A segurança do WordPress é um tópico de grande importância para todos os proprietários de sites.
Se o senhor leva seu site a sério, precisa prestar atenção às práticas recomendadas de segurança do WordPress. Caso contrário, o senhor poderá se tornar um dos mais de 10.000 sites que o Google coloca na lista negra todos os dias por causa de malware e phishing.
Neste guia, compartilharemos nossas principais dicas de segurança do WordPress para ajudar o senhor a proteger seu site contra hackers e malware.
Embora o software principal do WordPress seja muito seguro e seja auditado regularmente por centenas de desenvolvedores, ainda há muito que precisa ser feito para manter seu site seguro.
Na WPBeginner, acreditamos que a segurança não se trata apenas de eliminação de riscos. Trata-se também de redução de riscos. Como proprietário de um site, há muito que o senhor pode fazer para melhorar a segurança do WordPress, mesmo que não seja especialista em tecnologia.
Neste artigo, reunimos uma lista de medidas práticas que o senhor pode adotar para proteger seu site contra vulnerabilidades de segurança.
Para facilitar, criamos um índice para ajudá-lo a navegar facilmente pelo nosso guia definitivo de segurança do WordPress.
Índice
Noções básicas de segurança do WordPress
Segurança do WordPress em etapas fáceis (sem codificação)
Segurança do WordPress para usuários DIY
Pronto? Vamos começar.
Por que a segurança do site é importante
Um site hackeado site WordPress hackeado pode causar sérios danos à receita e à reputação de sua empresa. Os hackers podem roubar informações e senhas de usuários, instalar software mal-intencionado e até mesmo distribuir malware aos seus usuários.
Na pior das hipóteses, o senhor pode acabar pagando ransomware aos hackers apenas para recuperar o acesso ao seu site.
Todos os dias, o Google avisa de 12 a 14 milhões de usuários que um site que eles estão tentando visitar pode conter malware ou roubar informações.
Além disso, o Google coloca na lista negra cerca de mais de 10.000 sites todos os dias por malware ou phishing.
Assim como os proprietários de empresas com um local físico têm a responsabilidade de proteger sua propriedade, os proprietários de empresas on-line precisam prestar atenção extra à segurança do WordPress.
Mantenha o WordPress atualizado
O WordPress é um software de código aberto e é mantido e atualizado regularmente. Por padrão, o WordPress instala automaticamente pequenas atualizações.
Para as versões principais, o senhor precisa iniciar manualmente a atualização.
O WordPress também vem com milhares de plugins e temas que o senhor pode instalar em seu site. Esses plugins e temas são mantidos por desenvolvedores de terceiros, que também lançam atualizações regularmente.
Essas atualizações do WordPress são cruciais para a segurança e a estabilidade do seu site WordPress. O senhor precisa se certificar de que seu site WordPress core, os plugins e o tema do WordPress estejam atualizados.
Use senhas fortes e permissões de usuário
As tentativas mais comuns de invasão do WordPress usam senhas roubadas. O senhor pode dificultar isso usando senhas mais fortes que sejam exclusivas do seu site.
Não estamos falando apenas da área de administração do WordPress. Lembre-se de criar senhas fortes para suas contas de FTP, bancos de dados, contas de hospedagem do WordPress e endereços de e-mail personalizados que usam o nome de domínio do seu site.
Muitos iniciantes não gostam de usar senhas fortes porque elas são difíceis de lembrar. O bom é que o senhor não precisa mais se lembrar de senhas porque pode simplesmente usar um gerenciador de senhas.
Veja nosso guia sobre Como gerenciar as senhas do WordPress para obter mais informações.
Outra forma de reduzir o risco é não dar a ninguém acesso à sua conta de administrador do WordPress, a menos que o senhor seja absolutamente necessário.
Se o senhor tiver uma equipe grande ou autores convidados, certifique-se de que entendeu as funções e os recursos do usuário no WordPress antes de adicionar novas contas de usuário e autores ao seu site WordPress.
Entenda o papel da hospedagem do WordPress
Seu Hospedagem WordPress desempenha o papel mais importante na segurança de seu site WordPress. Um bom hospedagem compartilhada provedor como Hostinger, Bluehostou SiteGround toma medidas extras para proteger seus servidores contra ameaças comuns.
Aqui estão apenas algumas maneiras pelas quais as boas empresas de hospedagem na Web trabalham em segundo plano para proteger seus sites e dados:
- Elas monitoram continuamente a rede em busca de atividades suspeitas.
- Todas as boas empresas de hospedagem têm ferramentas para evitar atividades suspeitas em grande escala. ataques DDoS.
- Eles mantêm o software do servidor, as versões do PHP e o hardware atualizados para evitar que os hackers explorem uma vulnerabilidade de segurança conhecida em uma versão antiga.
- Eles têm planos de recuperação de desastres e acidentes prontos para serem implementados, o que lhes permite proteger seus dados em caso de um acidente grave.
Em um plano de hospedagem compartilhada, o senhor compartilha os recursos do servidor com muitos outros clientes. Há o risco de contaminação entre sites, em que um hacker pode usar um site vizinho para atacar seu site.
Por outro lado, o uso de um hospedagem gerenciada do WordPress fornece uma plataforma mais segura para seu site. As empresas de hospedagem gerenciada do WordPress oferecem backups automáticos, atualizações automáticas do WordPress e configurações de segurança mais avançadas para proteger seu site
Recomendamos WP Engine como nosso provedor de hospedagem gerenciada de WordPress preferido. Eles também são o provedor mais popular do setor.
Certifique-se de obter o melhor negócio usando nossa oferta especial Cupom WP Engine.
Segurança do WordPress em algumas etapas fáceis (sem codificação)
Sabemos que melhorar a segurança do WordPress pode ser uma ideia aterrorizante para iniciantes, especialmente se o senhor não tiver conhecimentos técnicos. Adivinhe só: o senhor não está sozinho.
Ajudamos milhares de usuários do WordPress a fortalecer sua segurança.
Mostraremos como o senhor pode aumentar a segurança do seu WordPress com apenas alguns cliques (não é necessário codificar).
Se o senhor sabe apontar e clicar, pode fazer isso!
1. Instale uma solução de backup do WordPress
Os backups são sua primeira defesa contra qualquer ataque ao WordPress. Lembre-se de que nada é 100% seguro. Se os sites do governo podem ser invadidos, os seus também podem.
Os backups permitem que o senhor restaure rapidamente seu site WordPress caso algo ruim aconteça.
Há muitos aplicativos gratuitos e pagos para fazer backups. Plugins de backup do WordPress que o senhor pode usar. A coisa mais importante que o senhor precisa saber quando se trata de backups é que deve salvar regularmente backups completos do site em um local remoto (não em sua conta de hospedagem).
Recomendamos armazená-los em um serviço de nuvem como Amazon, Dropbox ou nuvens privadas como Stash.
Com base na frequência com que o senhor atualiza seu site, a configuração ideal pode ser uma vez por dia ou backups em tempo real.
Felizmente, isso pode ser feito facilmente com o uso de plug-ins como Duplicador, UpdraftPlusou BlogVault. Ambos são confiáveis e, o mais importante, fáceis de usar (não é necessário codificar).
Para obter mais detalhes, consulte nosso guia sobre Como fazer backup de seu site WordPress.
Instale um plug-in de segurança do WordPress confiável
Depois dos backups, a próxima coisa que precisamos fazer é configurar um sistema de auditoria e monitoramento que acompanhe tudo o que acontece no seu site.
Isso inclui o monitoramento da integridade dos arquivos, tentativas de login com falha, varredura de malware e muito mais.
Felizmente, o senhor pode cuidar disso facilmente instalando um dos melhores plug-ins de segurança do WordPresscomo o Sucuri.
O senhor precisa instalar e ativar o plugin gratuito do Sucuri Security. Para obter mais detalhes, consulte nosso guia passo a passo sobre Como instalar um plug-in do WordPress.
Agora, o senhor pode ir para o Sucuri Security ” Painel de controle para ver se o plug-in encontrou algum problema imediato com seu código do WordPress.
A próxima coisa que o senhor precisa fazer é navegar até o diretório Sucuri Security ” Configurações e clique na guia “Hardening”.
As configurações padrão funcionam bem para a maioria dos sites, portanto, o senhor pode ir em frente e ativá-las clicando no botão “Apply Hardening” para cada opção.
Isso ajuda o senhor a bloquear as principais áreas que os hackers costumam usar em seus ataques.
Dica: Abordaremos outras maneiras de fortalecer seu site mais adiante neste artigo, como alterar o prefixo do banco de dados e o nome de usuário do administrador. No entanto, essas são mais técnicas e podem exigir conhecimento de codificação.
Após a parte de proteção, as outras configurações padrão do plug-in são suficientes para a maioria dos sites e não precisam ser alteradas.
A única coisa que recomendamos personalizar são os alertas de e-mail, que podem ser encontrados na guia “Alertas” da página de configurações.
Por padrão, o senhor receberá muitos alertas por e-mail que podem entulhar sua caixa de entrada.
Recomendamos ativar os alertas somente para as principais ações sobre as quais o senhor deseja ser notificado, como alterações de plugins e registros de novos usuários.
Esse plug-in de segurança do WordPress é muito avançado, portanto, navegue por todas as guias e configurações para ver tudo o que ele faz, como verificação de malware, registros de auditoria, rastreamento de tentativas de login com falha e muito mais.
Para obter mais informações, consulte nosso Análise da Sucuri.
Ativar um firewall de aplicativo da Web (WAF)
A maneira mais fácil de proteger seu site e ter confiança na segurança do WordPress é usar um firewall de aplicativo da Web (WAF).
Um firewall de site bloqueia todo o tráfego mal-intencionado antes mesmo que ele chegue ao seu site.
- A Firewall de site em nível de DNS direciona o tráfego de seu site por meio de seus servidores proxy em nuvem. Isso permite que ele envie apenas tráfego genuíno para seu servidor da Web.
- Um firewall em nível de aplicativo examina o tráfego quando ele chega ao seu servidor, mas antes de carregar a maioria dos scripts do WordPress. Esse método não é tão eficiente quanto o firewall em nível de DNS para reduzir a carga do servidor.
Para saber mais, consulte nossa lista dos melhores plug-ins de firewall do WordPress.
Usamos Sucuri no WPBeginner há muitos anos e ainda o recomendamos como um dos melhores firewalls de aplicativos da Web para WordPress. Recentemente mudamos da Sucuri para a Cloudflare porque precisávamos de uma rede CDN maior com recursos mais voltados para clientes corporativos.
O senhor pode ler sobre como a A Sucuri nos ajudou a bloquear 450.000 ataques ao WordPress em um mês.
A melhor parte do firewall da Sucuri é que ele também vem com uma garantia de limpeza de malware e remoção de lista negra. Isso significa que, se o senhor for hackeado sob a supervisão deles, eles garantem a correção do seu site, independentemente do número de páginas que tiver.
Essa é uma garantia muito forte porque o reparo de sites invadidos é caro. Os especialistas em segurança normalmente cobram mais de US$ 250 por hora, enquanto o senhor pode obter toda a pilha de segurança da Sucuri por US$ 199 durante um ano inteiro.
Dito isso, a Sucuri não é o único provedor de firewall em nível de DNS no mercado. O outro concorrente popular é a Cloudflare. Veja nossa comparação de Sucuri vs. Cloudflare (Prós e contras).
Mova seu site WordPress para SSL/HTTPS
SSL (Secure Sockets Layer) é um protocolo que criptografa a transferência de dados entre o seu site e o navegador do usuário. Essa criptografia torna mais difícil para alguém bisbilhotar e roubar informações.
Depois que o senhor ativar o SSL, o endereço do seu site usará HTTPS em vez de HTTP. O senhor também verá um sinal de cadeado ou ícone semelhante ao lado do endereço do site no navegador.
Os certificados SSL são normalmente emitidos por autoridades de certificação e seus preços variam de US$ 80 a centenas de dólares por ano. Devido ao custo adicional, a maioria dos proprietários de sites no passado optou por continuar usando o protocolo inseguro.
Para corrigir isso, uma organização sem fins lucrativos chamada Let’s Encrypt decidiu oferecer certificados SSL gratuitos aos proprietários de sites. Seu projeto é apoiado pelo Google Chrome, Facebook, Mozilla e muitas outras empresas.
É mais fácil do que nunca começar a usar SSL em todos os seus sites WordPress. Muitas empresas de hospedagem agora oferecem um certificado SSL gratuito para seu site WordPress.
Se sua empresa de hospedagem não oferecer um, o senhor pode adquirir um certificado SSL em Domínio.com. Eles têm as melhores e mais confiáveis ofertas de SSL do mercado. O certificado vem com uma garantia de segurança de US$ 10.000 e um selo de segurança TrustLogo.
Segurança do WordPress para usuários DIY
Se o senhor fizer tudo o que mencionamos até agora, estará em boa situação.
Mas, como sempre, há muito mais que o senhor pode fazer para fortalecer a segurança do WordPress.
Lembre-se de que algumas dessas etapas podem exigir conhecimento de codificação.
Alterar o nome de usuário padrão do administrador
Antigamente, o nome de usuário padrão do administrador do WordPress era “admin”. Como os nomes de usuário representam metade das credenciais de login, isso facilitava os ataques de força bruta por parte dos hackers.
Felizmente, o WordPress mudou isso e agora exige que o senhor selecione um nome de usuário personalizado no momento da instalar o WordPress.
No entanto, alguns instaladores do WordPress com um clique ainda definem o nome de usuário padrão do administrador como “admin”. Se o senhor perceber que esse é o caso, provavelmente será uma boa ideia trocar sua hospedagem na Web.
Como o WordPress não permite que você altere os nomes de usuário por padrão, há três métodos que podem ser usados para alterar o nome de usuário.
- Crie um novo nome de usuário de administrador e exclua o antigo.
- Use o plug-in Username Changer
- Atualizar o nome de usuário no phpMyAdmin
Cobrimos todos esses três aspectos em nosso guia detalhado sobre Como alterar corretamente seu nome de usuário do WordPress.
Nota: Só para esclarecer, estamos falando de alterar o nome de usuário chamado “admin”, não o nome do função de usuário administrador, que às vezes também é chamada de “admin”.
Desativar a edição de arquivos
O WordPress vem com um editor de código integrado que permite que o senhor edite seus arquivos de temas e plugins diretamente da área de administração do WordPress.
Nas mãos erradas, esse recurso pode ser um risco à segurança, e é por isso que recomendamos desativá-lo.
O senhor pode fazer isso facilmente adicionando o seguinte código ao seu wp-config.php ou com um plugin de snippet de código como WPCode (recomendado):
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
Mostramos aos senhores como fazer isso passo a passo em nosso guia sobre como desativar os editores de temas e plugins no painel de administração do WordPress.
Como alternativa, o senhor pode fazer isso com um clique usando o recurso Hardening no plug-in gratuito da Sucuri mencionado acima.
Desativar a execução de arquivos PHP em determinados diretórios do WordPress
Outra forma de reforçar a segurança do WordPress é desativar a execução de arquivos PHP em diretórios onde não é necessário, como /wp-content/uploads/.
O senhor pode fazer isso abrindo um editor de texto como o Bloco de Notas e colando esse código:
<Files *.php>
deny from all
</Files>
Em seguida, o senhor precisa salvar esse arquivo como .htaccess e carregue-o no diretório /wp-content/uploads/ em seu site usando um cliente FTP.
Para obter uma explicação mais detalhada, consulte nosso guia sobre Como desativar a execução do PHP em determinados diretórios do WordPress.
Como alternativa, o senhor pode fazer isso com um clique usando o recurso Hardening no plug-in gratuito da Sucuri que mencionamos acima.
Limite as tentativas de login
Por padrão, o WordPress permite que os usuários tentem fazer login quantas vezes quiserem. Isso deixa seu site WordPress vulnerável a ataques de força bruta. É quando os hackers tentam descobrir senhas tentando fazer login com diferentes combinações.
Isso pode ser facilmente corrigido limitando as tentativas de login fracassadas que um usuário pode fazer. Se o senhor estiver usando o firewall de aplicativo da Web mencionado anteriormente, isso será resolvido automaticamente.
No entanto, se o senhor não tiver o firewall configurado, poderá seguir as etapas abaixo.
Primeiro, o senhor precisa instalar e ativar o software gratuito Limit Login Attempts Reloaded (Limitar tentativas de login recarregadas) plugin. Para obter mais detalhes, consulte nosso guia passo a passo sobre Como instalar um plug-in do WordPress.
Após a ativação, o plug-in começará a limitar o número de tentativas de login que os usuários podem fazer.
As configurações padrão funcionarão para a maioria dos sites; no entanto, é possível personalizá-las visitando a página Settings ” Limit Login Attempts (Limitar tentativas de login) e clicar na guia “Settings” (Configurações) na parte superior. Por exemplo, para cumprir as leis do GDPR, o senhor pode clicar na caixa de seleção “GDPR compliance”.
Para obter instruções detalhadas, dê uma olhada em nosso guia sobre Como e por que o senhor deve limitar as tentativas de login no WordPress.
Adicionar autenticação de dois fatores (2FA)
O autenticação de dois fatores requer duas etapas diferentes para que os usuários façam login:
- A primeira etapa é o nome de usuário e a senha.
- A segunda etapa exige que o senhor use um código de um dispositivo ou aplicativo que esteja em seu poder e que os hackers não possam acessar, como o seu smartphone.
A maioria dos principais sites on-line, como Google, Facebook e Twitter, permite que o senhor ative esse recurso para suas contas. O senhor também pode adicionar a mesma funcionalidade ao seu site WordPress.
Primeiro, o senhor precisa instalar e ativar o WP 2FA – Autenticação de dois fatores plugin. Para obter mais detalhes, consulte nosso guia passo a passo sobre Como instalar um plug-in do WordPress.
Um assistente de fácil utilização o ajudará a configurar o plug-in e, em seguida, o senhor receberá um código QR.
O senhor precisará digitalizar o código QR usando um aplicativo autenticador em seu telefone, como o Google Authenticator, o Authy e o LastPass Authenticator.
Recomendamos que o senhor use o LastPass Authenticator ou Authy porque eles permitem que o senhor faça backup de suas contas na nuvem. Isso é muito útil caso seu telefone seja perdido, redefinido ou o senhor compre um novo telefone. Todos os logins de suas contas serão facilmente restaurados.
A maioria desses aplicativos funciona de maneira semelhante e, se o senhor estiver usando o Authy, basta clicar no botão “+” ou “Add account” no aplicativo autenticador.
Isso permitirá que o senhor escaneie o código QR no seu computador usando a câmera do seu telefone. Talvez o senhor precise primeiro dar permissão ao aplicativo para acessar a câmera.
Depois de dar um nome à conta, o senhor pode salvá-la.
Na próxima vez que fizer login no seu site, o código de autenticação de dois fatores será solicitado depois que o senhor digitar a senha.
Basta abrir o aplicativo autenticador em seu telefone e o senhor verá um código de uso único.
Em seguida, o senhor pode inserir o código em seu site para concluir o login.
Alterar o prefixo do banco de dados do WordPress
Por padrão, o WordPress usa wp_ como o prefixo de todas as tabelas em seu banco de dados do WordPress.
Se o seu site WordPress estiver usando o prefixo padrão do banco de dados, será mais fácil para os hackers adivinharem o nome da tabela. Por isso, recomendamos que o senhor o altere.
O senhor pode alterar o prefixo do banco de dados seguindo nosso tutorial passo a passo sobre Como alterar o prefixo do banco de dados do WordPress para aumentar a segurança.
Nota: A alteração do prefixo do banco de dados pode danificar seu site se não for feita corretamente. Faça isso somente se o senhor se sentir confortável com suas habilidades de codificação.
Proteger com senha a página de administração e de login do WordPress
Normalmente, os hackers podem solicitar sua pasta wp-admin e a página de login sem nenhuma restrição. Isso permite que eles tentem seus truques de hacking ou executem ataques DDoS.
O senhor pode adicionar proteção adicional por senha no nível do servidor, o que bloqueará efetivamente essas solicitações.
Basta seguir nossas instruções passo a passo em Como proteger seu diretório de administração do WordPress (wp-admin) com senha.
Desativar a indexação e a navegação no diretório
Quando o senhor digita o endereço de uma das pastas do seu site em um navegador da Web, é exibida a página da Web chamada index.html se ela existir. Se não existir, o senhor verá uma lista de arquivos nessa pasta. Isso é conhecido como navegação de diretório.
A navegação no diretório pode ser usada por hackers para descobrir se o senhor tem algum arquivo com vulnerabilidades conhecidas, de modo que eles possam tirar proveito desses arquivos para obter acesso.
A navegação no diretório também pode ser usada por outras pessoas para examinar seus arquivos, copiar imagens, descobrir a estrutura do diretório e outras informações. Por isso, é altamente recomendável que o senhor desative a indexação e a navegação no diretório.
O senhor precisa se conectar ao seu site usando o FTP ou o gerenciador de arquivos do seu provedor de hospedagem. Em seguida, localize o diretório .htaccess no diretório raiz do seu site. Se não conseguir encontrá-lo lá, consulte nosso guia sobre Por que não é possível ver o arquivo .htaccess no WordPress.
Depois disso, o senhor precisa adicionar a seguinte linha no final do arquivo .htaccess:
Options -Indexes
Não se esqueça de salvar e carregar o arquivo .htaccess de volta ao seu site.
Para obter mais informações sobre esse tópico, consulte nosso artigo sobre Como desativar a navegação em diretórios no WordPress.
Desativar o XML-RPC no WordPress
O XML-RPC é uma API central do WordPress que ajuda a conectar seu site do WordPress com a Web e com a Web. aplicativos móveis. Ele está ativado por padrão desde o WordPress 3.5.
No entanto, devido à sua natureza poderosa, o XML-RPC pode ampliar significativamente os ataques de força bruta.
Por exemplo, se um hacker quisesse tentar 500 senhas diferentes em seu site, ele teria que fazer 500 tentativas de login separadas. Isso pode ser detectado e bloqueado pelo plug-in Limit Login Attempts Reloaded.
Mas com o XML-RPC, um hacker pode usar o system.multicall para testar milhares de senhas com, digamos, 20 ou 50 solicitações.
É por isso que, se o senhor não estiver usando o XML-RPC, recomendamos que o desative.
Há três maneiras de desativar o XML-RPC no WordPress, e abordamos todas elas em nosso tutorial passo a passo sobre Como desativar o XML-RPC no WordPress.
Dica: O método .htaccess é o melhor porque consome menos recursos. Os outros métodos são mais fáceis para iniciantes.
Como alternativa, isso é feito automaticamente se o senhor estiver usando um firewall de aplicativo da Web (WAF), conforme mencionamos anteriormente.
Fazer logout automático de usuários ociosos no WordPress
Os usuários conectados podem, às vezes, sair da tela, o que representa um risco de segurança. Alguém pode sequestrar sua sessão, alterar senhas ou fazer alterações em sua conta.
É por isso que muitos sites bancários e financeiros desconectam automaticamente um usuário inativo. O senhor também pode configurar uma funcionalidade semelhante em seu site WordPress.
O senhor precisará instalar e ativar o Logout inativo plugin. Após a ativação, visite o site Configurações ” Logout inativo para personalizar as configurações de logout.
Basta definir o tempo de duração e adicionar uma mensagem de logout. Em seguida, não se esqueça de clicar no botão “Save Changes” (Salvar alterações) na parte inferior da página para armazenar suas configurações.
Para obter instruções passo a passo, consulte nosso guia sobre Como fazer o logout automático de usuários inativos no WordPress.
Adicionar perguntas de segurança à tela de login do WordPress
Adicionar uma pergunta de segurança à tela de login do WordPress torna ainda mais difícil para alguém obter acesso não autorizado.
O senhor pode adicionar perguntas de segurança instalando o Autenticação de dois fatores plugin. Após a ativação, o senhor precisa visitar o site Autenticação multifatorial ” Dois fatores para definir as configurações do plug-in.
Isso permitirá que o senhor adicione vários tipos de autenticação de dois fatores ao seu site, inclusive perguntas de segurança.
Para obter instruções mais detalhadas, consulte nosso tutorial sobre Como adicionar perguntas de segurança à tela de login do WordPress.
Verificação de malware e vulnerabilidades no WordPress
Se o senhor tiver um Plugin de segurança do WordPress instalado, ele verificará rotineiramente se há malware e sinais de violações de segurança.
No entanto, se o senhor observar uma queda repentina no tráfego do site ou classificações de pesquisao senhor pode querer fazer uma varredura manual em busca de malware. O senhor pode fazer isso usando seu plugin de segurança do WordPress ou um dos melhores scanners de malware e segurança.
A execução dessas varreduras on-line é bastante simples. Basta digitar o URL do seu site e os rastreadores do site procuram por malware e códigos mal-intencionados conhecidos.
Agora, lembre-se de que a maioria dos scanners de segurança do WordPress só pode avisá-lo se o seu site contiver malware. Eles não podem remover o malware nem limpar um site WordPress invadido.
Isso nos leva à próxima seção, que trata da limpeza de malware e de sites WordPress invadidos.
Como corrigir um site WordPress invadido
Muitos usuários do WordPress não percebem a importância dos backups e da segurança do site até que seu site seja invadido.
A limpeza de um site WordPress pode ser muito difícil e demorada. Nosso primeiro conselho seria deixar que um profissional cuide disso.
Hackers instalam backdoors nos sites afetados e, se esses backdoors não forem corrigidos adequadamente, seu site provavelmente será invadido novamente.
Permitir que uma empresa de segurança profissional como a Sucuri para corrigir seu site garantirá que ele seja seguro para uso novamente. Isso também o protegerá contra futuros ataques.
Para os usuários aventureiros e DIY, compilamos um guia passo a passo sobre como corrigir um site WordPress invadido.
Dica bônus: Identity Theft & Network Protection
Como proprietário de uma pequena empresa, é muito importante proteger sua identidade digital e financeira. Não fazer isso pode levar a perdas significativas.
Hackers e criminosos podem usar sua identidade para roubar seu site nome de domínio, invadir suas contas bancárias e até mesmo cometer crimes pelos quais o senhor pode ser responsabilizado.
Houve 5,7 milhões de incidentes de roubo de identidade e fraude de cartão de crédito relatados à Comissão Federal de Comércio (FTC) em 2023.
É por isso que recomendamos o uso de um serviço de proteção contra roubo de identidade como Aura. Recomendamos o Aura e nós mesmos o utilizamos.
Eles oferecem proteção para dispositivos e redes Wi-Fi por meio de seus serviços gratuitos VPN (rede privada virtual)que protege sua conexão à Internet com criptografia de nível militar, onde quer que o senhor esteja.
Isso é ótimo para quando o senhor estiver viajando ou se conectando ao seu administrador do WordPress em um local público como o Starbucks, para que possa trabalhar on-line com segurança e privacidade.
Seu serviço de monitoramento da dark web usa constantemente inteligência artificial para alertá-lo caso suas senhas, números de previdência social e contas bancárias tenham sido comprometidos.
Isso permite que o senhor aja mais rapidamente e proteja melhor sua identidade digital.
Esperamos que este artigo tenha ajudado o senhor a conhecer as práticas recomendadas de segurança do WordPress e a descobrir os principais plug-ins de segurança do WordPress para o seu site. Talvez o senhor também queira ver nosso guia definitivo de SEO para WordPress para melhorar suas classificações de SEO, e nossas dicas de especialistas sobre como acelerar o WordPress.
Se o senhor gostou deste artigo, por favor, assine o nosso Canal do YouTube para ver tutoriais em vídeo sobre o WordPress. O senhor também pode nos encontrar em Twitter e Facebook.
