Neste artigo você encontrará dicas valiosas para proteger o seu site em WordPress contra ameaças e mantê-lo seguro.
- Mantenha o WordPress e seus plugins atualizados.
- Use senhas fortes e únicas.
Proteja o arquivo wp-config.php com permissões adequadas, como por exemplo:
- Mude as permissões do arquivo: altere as permissões do arquivo wp-config.php para 600 ou 644 para que apenas o proprietário tenha permissão de leitura e escrita. Isso impede que outras pessoas acessem ou alterem o arquivo.
- Coloque o arquivo fora do diretório raiz: mova o arquivo wp-config.php para um diretório acima do diretório raiz do seu site. Isso torna mais difícil para um atacante encontrar o arquivo e acessá-lo.
- Adicione regras de segurança ao .htaccess: você pode adicionar regras de segurança ao seu arquivo .htaccess para impedir que o wp-config.php seja acessado diretamente. Aqui está um exemplo:
<Files wp-config.php> Order Allow,Deny Deny from all Allow from "IPSLIBERADOS" </Files>
- Acima para liberar somente IPS específicos e bloquear todos os outros.
- Abaixo para liberar todos e bloquear específicos:
<Files wp-config.php> Order Allow,Deny Deny from “IPSBLOQUEADOS” Allow from all </Files>
- Remova a informação sobre a versão do WordPress da visualização do código fonte.
- Para remover a informação da versão do WordPress da visualização do código fonte, você pode adicionar o seguinte código ao seu arquivo functions.php:
function remove_wp_version_strings( $src ) {
global $wp_version;
parse_str( parse_url( $src, PHP_URL_QUERY ), $query );
if ( !empty( $query[ 'ver' ] ) && $query[ 'ver' ] === $wp_version ) {
$src = remove_query_arg( 'ver', $src );
}
return $src;
}
add_filter( 'script_loader_src', 'remove_wp_version_strings' );
add_filter( 'style_loader_src', 'remove_wp_version_strings' );
Limite o número de tentativas de login.
- Você pode limitar o número de tentativas de login em WordPress usando o plugin “Limit Login Attempts Reloaded”.
- Este plugin permite que você defina o número de tentativas de login permitidas antes de um endereço IP ser bloqueado.
- Aqui estão os passos para instalar e configurar o plugin:
- Instale o plugin “Limit Login Attempts Reloaded” a partir do painel de administração do WordPress.
- Vá para “Configurações” -> “Limit Login Attempts” na área de administração do WordPress.
- Configure as opções de acordo com as suas preferências, incluindo o número de tentativas de login permitidas antes de um endereço IP ser bloqueado.
- Salve as alterações clicando no botão “Salvar Alterações”.
- Agora, o plugin estará limitando o número de tentativas de login permitidas para cada endereço IP.
- Isso ajuda a prevenir ataques de força bruta e melhora a segurança do seu site.
- Instale um plugin de segurança, como o Wordfence ou o iThemes Security
- Mantenha backups regulares do seu site.
- Proteja o arquivo .htaccess
O arquivo .htaccess é um arquivo importante para a configuração do seu site WordPress. Ele pode ser usado para controlar acessos, redirecionar URLs, definir regras de segurança, entre outras coisas. Para protegê-lo, você pode seguir os seguintes passos:
- Adicione regras de autorização: adicione as seguintes regras ao seu arquivo .htaccess para impedir o acesso não autorizado ao arquivo:
<Files .htaccess> Order Allow,Deny Deny from all Allow from "IPSLIBERADOS" </Files>
- Acima para liberar somente IPS específicos e bloquear todos os outros.
- Abaixo para liberar todos e bloquear específicos:
<Files .htaccess> Order Allow,Deny Deny from “IPSBLOQUEADOS” Allow from all </Files>
- Adicione autenticação básica: você também pode proteger o arquivo .htaccess adicionando autenticação básica. Isso significa que, ao tentar acessar o arquivo .htaccess, o usuário precisará fornecer nome de usuário e senha. Aqui está um exemplo de como fazer isso:
AuthName "Acesso restrito" AuthType Basic AuthUserFile /caminho/para/arquivo/.htpasswd Require valid-user
- Não instale temas ou plugins de fontes desconhecidas ou não confiáveis.
- Adicione o reCAPTCHA ao login do WordPress.
Para adicionar o reCAPTCHA ao login do WordPress, você pode usar um plugin como o “Google reCAPTCHA for WP Login”. Aqui estão os passos gerais para fazer isso:
- Instale o plugin “Google reCAPTCHA for WP Login” a partir da página de plugins do WordPress ou fazendo o upload manualmente para a pasta “wp-content/plugins/”.
- Ative o plugin.
- Acesse o painel do reCAPTCHA do Google e crie uma chave de site para o seu site WordPress.
- Copie a chave secreta e a chave do site e cole-as nas configurações do plugin no painel do WordPress.
- Configure as opções adicionais, como a aparência do reCAPTCHA e se ele deve ser exibido na página de login ou na página de registro.
- Salve as alterações e teste o login para verificar se o reCAPTCHA está funcionando corretamente.
Lembre-se de que a configuração exata pode variar de acordo com o plugin que você escolher, por isso, é importante seguir as instruções do plugin específico que você está usando.
- Use autenticação de dois fatores: A autenticação de dois fatores adiciona uma camada adicional de segurança à sua conta, o que a torna mais difícil de ser hackeada.
- A autenticação de dois fatores (2FA) pode ser ativada no WordPress usando um plugin de autenticação de dois fatores, como o “Google Authenticator”.
Aqui estão os passos gerais para ativar a autenticação de dois fatores no WordPress.
- Instale o plugin de autenticação de dois fatores de sua escolha a partir da página de plugins do WordPress ou fazendo o upload manualmente para a pasta “wp-content/plugins/”.
- Ative o plugin;
- Configure as opções de autenticação de dois fatores, incluindo quais usuários precisam usar 2FA e como o código de autenticação será gerado.
- Para cada usuário, vá para a página de perfil e habilite a autenticação de dois fatores.
- Baixe um aplicativo de autenticação de dois fatores, como o Google Authenticator, e escane o código QR fornecido pelo plugin.
- Insira o código de autenticação gerado pelo aplicativo ao fazer login no WordPress.
Lembre-se de que a configuração exata pode variar de acordo com o plugin que você escolher, por isso, é importante seguir as instruções do plugin específico que você está usando.
Token de autenticação
Caso perca o token de autenticação de dois fatores e não consegue mais fazer login no WordPress, pode seguir estes passos para desativar a autenticação de dois fatores:
- Acesse o banco de dados do WordPress.
- Localize a tabela de usuários e encontre o usuário que está tendo problemas para fazer login.
- Altere o valor da coluna relacionada à autenticação de dois fatores para “0” ou outro valor que represente a desativação da autenticação de dois fatores, dependendo da implementação do plugin de autenticação de dois fatores que você está usando.
- Salve as alterações.
- Tente fazer login novamente usando somente o nome de usuário e a senha.
Lembre-se de que a edição do banco de dados deve ser feita com cuidado e só deve ser realizada por usuários com conhecimento técnico avançado. Se você não tem certeza do que está fazendo, é melhor procurar ajuda de um profissional. Além disso, é importante fazer backup do banco de dados antes de fazer qualquer alteração.
- Evite utilizar o nome “ADMIN” como login do WordPress e opte por usar nomes ou combinações de caracteres únicos.”
Lembre-se de que a segurança do seu site é uma questão contínua e deve ser revisada regularmente.
Aproveite e conheça outros produtos da Locaweb, como o Cloud Server PRO, clique aqui e saiba mais!