Pode haver muitos sistemas de gerenciamento de conteúdo por aí, mas nenhum deles se compara ao WordPress. Com Mais de 51.6 milhões de sites em março de 2020 (e aumentando a cada dia), dá a você uma idéia de quão superior e amado é esse sistema. Segurança do WordPress e dicas acionáveis para evitar hacking no WordPress - o CMS ainda tem um longo caminho a percorrer quando se trata de segurança.
No entanto, queremos ajudá-lo a proteger o seu site desde o início - prevenir é melhor do que remediar, então certifique-se de seguir estas dicas, neste, um de nossos muitos tutoriais em WordPress - HOJE.
Esses milhões de sites, no entanto, também enfrentam ataques sérios de script kiddies que não têm nada melhor para fazer com seu tempo, mas espalham a miséria por toda parte, e outros com motivos mais nefastos e maliciosos, os atores sombrios da web: Hackers.
É muito comum acordar uma manhã e encontrar seu site outrora lindo encerando poético, cheio de links e textos sobre pílulas de aumento de ervas, ou outra farmácia duvidosa ou alguma causa no Oriente Médio.
Gritar incoerentemente é provavelmente o primeiro curso de ação que você tomará quando seu site estiver hospedando anúncios de página inteira, links e redirecionamentos para aspectos mais sombrios de empresas 'farmacêuticas'.
Se esse cenário o assusta, é justificável se sentir assim.
90,000 sites são hackeados todos os dias
Fonte: HostingFacts
Todo mundo quer evitar o hacking do WordPress. Porque restaurar e recuperar um site pode levar muito tempo e esforço.
Portanto, fortaleça o seu site com essas práticas recomendadas de segurança do WordPress para evitar que esse terrível destino aconteça com você! E sim, vai demorar algum tempo e esforço contínuo para evitar ataques de hackers.
Não gosta de sujar as mãos com códigos? Experimentar iThemes security e deixe-o fazer o trabalho sujo. Clique neste link para obter 25% OFF até abril de 2024.
Se você não quiser bagunçar muitos arquivos, habilitar diferentes plug-ins e muitas outras coisas que você realmente não entende, também temos a solução mais fácil para você. iThemes Security é o melhor plugin de segurança WP para proteger e proteger seu site.
Ainda não está interessado em plug-ins WP? Leia!
Faremos um trabalho de código, mas primeiro, vamos cuidar do básico sobre os problemas de segurança do site. Começando com:
17 etapas de segurança do WordPress
1. A prevenção de hackers no WordPress começa em sua estação de trabalho
Este é o primeiro e mais facilmente esquecido: seu computador.
Você deve sempre manter seu sistema livre de malware e vírus, especialmente se estiver acessando a Internet com ele (o que está acontecendo, é claro). A proteção da estação de trabalho é ainda mais essencial quando você está realizando transações e tem um site porque basta um keylogger para derrubar o mais robusto dos sites.
Um keylogger lerá todos os seus nomes de usuário e senhas e os enviará para hackers - o que, obviamente, criará uma série de questões e problemas para o seu site.
Fique seguro e atualize regularmente seu sistema operacional, software e navegadores em seu computador. Use um bom serviço antivírus. Fique atento a qualquer vulnerabilidade em seu sistema e remova-a antes que se torne uma dor enorme. Se o seu computador começar a agir estranhamente, exibindo anúncios e outras coisas duvidosas, você pode querer dar uma olhada antes de acessar o seu site
2. Instale todas as atualizações do WordPress
Cada vez que uma nova versão do WordPress é lançada, é feito com grande alarde e em meio a uma onda de empolgação.
A maioria de nós está animado, porque, ei, Novas características! Os hackers estão entusiasmados porque irão imediatamente verificar o Notas de versão de segurança e manutenção. Infelizmente, cada WordPress atualização traz consigo a descoberta de uma série de vulnerabilidades de segurança do WordPress em versões mais antigas.
Com cada nova atualização do WordPress, obtemos recursos e atualizações adicionais, juntamente com uma página que lista as falhas de segurança na versão anterior e suas correções.
Essa página é praticamente uma folha de dicas para hackers em todos os lugares. Se você não atualizar a tempo, essas falhas serão exploradas para sites de aquisição em versões mais antigas (e seu site pode estar entre elas se você não atualizar).
E se o seu site for hackeado, infelizmente, será tarde demais para encontrar desculpas para não atualizar para a versão mais recente.
Portanto, não dê aos hackers a chance de entrarem. Instale a versão mais recente do WordPress assim que for lançada.
Se você tem medo de bagunçar seu site, certifique-se de ter um backup funcionando antes de atualizar. A versão atualizada resolverá todos os problemas de segurança que existiam na versão anterior - e vai muito longe para evitar hacks do WordPress.
Quer que seu site seja atualizado automaticamente? Confira o InMotion VPS para sua hospedagem - eles têm excelentes recursos específicos do WordPress para que você possa atualizar seu site automaticamente assim que eles forem lançados. Estamos em um VPS InMotion e adoramos!
3. Certifique-se de que seu servidor de hospedagem é seguro
Você sabia que em 2019, aproximadamente 54% dos sites ainda usam PHP 5.x - uma versão do PHP que está em fim de vida e, portanto, não recebe nenhuma atualização de segurança? Isso significa que todos os sites que executam em PHP 5.4 são vulneráveis a hacks por meio de vulnerabilidades de software de servidor. (Fonte Relatório de site hackeado da Sucuri 2019)
Até mesmo o PHP versão 7.1 terminou em 1º de dezembro de 2019. Versões antigas de software como essas não são mais suportadas e apresentam vulnerabilidades que não foram corrigidas!
Essas versões antigas de software estão sujeitas a hacks.
Se você está ciente de que seu site está sendo hospedado em PHP 5 ou possivelmente em PHP até 7.1, peça ao seu host para verificar se o seu site pode ser movido para uma versão mais recente do PHP.
Não só isso, mas o a maioria dos sites / blogs são hospedados em servidores compartilhados. Basicamente, se um site em um servidor compartilhado for infectado, todos os outros sites estão em risco, respeitoless de quão seguro é o site / blog de outra forma.
Você será hackeado sem culpa sua.
Exercício de reflexão: Você já entrou em uma cozinha de sopa? Você pode imaginar um e imaginar o que acontece lá? Se você for um daqueles sortudos o suficiente para escapar dessa farsa, vou lhe dar uma prova (trocadilho intencional). Pense em tudo o que já aconteceu desde que a cozinha passou a existir, derramamentos e quebras, vazamentos e respingos. Em um servidor de cozinha para sopa, essas coisas nunca acabam. Eles se tornam parte da cozinha.
Agora imagine o mesmo acontecendo com seu site. Um servidor de hospedagem de uma empresa que pula a manutenção e não atualiza para as versões mais recentes do software já se transformou em um refeitório.
Além disso, se você ou o seu webmaster hospedam vários sites juntos, arquivos, dados, sites e muito mais se acumulam até se tornarem uma ameaça aos sites atuais.
Portanto, escolha um confiável e seguro hospedeiro.
VPS e hospedagem gerenciada minimizam as chances de violações e são excelentes para sites de comércio eletrônico. Se a hospedagem compartilhada for suficiente para você, verifique a segurança antes de se inscrever para obter espaço neles.
Certifique-se de verificar se eles mantêm seus servidores mantidos regularmente e também atualizam para as versões mais recentes do software. Esta é outra etapa que deve estar em sua lista de prioridades se você quiser evitar o hacking do WordPress.
4. Use transmissões seguras para evitar a interceptação de senha e dados
Em uma conexão não segura, os dados podem ser interceptados e você pode ser hackeado antes de ser capaz de dizer “não criptografado”.
É por isso que você deve se concentrar em criptografias e conexões de rede seguras: lado do servidor, lado do cliente e todos os lados. Encontre um host que permita a criptografia SFTP / SSH para proteger seus dados e informações de interceptações maliciosas.
Seu site também deve ter um certificado seguro instalado e configurado para que, quando você estiver fazendo login, suas credenciais sejam transmitidas com segurança.
5. Evite invasões por meio de senhas complexas
Dica essencial: crie uma senha forte e NUNCA reutilize as senhas
Nossa próxima etapa sobre como proteger o WordPress de hackers fala sobre um tópico muito clichê: senhas.
Um número surpreendente de pessoas pensa que senhas longas e complicadas são superestimadas e preferem algo mais curto e fácil de lembrar; um fato que os hackers conhecem e tiram vantagem de.
Não há outra maneira de colocar isso: uma boa senha forte composta de letras, números e quaisquer outros caracteres válidos irá realmente percorrer um longo caminho para proteger o seu blog.
Um ataque de hack de força bruta pode funcionar em uma senha curta usando uma palavra simples (por exemplo, uma palavra-chave de dicionário ou uma senha comum fácil), sim. Porém, quanto mais caracteres houver em sua senha, mais tempo levará para decifrá-la.
Demora exponencialmente mais para quebrar senhas longas e complexas.
O que você está tentando fazer é quebrar os padrões conhecidos para tornar o hacking difícil, senão impossível.
Quaisquer detalhes pessoais ou senhas com base neles (como aniversários ou nomes de pessoas), serão fáceis de decifrar. Não use palavras isoladas (considereless de comprimento), senhas apenas com letras ou apenas com números.
Crie uma senha que seja fácil de lembrar, mas difícil de adivinhar para evitar hacking no WordPress - se o seu blog é sobre segurança, crie algo como pressmyWORDSand5ecurit! $
6. Mantenha seus bancos de dados seguros e isolados
Seu banco de dados sabe tudo o que já aconteceu em seu site. É uma verdadeira fonte de informação e isso o torna irresistível para os hackers.
Códigos automatizados para injeções de SQL podem ser executados para invadir o banco de dados do seu site com relativa facilidade. Se você estiver executando vários sites / blogs de um único servidor (e banco de dados), todos os seus sites estão em risco.
Como diz o recurso de código, é melhor usar bancos de dados individuais para cada blog / site e permitir que sejam gerenciados por usuários separados. Em termos simples, cada site que você hospeda deve ter seu próprio banco de dados e seu próprio usuário de banco de dados.
Apenas esse usuário do banco de dados deve ter acesso ao banco de dados.
Você também pode revogar todos os privilégios do banco de dados, exceto dados lidos e gravação de dados de usuários que trabalharão apenas com postagem / upload de dados e instalação de plug-ins.
Não é recomendado, porém, devido a mudança de esquema privilégios exigidos nas principais atualizações.
Você também deve renomear seu banco de dados (alterando seu prefixo) para direcionar erroneamente os hackers que estão direcionando seus ataques a ele. Embora isso não impeça o hacking do WordPress em si, garante que, se algum banco de dados for comprometido, os hackers não poderão pular para a próxima instalação do WordPress.
7. Oculte o login e o nome de administrador do seu site
O próximo passo sobre como proteger o WordPress de hackers diz respeito ao Admin do WordPress.
Deixar os padrões do WordPress intactos é praticamente pergunta para problemas.
É ridiculamente simples encontrar o nome de administrador do seu site se você não o ocultar ativamente.
Tudo que um hacker precisa é adicionar ? autor = 1 depois do seu URL e a pessoa / membro que aparece é provavelmente o administrador. Imagine como seria fácil para os hackers usarem força bruta depois de encontrarem o nome de usuário do administrador.
Como você pode evitar o hackeamento se está deixando tantas informações disponíveis para facilitar a exploração?
Solução para deter os hacks do WordPress: Oculte todos os nomes de usuário com este código no arquivo functions.php:
add_action ('template_redirect', 'bwp_template_redirect');
função bwp_template_redirect ()
{
if (is_author ())
{
wp_redirect (home_url ()); saída;
}
}
Sua página de login também é de fácil acesso, e não apenas para você. Se você simplesmente adicionar wp-admin ou wp-login.php após a URL da sua página inicial, preencha o nome de usuário que aprendemos com? Author = 1, tudo o que resta é um pouco de força bruta ou adivinhação até que uma senha seja quebrada.
Use a técnica de 'segurança por obscuridade' e mude o URL da sua página de login para tornar o trabalho dos hackers um pouco mais difícil.
Plugins de segurança como iThemes Security tenha uma configuração Ocultar login que removerá o acesso fácil ao login do WordPress.
Mais uma vez, seguir este passo simples irá percorrer um longo caminho na prevenção de hacking do WordPress.
Não tem certeza se você pode lidar com tudo isso?
Precisa de alguma ajuda? Dê uma olhada em iThemes Security Pro - um plugin e seu site é seguro. Garantido. Clique nos links abaixo para visitar o site.
8. Evite invasões por meio de plug-ins de segurança do WordPress e truques para proteger wp-admin
Seu wp-admin é a parte mais importante da instalação do WordPress - aquela com mais "poder".
Infelizmente, a página de login e o diretório de administração estão disponíveis para todos: incluindo aqueles com intenções maliciosas. Para protegê-lo e interromper os ataques de hackers, você precisará trabalhar um pouco mais.
iThemes Security
Uma senha forte, uma conta de administrador diferente (com um nome de usuário que é tudo menos 'admin'), e usando o iThemes Security plugin para renomear seus links de login definitivamente ajudará a prevenir hacking.
Dê uma olhada na iThemes Security
Malcare
Você também pode fortalecer a proteção ao redor do administrador com plug-ins de segurança de sites como o Malcare.
Este serviço classificado como 5 estrelas foi descoberto recentemente.
Malcare é desenvolvido pela equipe por trás Blogvault, que já usamos e achamos incrível.
Sua oferta mais recente oferece um serviço de gerenciamento de site e segurança completo. Ele oferece recursos como verificação de arquivos para alterações essenciais (para detectar hacks), limpeza de emergência, um firewall embutido para impedir o tráfego malicioso, atualização de temas e plug-ins diretamente de seu painel e backups com um clique.
O melhor de tudo isso é que você pode gerenciar TODOS os seus sites a partir de um único painel, sem ter que fazer login em cada um deles individualmente.
Limit Login Attempts Reloaded
Com um pouco de código associado a tentativas de login ilimitadas, qualquer hacker acabará por invadir.
Você pode restringir a quantidade de tentativas de login que qualquer usuário tem permissão para realizar na página de login do administrador usando Limit Login Attempts Plugin recarregado. Isso limitará o número de tentativas de login para cada endereço IP, incluindo o seu próprio (com cookies de autenticação).
Really Simple SSL
Use o poder do SSL privado para proteger o login do administrador, a área, as postagens e muito mais. Usando o Really Simple SSL plug-in permite a criptografia em suas sessões de login, o que significa que a senha é difícil de interceptar.
Você precisará obter um certificado SSL e instalá-lo em seu servidor de hospedagem. A InMotion oferece certificados SSL gratuitamente em seus planos de hospedagem - então, se ainda não o fez, talvez seja hora de mudar para o InMotion para obter o seu SSL também.
Depois de confirmar com seu provedor de hospedagem que possui SSL compartilhado, você pode ativar o plug-in.
Se você preferir não usar um plugin, mas deseja forçar SSL apenas no login, adicione este código ao arquivo wp-config.php:
define ('FORCE_SSL_ADMIN', verdadeiro);
WordPress seguro Acunetix
Esta plug-in é uma excelente solução de segurança em geral, mas alguns recursos importantes a tornam ainda melhor.
Em primeiro lugar, ele executa uma verificação de segurança do site. Ele também presta muita atenção às medidas preventivas para que você realmente impeça que o hacking do WordPress aconteça. Para proteger a área administrativa, ele removerá as informações de erro da página de login.
Isso pode não parecer muito, mas a mensagem de erro na verdade ajuda os hackers a descobrir se eles acertaram em alguma coisa. Remover a mensagem (dica) tira essa vantagem.
Se você quiser evitar hackers, configure pelo menos alguns desses plug-ins.
Dica principal: o restante do artigo apresenta dicas avançadas de segurança de sites
O resto das dicas exigem ajustes na instalação do WordPress, o que traz alguns riscos. Se você preferir não mexer em sua instalação, você pode querer contratar um desenvolvedor WordPress para ajudá-lo.
9. Como proteger o WP através do wp-includes
Vamos ver se entendi: o wp-includes pasta é uma parte central do WordPress. Deve ser deixado sozinho, mesmo por você. E de forma alguma deve ser deixado acessível a hackers em potencial.
Para evitar que pessoas / bots mal-intencionados enviem scripts indesejados diretamente para o coração do seu site para evitar ataques de hackers.
Adicione isso antes #BEGIN WordPress em seu arquivo .htaccess:
# Bloqueia os arquivos incluídos apenas.
RewriteEngine ativado
RewriteBase /
RewriteRule ^ wp-admin / includes / - [F, L]
RewriteRule! ^ Wp-includes / - [S = 3]
RewriteRule ^ wp-includes / [^ /] + \. Php $ - [F, L]
RewriteRule ^ wp-includes / js / tinymce / langs /.+ \. Php - [F, L]
RewriteRule ^ wp-includes / theme-compat / - [F, L]
# BEGIN WordPress
Observe que você terá que omita a terceira RewriteRule se você quiser que o código funcione em Multisite.
10. Proteja seu wp-config para melhorar a segurança do site
Esta é uma das questões um pouco controversas. Nem todo mundo concorda em fazer isso.
Independentemente de você mover ou não wp-config.php para fora da pasta raiz, não há como negar que um pequeno ajuste no código neste arquivo pode ajudar a fortalecer seu site e dificultar a execução de hacks do WordPress.
Não tem certeza se você pode lidar com todas essas coisas técnicas? Há uma plugin de segurança para governar todos eles.
- Começar com desativando a edição de arquivos PHP do painel, que é onde o invasor se concentrará após invadir um ponto de acesso. Adicione isso a wp-config.php
define ('DISALLOW_FILE_EDIT', verdadeiro);
- $ table_prefix é colocado antes de todas as tabelas do seu banco de dados. Você pode evitar ataques baseados em injeção de SQL alterando seu valor do padrão wp_. Tenha cuidado ao fazer isso, você precisará renomear qualquer tabela existente para o novo prefixo definido.
$ table_prefix = 'r235_';
- Mover diretório wp-content de sua posição padrão com este
define ('WP_CONTENT_DIR', $ _SERVER ['DOCUMENT_ROOT']. '/ blog / wp-content');
define ('WP_CONTENT_URL', 'https: // exemplo / blog / wp-content');
define ('WP_PLUGIN_DIR', $ _SERVER ['DOCUMENT_ROOT']. '/ blog / wp-content / plugins');
define ('WP_PLUGIN_URL', 'https: // exemplo / blog / wp-content / plugins');
Agora, se você não é um revelador, você não usa muito os logs de erros. Você pode impedir que eles sejam acessíveis com isto:
relatório_erro = 4339
display_errors = Desligado
display_startup_errors = Desativado
log_errors = Ativado
error_log = /home/example.com/logs/php_error.log
log_errors_max_len = 1024
ignore_repeated_errors = Ativado
ignore_repeated_source = Desativado
html_errors = Desativado
11. Faça backup do seu site (por precaução)
Esta é a rede de segurança. Um backup é uma das primeiras coisas de que você precisa para restaurar seu site se for invadido.
Faça backup do seu site pelo menos com a mesma frequência com que você executa a manutenção ou atualiza-o. Não há desculpa para ser negligente neste departamento, não quando existem alguns serviços e plug-ins de backup excelentes que executam backups automatizados para você. Algumas sugestões de plug-ins incluem:
- VaultPress,
- UpdraftPlus,
- WP-DB-Backup,
- Amigo de backup,
- etc.
Leitura recomendada: Native vs plugin - backup do WordPress usando métodos diferentes
Crie uma programação e deixe o plug-in fazer o resto.
Alguns desses plug-ins vêm com opções fáceis de restauração. Verifique se o plug-in está fazendo backup de todo o site, incluindo todos os bancos de dados e diretórios. Embora isso não impeça os hacks do WordPress, dá a você tranquilidade para restaurar seu site se o impensável acontecer.
12. Use fontes confiáveis apenas para downloads
Se você está executando um orçamento apertado (e mesmo se não estiver), pode ficar tentado pela opção de obter todos os recursos e funcionalidades de plug-ins / temas premium gratuitamente: plug-ins pirateados ou crackeados.
Você não pode enganar um hacker se estiver baixando material premium de fontes de má reputação ou não autorizadas - eles voltarão para mordê-lo. Eles têm má reputação porque encherão esses plug-ins / temas 'premium' legítimos com malware e deixarão você fazer o resto.
Plug-ins ou temas quebrados conterão backdoors ocultos, que permitem que eles assumam o controle do seu site à vontade. Usar esse download será tudo de que eles precisam para converter a aparência online da sua marca em um pôster gigante de pílulas de aumento - ou, pior ainda, malware.
Seu site entrará rapidamente na lista negra, mesmo de mecanismos de pesquisa e navegadores, se contiver malware.
Esta é uma tática conhecida e muito popular dos hackers.
Temas e plug-ins pirateados são repletos de backdoors e malware. Este é um dos problemas de segurança do WordPress mais fáceis de resolver. É melhor escolher um tema confiável de uma fonte confiável, como o que analisamos aqui: Avada tema
Coisas pirateadas, anuladas ou quebradas? Não se preocupe.
Você é bom com os diretórios de temas e plug-ins oficiais, então tente mantê-los. Você também pode confiar em fontes como ElegantThemes, Theme Forest, Code Canyon, etc.
13. Proteja seu site parecendo um profissional
Um novato é mais fácil de hackear.
Pelo menos, é o que a maioria dos hackers pensa (não incorretamente).
Altere todos os padrões: postagens, comentários, nomes de usuário, nomes de diretório, etc.
É mais fácil quando você está configurando.
Se você já tem o WordPress instalado e funcionando, vá para Configurações> Diversos (nos controles de administrador) para alterar os nomes dos diretórios. Este será mais um passo em sua direção para interromper os problemas de segurança do WordPress e tornar a invasão do seu site muito mais difícil.
Para ocultar qual versão do WordPress você está usando, lembre-se de excluir arquivo /wp-admin/install.php e wp-admin / upgrade.php. Dê um passo adiante e remova meta tag geradora (“”) de wp-content / your_theme_name / header.php. Você também deveria remover detalhes da versão do feed RSS.
Para fazer isso, abra wp-includes / general-template.php. Por volta da linha 1860 você encontrará isto:
function the_generator ($ args) {
echo apply_filters ('the_generator', get_ the_generator ($ args), $ args). "\ n";
}
Adicione um hash antes 'eco' comando e você está classificado.
function the_generator ($ args) {
#echo apply_filters ('the_generator', get_ the_generator ($ args), $ type). "\ n";
}
14. Uma boa segurança do WordPress requer boas permissões de arquivo
A regra é 755 para diretórios e 644 para arquivos.
Embora isso possa variar dependendo do servidor e do tipo de arquivo em questão - na maioria dos casos, você deve trabalhar muito bem com essas permissões.
Seria melhor pedir ao seu anfitrião para verificar ou, se você tiver acesso direto, pode fazer isso sozinho.
Para diretórios:
encontre / caminho / para / seu / wordpress / install / -tipo d -exec chmod 755 {} \;
Para arquivos:
encontre / caminho / para / seu / wordpress / install / -tipo f -exec chmod 644 {} \;
15. Segurança do site: Nunca defina as permissões de arquivo para 777
Se você quer realmente impedir os hackers do WordPress - NUNCA defina a permissão de arquivo / diretório para 777 unless você deseja dar controle total sobre ele a todos, incluindo hackers.
Existe uma tendência muito perigosa entre os iniciantes em definir as permissões de arquivo para 777, "porque é fácil", ou "porque vamos consertar mais tarde", ou "porque vou mudar isso mais tarde".
Isto é extremamente perigoso - 777 significa que qualquer pessoa na Internet pode alterar o conteúdo desse arquivo.
Com essas permissões definidas, seu site é uma casa aberta. Assim que eles tiverem acesso a um arquivo, fique tranquilo, pois é muito fácil pular para outros arquivos ou instalar backdoors e outras coisas desagradáveis em seu site.
A O codex do WordPress tem um guia completo para permissões de arquivo: como alterá-los e as permissões recomendadas para alguns arquivos.
Você precisa equilibrar a proteção do seu site com a funcionalidade, portanto, comece com o mínimo e aumente as permissões gradualmente até acertar. As permissões de arquivo corretas certamente ajudarão a evitar invasões de sites. Novamente, este é um dos problemas de segurança do WordPress mais fáceis de prevenir, você só precisa estar ciente disso.
16. Permita o acesso ao administrador do WP e faça login no seu IP apenas por meio da filtragem de IP
Uma maneira muito simples e elegante de restringir o acesso à página de login e à área de administração é por meio da filtragem de IP.
Tudo que você precisa fazer é adicionar este código a .htaccess. Esta sugestão vem graças a Sucuri, que fornece um excelente serviço de segurança WordPress
Negar pedido, permitir
Negar de todos
Permitir de [Adicione o (s) seu (s) endereço (s) IP aqui]
Agora isso funciona apenas para IPs estáticos, mas você pode fazer o mesmo para IPs dinâmicos com isso:
Negar pedido, permitir
Negar de todos
Permitir de [Adicione o seu nome de domínio aqui]
Para restringir o acesso a diretório wp-admin, adicione isso a .htaccess:
Negar pedido, permitir
Negar de todos
Permitir de [Adicione o (s) seu (s) endereço (s) IP aqui]
Por nome de domínio:
Negar pedido, permitir
Negar de todos
Permitir de [Adicione o seu nome de domínio aqui]
Fonte: blog.Sucuri.net
17. Plug-ins de segurança para bloquear hacks do WordPress
Embora não tenhamos a tendência de defender o uso de muitos plug-ins, quando se trata de Plug-ins de segurança do WordPress, existem alguns que você realmente deseja instalar para aumentar a resiliência do seu site.
- iThemes Security Pro - Ouça, muitas das ações acima são um pouco técnicas, sem dúvida. Nós entendemos isso. Se você não tem inclinação técnica, nós temos a solução para você. iThemes Security é o melhor plugin de segurança do WordPress para proteger e proteger seu site.
-
Instale Plug-in WP Security Audit Log - este é o plug-in de log de atividades do WordPress mais abrangente. O plug-in mantém um registro de tudo o que acontece no seu site WordPress em um log de auditoria (também conhecido como log de atividades do WordPress) para manter os hackers afastados. Isso ocorre porque você pode identificar suas tentativas de ataque antes que eles realmente invadam seu site WordPress, tendo assim tempo para impedir suas ações maliciosas.
Google Authenticator e Autenticação de dois fatores Duo são ótimas opções para adicionar uma camada extra de proteção à sua página de login. Um código de autorização será enviado ao seu e-mail / celular, sem o qual o usuário / hacker não conseguirá fazer o login.
Existe algo melhor do que um bom churrasco? Este plugin irá bloquear strings de URI contendo eval (base 64 e outras strings de solicitação suspeitas.
Verifique se há malware e backdoors ocultos no seu tema com este plug-in, antes que alguém explore esses pontos fracos em um site / blog que, de outra forma, seria seguro.
- Plugins de antivírus
Este é um acéfalo. Realize verificações frequentes do local e elimine-as antes que ocorram. Plugins / serviços como Sucuri, Wordfence, etc. O Acunetix Secure WordPress mencionado anteriormente é outro bom. Explorar Scanner irá verificar o seu site de dentro para fora em busca de código malicioso também.
Se você estiver interessado, escrevemos uma ótima comparação sobre Sucuri x Wordfence que compara esses dois meninos grandes cara a cara.
A lista de verificação essencial para a segurança completa do site - versão do YouTube
Graças a Webucator, um provedor de Treinamento WordPress, criamos esta lista de verificação como um vídeo.
Nossa próxima parte deste artigo trata de consertar um hack de segurança do WordPress, assim que acontecer.
Site hackeado? 7 etapas para restaurar totalmente o seu site
A Sucuri lança um relatório de tendências de hackeamento de site para cada trimestre. Em seus último relatório, eles revelaram que vários lançamentos do WordPress alimentaram 94% dos sites hackeados em 2019
Sites WordPress hackeados continuam sendo um problema real. Sendo a plataforma mais popular para a criação de sites, a possibilidade de ser hackeado é significativamente maior para sites WordPress.
Isso não é surpreendente, já que o WordPress é de longe a maior plataforma para criar novos sites. Enquanto o WordPress continuar popular, os hackers continuarão achando lucrativo procurar vulnerabilidades em sites WordPress. É um jogo de números, na verdade.
E não importa quais medidas preventivas você tome; é impossível garantir a segurança perfeita para qualquer site. O que você pode fazer é tornar mais difícil hackear para que aqueles que procuram frutas ao alcance da mão não se incomodem ou não consigam hackear.
Neste tutorial, vamos apresentar a você 7 etapas que você deve seguir para consertar um site hackeado do WordPress.
Antes de iniciarmos o procedimento, vamos descobrir o que causa o problema em primeiro lugar. Em geral, existem dois tipos de vulnerabilidades:
- Vulnerabilidades comuns e
- Vulnerabilidades de segurança.
Vamos dar uma olhada em cada tipo. Ambos os tipos podem ser explorados por hackers.
Antes de começar - restaurar um site hackeado não é algo que pode ser feito por pessoas sem conhecimento suficiente. É altamente recomendável pedir ajuda a Desenvolvedores do WordPress que são altamente qualificados antes de tentar fazer isso, se você não se sentir confortável em mexer por aí.
Vulnerabilidades comuns que resultam em sites WordPress hackeados
As vulnerabilidades comuns podem vir de sua máquina local ou do provedor de hospedagem. A maioria de nós provavelmente está familiarizada com esses tipos de problemas.
Esses problemas podem acontecer se o seu PC ou rede local estiver comprometido. Quando os hackers obtêm acesso ao seu PC ou à rede, eles podem facilmente atingir um site que você possui - com o resultado um site WordPress comprometido ou hackeado.
Você pode evitar essas situações usando ferramentas de varredura antivírus e antimalware confiáveis. Você precisa aplicar o bom senso ao usar a Internet. Comodo e Malwarebytes tem algumas dicas úteis para manter seu PC protegido de hackers. A maioria deles são de bom senso se você pensar sobre eles, tais como manter o software atualizado para sua área de trabalho e periféricos como seu roteador de internet.
O segundo tipo de vulnerabilidade pode surgir do seu provedor de hospedagem, especialmente se você estiver usando um pacote de hospedagem compartilhada. Como você deve saber, um pacote de hospedagem compartilhada compartilha o servidor entre vários usuários.
Se algum desses usuários não seguir as práticas recomendadas, todo o servidor estará seriamente ameaçado. Obviamente, em um cenário de hospedagem compartilhada, é altamente improvável que todos os usuários usem boas práticas de segurança, portanto, pacotes de hospedagem compartilhada são, por definição, arriscados.
Em alguns casos, um site em um pacote de hospedagem compartilhada fica comprometido e permite que o hacker se mova lateralmente ou salte para outros sites no mesmo servidor. Nesse caso, você precisa consultar seu provedor de hospedagem, e ele tomará as providências necessárias.
Isso significa que, mesmo que seu site esteja totalmente atualizado e protegido, você ainda pode acabar com um site hackeado do WordPress.
A propósito, se você está procurando um provedor de hospedagem muito seguro, deve considerar seriamente a leitura de nosso Revisão de hospedagem do InMotion - sentimo-nos muito bem protegidos neste serviço.
Agora que identificamos as vulnerabilidades comuns, vamos dar uma olhada nos aspectos de segurança.
Hackeado por vulnerabilidades
Existem vários tipos de vulnerabilidades de segurança para WordPress. Vamos falar sobre os que são mais comuns:
Combinações fracas de nome de usuário / senha
Não deveríamos ter que falar sobre a importância de usar uma senha segura. Desde a versão 3.0, o próprio WordPress colocou mais foco em forçar os usuários a usar uma senha forte, por exemplo, há um recurso de detecção de força de senha embutido no painel de administração.
A regra é que você nunca deve usar qualquer nome de usuário previsível (como admin) e sempre use senhas fortes. Isso dificultará o acesso de hackers ao seu site.
Bugs e vulnerabilidades de tema / plugin
Embora seja uma prática recomendada usar temas e plug-ins familiares, às vezes produtos populares podem ter um falha de segurança escondida também. Se isso acontecer, você provavelmente ouvirá sobre isso em blogs populares de notícias de TI e outras fontes de informações de segurança do WordPress.
No entanto, você provavelmente estará mais seguro se certificar-se de que está usando apenas temas ou plug-ins confiáveis - porque poderá atualizar rapidamente para uma versão corrigida. Verifique os comentários, classificação, número de downloads, etc. para analisar a confiabilidade.
E nunca nunca use temas ou plug-ins pirateados ou anulados. É sabido que a maioria deles contém códigos nocivos, que criam uma porta dos fundos em seu site. Esta é literalmente uma forma de ter total comando remoto do seu site.
Na realidade, se você estiver usando um tema ou plugin crackeado, pirateado ou anulado, seu site JÁ foi hackeado. Você estará usando um site que de repente começará a fazer coisas estranhas, como exibir links duvidosos, distribuir malware ou até mesmo fazer parte de ataques DDoS.
O que você acha que é de graça vai custar muito mais do que você espera.
Não atualizando o núcleo do WP, temas ou plug-ins
Usar uma versão desatualizada do núcleo, temas ou plug-ins do WordPress é outro motivo importante para violações que resultarão em sites hackeados. A maioria das atualizações inclui código que corrige a segurança e o desempenho do seu site. Portanto, é necessário que você atualize seu site, temas e plug-ins assim que estiverem disponíveis. Certifique-se de fazer um backup completo do site antes de atualizar.
O que fazer quando seu WordPress é hackeado?
Mesmo que você tenha tomado medidas para atenuar os riscos, ainda pode ter sido vítima de hacking do WordPress.
Não entre em pânico e siga as etapas descritas abaixo.
1. Identifique o tipo de hack
A solução para recuperar seu site depende do tipo de hack do WordPress. Isso significa que a primeira etapa é definir o tipo.
Aqui estão as perguntas que você deve fazer para fazer isso:
- Você pode acessar a seção de administração?
- O seu site está sendo redirecionado para outro site?
- Existe algum link desconhecido em seu site?
- O Google está alertando os visitantes sobre o seu site?
- O seu provedor de hospedagem informou que seu site parece suspeito?
- Seu site está exibindo anúncios desconhecidos no cabeçalho, rodapé ou em outras seções?
- Existem pop-ups indesejados exibidos?
- Existe um pico inesperado no uso da largura de banda?
Passe pelas perguntas uma por uma e tente descobrir as respostas para cada uma delas. Isso ajudará você a encontrar o melhor curso de opções para recuperar o controle do seu site WordPress hackeado.
2. Tente restaurar do backup
Se você seguir as práticas recomendadas, deverá fazer backups diários, semanais ou mensais do seu site. A frequência do backup depende da frequência com que você publica ou faz alterações no seu site.
Quando você faz backups regulares, recuperar seu site WordPress hackeado é tão fácil quanto restaurar o backup mais recente. Se você configurou um agendamento de backup automático, descubra o último backup antes de seu site ser hackeado e restaure essa versão.
Em seguida, certifique-se de atualizar todos os plug-ins, temas ou qualquer coisa que não tenha sido atualizada.
E se você não fez backups do seu site? Isso significa que você perdeu seu site para sempre?
Na verdade não.
Existem outras opções também. A maioria dos serviços de hospedagem de renome mantém backups regulares dos sites de seus clientes. Pergunte ao seu provedor de hospedagem se eles mantêm um backup. Em caso afirmativo, você pode solicitar que restaurem seu site a partir do último backup estável.
Se não houver backup, você terá que passar por um procedimento de limpeza do seu site WordPress hackeado, que mostramos a seguir.
3. Procure a ajuda de seu provedor de hospedagem
Mais de 40% dos sites hackeados tinham alguma vulnerabilidade de segurança na plataforma de hospedagem. Portanto, quando você tiver seu WordPress hackeado, pedir ao seu provedor de hospedagem para ajudá-lo a recuperar o seu site pode ser uma boa ideia.
Qualquer empresa confiável de hospedagem na web deve estar disposta a ajudá-lo nesses casos. Eles empregam profissionais que lidam com essas situações todos os dias. Eles estão muito familiarizados com o ambiente de hospedagem e têm acesso a ferramentas avançadas de varredura de sites.
Portanto, eles serão capazes de ajudá-lo a recuperar os ataques de hackers mais comuns em sites. Se o hack se originou do servidor, sua empresa de hospedagem poderia ajudá-lo a recuperar o site.
4. Procure por malware
Em muitos casos, os hackers obtêm acesso ao seu site usando backdoors. Backdoors criam pontos de entrada não autorizados para o seu site. Ao usar backdoors, os hackers podem acessar seu site sem exigir nenhuma informação de login e permanecer virtualmente sem serem detectados.
Aqui estão alguns locais comuns de backdoors que você precisa verificar se seu site foi hackeado -
- Temas: A maioria dos hackers prefere colocar a porta dos fundos em um de seus temas inativos. Ao fazer isso, eles ainda terão acesso ao seu site, mesmo que você o mantenha atualizado regularmente. É por isso que é crucial excluir todos os seus temas inativos.
- Plugins: A pasta de plug-ins é outro local potencial para ocultar o código malicioso. Há várias razões para isso. Em primeiro lugar, a maioria das pessoas nunca pensa em verificar os arquivos de plug-in. Eles também preferem não atualizar os plug-ins enquanto estiverem funcionando. Além do mais, existem alguns plug-ins mal codificados que podem ser explorados para obter acesso não autorizado a qualquer site WP.
- Pasta de uploads: Na maioria dos cenários, você nunca precisa se preocupar em verificar a pasta de uploads, pois essa pasta contém apenas os arquivos que você carregou. No entanto, alguns hackers preferem essa pasta porque podem ocultar facilmente o arquivo malicioso entre centenas ou milhares de arquivos espalhados em pastas diferentes. Como a pasta pode ser gravada, ela também atende a sua finalidade.
- Inclui pasta: Esta é outra pasta frequentemente ignorada pela maioria dos usuários. Como resultado, os hackers colocam a porta dos fundos nesta pasta e obtêm acesso completo ao seu site.
- Arquivo wp-config.php: É muito comum encontrar código malicioso escondido neste arquivo. No entanto, como o arquivo é muito conhecido, hackers sofisticados evitam usá-lo.
Não gosta de sujar as mãos com scripts maliciosos? Tentar iThemes security e deixe-o fazer o trabalho sujo.
A única maneira de se livrar da porta dos fundos é remover o código malicioso do site. Existem vários plug-ins que permitem que você verifique se há código malicioso em seu site.
Entre eles, os seguintes plug-ins premium são ótimas opções: iThemes Security, Sucuri de Segurança, WPMUD Defender são ótimas opções.
As opções a seguir também são boas opções, mas esteja ciente de que ambas não foram atualizadas por mais de 3 anos a partir da atualização deste artigo. Isso significa que eles podem não ser tão confiáveis como costumavam ser: Explorar Scanner e Verificador de autenticidade do tema.
Você pode usar esses plug-ins gratuitos para detectar qualquer alteração indesejada nos temas, plug-ins e arquivos principais do seu site. No entanto, se você deseja consertar seu site com seriedade, recomendamos que opte por um dos produtos premium.
Eles serão mais atualizados e mais confiáveis em geral do que qualquer um dos produtos gratuitos.
Se os plug-ins encontrarem algum arquivo suspeito, faça um backup completo e exclua o arquivo ou veja o curso de ação sugerido pelo plug-in. Além disso, se você fizer um backup, certifique-se de observar que está fazendo um backup de um site invadido.
E se um tema ou plugin estiver comprometido, remova-o do seu site. Baixe a cópia mais recente e carregue-a no seu site.
Caso a alteração seja detectada em qualquer um dos arquivos principais, você deve baixar uma nova instalação do WordPress e realizar uma atualização manual (ou seja, substituir todos os arquivos pelos novos).
Como alternativa, baixe uma nova cópia da versão do WordPress que você está usando atualmente e substitua apenas os arquivos comprometidos.
5. Verifique os usuários do WordPress
É provável que você tenha vários usuários em seu site. Como você já sabe, eles têm recursos diferentes com base em sua função de usuário.
Às vezes, os hackers do WordPress criam um novo usuário com as permissões necessárias para que possam fazer login no seu site, mesmo que percam o backdoor.
Ou eles podem realmente usar um nome de usuário com uma senha fraca para hackear seu site.
Para evitar que isso aconteça, vá para Configurações> Usuários no painel. Revise todos os usuários e suas funções. Além disso, redefina TODAS as senhas de TODOS os usuários.
Mais importante ainda, certifique-se de que nenhuma conta não autorizada tenha a função de administrador atribuída. No caso de contas duvidosas, exclua-as imediatamente. Se eles forem usuários válidos, você sempre pode recriar as contas mais tarde.
Aqui estão mais algumas práticas recomendadas a serem seguidas:
- Nunca use o nome de usuário 'admin' em seu site. Se você já tem esse nome de usuário, mude-o o mais rápido possível. Além disso, evite usar qualquer nome de usuário comum que os hackers possam adivinhar.
- Use a autenticação de dois fatores para evitar o acesso não autorizado ao seu site.
- Integre CAPTCHA ou reCaptcha em seus formulários de login Integre CAPTCHA ou reCaptcha em seus formulários de login. Esta é uma forma eficaz de impedir que bots ou scripts automatizados acessem seu site.
6. Altere as chaves secretas
Chaves secretas são um recurso de segurança útil do WordPress.
Essas chaves contêm texto gerado aleatoriamente que ajuda a criptografar as informações salvas nos cookies. Você deve usar o procedimento abaixo para verificar se os possui em seu site. Se você não os tem, pode criá-los.
Mesmo que você já os tenha, se seu site foi hackeado, agora é um bom momento para alterá-los.
Em primeiro lugar, gere um conjunto de chaves secretas usando este link. O gerador de código aleatório criará um novo conjunto de códigos exclusivos toda vez que você atualizar a página.
Agora, vá para o seu site e abra o wp-config.php Arquivo. Siga em direção à linha 49 e você verá algo como o seguinte. O número da linha pode variar em seu arquivo, mas você precisa descobrir a seguinte seção:
Copie e cole o valor daqueles que você acabou de gerar no link acima. Salve o arquivo. Isso redefinirá todos os cookies e todos os usuários conectados, portanto, se você estiver conectado ao administrador, será solicitado que você se conecte novamente.
7. Altere TODAS as suas senhas
Esta é uma etapa comum, mas crítica na restauração de um site WordPress hackeado - redefina todas as suas senhas. As senhas comuns incluem WP admin, cPanel, MySQL, FTP, etc.
Redefina todas essas senhas junto com as senhas de qualquer serviço de terceiros que você usa no site.
Veja como alterar as senhas:
- Para alterar a senha, vá para Usuários> Seu Perfil no painel. Você encontrará o novo campo de senha na seção 'Gerenciamento de contas'.
- Para alterar as senhas do cPanel, MySQL, FTP, faça o login no painel de controle da sua conta de hospedagem e siga as opções disponíveis. Se você estiver confuso, entre em contato com o suporte de hospedagem para obter ajuda.
Ao redefinir ou alterar as senhas, certifique-se de que está usando uma senha forte. Você também deve forçar seus usuários existentes a realizar uma redefinição de senha para suas contas também.
Você pode usar o plugin Redefinição de senha de emergência para forçar uma redefinição de senha para todos os usuários.
Etapas futuras para evitar ser hackeado
Embora as etapas mencionadas acima ajudem a restaurar seu site, você deve considerar isso como um sinal de alerta. Aqui estão algumas etapas importantes que você deve realizar para garantir que seu site permaneça protegido no futuro contra qualquer outra tentativa de hack do WordPress:
Crie uma programação de backup
Como você já percebeu, fazer backups regulares do seu site é crucial. Os backups podem salvá-lo se seu site foi hackeado. Backups múltiplos são ainda melhores, porque permitem que você volte no tempo para um instantâneo do site antes que o hack ocorra.
Felizmente, você não precisa fazer isso manualmente. Existem muitos plug-ins gratuitos e premium para ajudá-lo a manter backups regulares do seu site. UpdraftPlus é um plugin de backup popular, enquanto BackupBuddy e Jetpack são algumas soluções de backup premium altamente recomendadas.
Atualizar tudo
Achamos que não precisamos enfatizar a importância de manter seu site atualizado. Você deve atualizar o núcleo do WordPress, temas ativos, plug-ins e tudo o mais que houver a possibilidade de atualizar. Ao mesmo tempo, certifique-se de excluir os temas e plug-ins não utilizados também.
Configure um plugin de segurança
Se você deseja aumentar a segurança do seu site, você deve usar um plugin de proteção como iThemes Security, Wordfence Security ou Defender. Esses plug-ins ajudam a criar um firewall para que você possa evitar tráfego malicioso, bloquear atacantes e lidar com outras ameaças. Você também pode considerar a instalação de um firewall de aplicativo da Web completo como o firewall Sucuri.
Considere uma hospedagem gerenciada
Quando você escolhe uma hospedagem gerenciada, eles cuidam da segurança, manutenção, desempenho e outras questões do seu site. Isso significa que você não terá que se preocupar com todas essas etapas. Alguns provedores de hospedagem gerenciada confiáveis incluem InMotion, WPEngine, e Kinsta.
Limit Login Attempts
Por padrão, o WordPress permite que qualquer pessoa experimente senhas ilimitadas para qualquer conta. Isso leva a ataques de força bruta e possíveis vulnerabilidades do site. Felizmente, existem alguns plug-ins gratuitos como Entrar LockDown e Segurança do Loginizer para ajudá-lo a limitar as tentativas de login.
Desativar execução de PHP
Na maioria dos casos, os hackers criam backdoors criando arquivos PHP que se parecem com arquivos principais. Você pode evitar essas ameaças desabilitando a execução do PHP nos diretórios relevantes, como a pasta de uploads e includes. Aqui está um tutorial passo a passo fazer isso.
Adicionar senha extra para administrador
Outro truque útil para manter seu site seguro é usar uma senha adicional para acessar a seção de administração. Isso é muito fácil de fazer no cPanel. Seguir Neste tutorial para adicionar a senha em seu administrador WP.
Prefere vídeo? Veja este vídeo da Sucuri
Se você tiver algum tempo para ler o vídeo a seguir, que pode ajudar a identificar sites hackeados do WordPress e como corrigi-los. Mencionamos a Sucuri algumas vezes neste artigo, este vídeo da Sucuri é uma visão completa de sites hackeados.
Palavras finais: como consertar seu site hackeado
Ser vítima de um site hackeado do WordPress é uma experiência horrível, especialmente se esta for a primeira vez. No entanto, agora que leu este artigo, você deve ter uma ideia clara sobre as etapas necessárias para ter seu site invadido de volta.
Sinta-se à vontade para marcar e compartilhar este artigo para que outras pessoas também possam saber sobre as etapas.
ponto de partida
Se você está confuso, escolha uma solução de hospedagem gerenciada e deixe outra pessoa cuidar disso por você.
Isto é apenas o começo. À medida que a web continua a evoluir, o mesmo acontecerá com os hackers e suas tentativas de se infiltrar no seu site e expulsá-lo. Fique um passo à frente aprendendo mais sobre o seu CMS amigável e acompanhando as atualizações e se mantendo no topo da segurança do WordPress - isso com certeza irá garantir que você evite hackers em sites.
Fique seguro.
Precisa de ajuda para limpar seu site? Experimente esses shows acessíveis com melhor classificação no Fiverr!
Clique aqui para encontrar especialistas em Segurança do WordPress.
Clique aqui para criar um site WordPress completo.
. deixe um útil comente com suas ideias, depois compartilhe com seu (s) grupo (s) do Facebook, que considerariam isso útil e vamos colher os benefícios juntos. Obrigado por compartilhar e ser legal!
Divulgação: Esta página pode conter links para sites externos de produtos que amamos e recomendamos de todo o coração. Se você comprar produtos que sugerimos, podemos receber uma taxa de referência. Essas taxas não influenciam nossas recomendações e não aceitamos pagamentos por análises positivas.
e muitos mais ...