Wordpress Seguro

4 dicas para manter seu WordPress Seguro

27 de agosto de 2020 pablo-superdominios

35% dos sites do mundo rodam na plataforma WordPress e por ser tão popular mais de 90 mil ataques ocorrem a sites WordPress por minuto.

Como a maioria dos sites e sistemas online, o WordPress é vulnerável a ataques. Embora o WordPress venha com muitos recursos fáceis de usar, ele não vem com sistema de segurança embutido. Você precisa instalar plug-ins, integrar com ferramentas de segurança e monitorar continuamente.

Neste artigo, você aprenderá o que são vulnerabilidades de segurança e como os invasores as usam para invadir sites WordPress. Você também aprenderá quais são as principais falhas de segurança do WordPress e como proteger seu site WordPress contra elas.

O que são vulnerabilidades de segurança e por que você deve se preocupar

Vulnerabilidades de segurança são áreas desprotegidas de seu site que os invasores podem explorar para roubar seus dados, modificar seu site ou causar danos de outra forma. Essas vulnerabilidades geralmente existem devido a plugins inseguros que você pode adicionar ao seu site ou falta de atualização dos plugins ou mesmo do WordPress.

Principais vulnerabilidades de segurança do WordPress

1 – Login inseguro

Seu login do WordPress é um alvo para invasores porque fornece acesso ao painel de administração do seu site. Se os invasores puderem obter acesso às suas credenciais de login, eles terão controle total sobre o seu site. Uma senha administrativa insegura ou fraca fornece uma entrada fácil para invasores.

As senhas fracas são senhas que podem ser facilmente adivinhadas ou descobertas por meio de ataques de força bruta. Ataques de força bruta são ataques que continuam tentando diferentes combinações de senha e nome de usuário até que o acesso seja obtido. Esses ataques são possíveis porque o WordPress não limita o número de tentativas de login que um invasor pode fazer.

Para evitar esses ataques, é importante:

Use uma senha segura e mude-a periodicamente. As senhas seguras são constituídas da seguinte forma: oito ou mais caracteres, uma combinação de letras maiúsculas e minúsculas, números e caracteres especiais

Ative a autenticação de dois fatores. A autenticação de dois fatores requer que você insira corretamente seu nome de usuário e senha. Em seguida, um código é enviado para seu e-mail ou dispositivo pessoal, como um telefone celular. Depois de fornecer este código, você pode terminar de fazer login em sua conta. A autenticação de dois fatores pode ajudar a garantir que mesmo se um invasor roubar suas informações de login, ele não conseguirá acessar sua conta.

2 – Temas e plug-ins desatualizados

Qualquer tema, plug-in ou aplicativo adicionado ao seu site pode apresentar vulnerabilidades. Se os invasores descobrirem essas vulnerabilidades, eles poderão explorar esses pontos fracos para obter acesso ao seu site e aos usuários.

Depois que os plug-ins, temas e aplicativos são lançados, os desenvolvedores geralmente continuam trabalhando nesses componentes. Por exemplo, adicionar novos recursos, corrigir bugs ou corrigir problemas de segurança. Se você não mantiver seus vários componentes atualizados, você perderá essas melhorias e poderá deixar vulnerabilidades expostas.

Para evitar isso, é importante que você:

Acompanhe as versões atuais de seus plugins e esteja ciente quando as vulnerabilidades forem relatadas. Para se manter atualizado, você deve verificar periodicamente se há novas versões. Em alguns plugins é possível habilitar atualização automática, caso seja possível com certeza o faça.

3 – Permissões incorretas

Ao criar seu site WordPress, você cria uma conta de administrador e também pode criar contas de usuários. Por exemplo, se você tiver uma equipe de pessoas trabalhando em seu site ou se tiver um serviço de assinatura. Cada uma dessas contas tem um conjunto de permissões atribuídas a elas que determina o que um usuário pode fazer em seu site.

Ao definir essas permissões, é importante que você conceda aos usuários a capacidade necessária. Por exemplo, você não deseja que seus assinantes editem postagens ou que seus editores possam alterar as configurações do site.

As funções no WordPress são as seguintes:

  • Administrador – pode controlar totalmente o seu site.
  • Editor – pode modificar e publicar todas as postagens do site.
  • Autor – pode modificar e publicar suas próprias postagens.
  • Contribuidor – pode criar rascunhos de postagens.
  • Assinante – só pode modificar seu perfil.

Para garantir que você está atribuindo permissões corretamente, certifique-se de colocar os usuários na função mais baixa possível. Você sempre pode alterar a função deles mais tarde, se achar que o atual não é alto o suficiente. No entanto, é difícil desfazer os danos causados por usuários com permissões de alto nível.

4 – Seu Site WordPress precisa ser acessado via HTTPS

Protocolo de transporte de hipertexto (HTTP) é o método usado para conectar seu site ao navegador do usuário. Se o endereço completo do seu site começar com http: //, você está usando uma conexão HTTP. Esta conexão está disponível para qualquer usuário e não requer nenhum tipo de autenticação para ser usada.

Como as conexões HTTP não são protegidas de forma alguma, os invasores podem interceptar solicitações feitas por usuários que visitam seu site. Por exemplo, se um usuário clicar em um link em sua página, uma solicitação dessa página será enviada ao seu servidor da web. Se um invasor interceptar e modificar essa solicitação, ele pode enviar seu usuário para uma página totalmente diferente.

Para evitar que invasores manipulem solicitações do seu WordPress :

Habilite HTTPS. HTTPS é uma modificação do HTTP que inclui recursos de segurança para criptografar ou ocultar as informações que estão sendo enviadas em uma solicitação. Essa criptografia evita que os invasores leiam ou modifiquem os dados e garante que apenas o seu servidor web e o navegador que está fazendo a solicitação tenham acesso.

Wordpress Https

As principais vulnerabilidades de segurança do WordPress incluem logins inseguros do WordPress, temas e plug-ins desatualizados, permissões incorretas e uso de HTTP em vez de HTTPS. A má notícia é que existem centenas e milhares de vulnerabilidades por aí, porque o erro humano é um fato e os hackers sempre invadem. A boa notícia é que você pode evitar muitos problemas seguindo as práticas mencionadas acima e também utilizando um plano de hospedagem de uma empresa com experiência de mercado. A Superdomínios está no mercado de hospedagem desde 1999 e utiliza diversas técnicas de segurança nos servidores para evitar esse tipo de invasão, confira já nossos planos WordPress.

Tags:

Deixe um comentário