>\n
      \n  Como limitar as tentativas de login?<\/strong>\n<\/p>\n
      \n  A maneira mais simples de limitar as tentativas de login do usu\u00e1rio \u00e9 usar um plug-in de c\u00f3digo aberto, Limitar tentativas de login. Ele pode ser baixado gratuitamente do reposit\u00f3rio de plugins do WordPress. Depois de instalar e ativar o plug-in, voc\u00ea pode especificar o n\u00famero de logins com falha que um usu\u00e1rio pode tentar por um determinado per\u00edodo de tempo.\n<\/p>\n
      \n  9 Use o modo SSL para sess\u00f5es de login
      \n<\/h4>\n
      \n  For\u00e7ar seu site WordPress para o modo SSL para login garante a transfer\u00eancia segura de dados entre o navegador da web do usu\u00e1rio e seu servidor. O navegador da Web criptografa o nome de usu\u00e1rio e a senha antes de envi\u00e1-los para o sistema do servidor por meio de um canal seguro quando o SSL \u00e9 usado.\n<\/p>\n
      \n  Como usar o modo SSL para todos os logins?<\/strong>\n<\/p>\n
      \n  Em primeiro lugar, voc\u00ea deve ter um certificado SSL v\u00e1lido instalado em seu servidor web. Para for\u00e7ar o modo SSL para todos os logins de usu\u00e1rios, voc\u00ea precisa definir as prefer\u00eancias de login SSL em seu arquivo de configura\u00e7\u00e3o do WordPress (wp-config.php). Voc\u00ea pode for\u00e7ar o modo SSL apenas para o usu\u00e1rio administrador ou habilitar esse recurso para todos os logins. V\u00e1 para o diret\u00f3rio raiz e abra o arquivo wp-config.php. Em seguida, adicione um dos trechos de c\u00f3digo abaixo, dependendo de sua necessidade.\n<\/p>\n
      \n  Apenas para sess\u00f5es de login de administrador:\n<\/p>\n
      define('FORCE_SSL_ADMIN', true);<\/code><\/pre>\n
      \n  Para todas as sess\u00f5es de login do usu\u00e1rio:\n<\/p>\n
      define('FORCE_SSL_LOGIN', true);<\/code><\/pre>\n
      \n  10 Desativar o acesso \u00e0 pasta ‘wp-content'
      \n<\/h4>\n
      \"\"<\/a><\/p>\n
      \n  Todas as imagens e arquivos de m\u00eddia que voc\u00ea carrega em seu site WordPress s\u00e3o armazenados dentro da pasta ‘wp-content'. Ele tamb\u00e9m cont\u00e9m todos os arquivos do plugin. Os hackers podem us\u00e1-lo como um ponto de entrada para injetar elementos nocivos em seu site. Outra atividade anti\u00e9tica que pode ser realizada pelo mesmo canal \u00e9 o roubo de largura de banda. Portanto, \u00e9 altamente recomend\u00e1vel bloquear o acesso p\u00fablico a esse diret\u00f3rio.\n<\/p>\n
      \n  Como desativar o acesso a arquivos de m\u00eddia e plug-ins?<\/strong>\n<\/p>\n
      \n  Voc\u00ea pode adicionar uma regra ao seu .htaccess<\/code>arquivo para impedir o acesso a todos os tipos de arquivo dispon\u00edveis na pasta ‘wp-content'. Lembre-se de que os arquivos CSS e JavaScript, juntamente com as imagens (jpg, png, gif), correm o maior risco de serem explorados pelos hackers.\n<\/p>\n
      Order Allow,Deny\nDeny from all\n\nAllow from all<\/code><\/pre>\n
      \n  Conclus\u00e3o:\n<\/p>\n
      \n  A cada dia que passa, os hackers est\u00e3o inventando novas t\u00e9cnicas para assumir o controle de seu site e neg\u00f3cios. N\u00e3o adianta ficar preso ao que os ‘outros' v\u00eam fazendo h\u00e1 anos. Para eliminar a possibilidade de hackear seu site WordPress, voc\u00ea precisa ficar um passo acima e ser mais esperto que seu inimigo.\n<\/p>\n<\/p>\n
      \n  Fonte de grava\u00e7\u00e3o: instantshift.com<\/a>\n<\/div>\n","protected":false},"excerpt":{"rendered":"
      Independentemente de voc\u00ea possuir um blog pessoal ou um site comercial cr\u00edtico com dados confidenciais, voc\u00ea deve dar a devida \u00eanfase em proteg\u00ea-los o m\u00e1ximo poss\u00edvel. Para evitar que um visitante com inten\u00e7\u00e3o maliciosa tenha acesso ao seu site, \u00e9 vital preparar uma lista de verifica\u00e7\u00e3o de seguran\u00e7a e realizar auditorias de seguran\u00e7a peri\u00f3dicas. Dito isto, \u00e9 praticamente imposs\u00edvel configurar um sistema cem por cento seguro, pois sempre h\u00e1 a probabilidade de novas ‘amea\u00e7as’ surgirem do nada. Embora possa n\u00e3o ser poss\u00edvel erradicar totalmente o risco de viola\u00e7\u00f5es de seguran\u00e7a, seguindo um conjunto de melhores \u2026<\/p>\n","protected":false},"author":1,"featured_media":143442,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[150,111,59],"tags":[],"class_list":["post-261615","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-dicas-e-truques-da-web","category-seguranca-web","category-web-e-wordpress-2"],"_links":{"self":[{"href":"https:\/\/inform.click\/pt-pt\/wp-json\/wp\/v2\/posts\/261615","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/inform.click\/pt-pt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/inform.click\/pt-pt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/inform.click\/pt-pt\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/inform.click\/pt-pt\/wp-json\/wp\/v2\/comments?post=261615"}],"version-history":[{"count":0,"href":"https:\/\/inform.click\/pt-pt\/wp-json\/wp\/v2\/posts\/261615\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/inform.click\/pt-pt\/wp-json\/wp\/v2\/media\/143442"}],"wp:attachment":[{"href":"https:\/\/inform.click\/pt-pt\/wp-json\/wp\/v2\/media?parent=261615"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/inform.click\/pt-pt\/wp-json\/wp\/v2\/categories?post=261615"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/inform.click\/pt-pt\/wp-json\/wp\/v2\/tags?post=261615"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}