Wordpress Wordpress

Seu WordPress pode estar sendo hackeado se você não estiver alerta

8 de de março 2017 por

Enquanto o mundo on-line oferece mais oportunidades do que qualquer um poderia ter imaginado, e apesar de que isso se tornou uma tendência do início a meados dos anos 90, com a oportunidade veio também o risco. Embora seja bom criar um site e não ter que se preocupar com isso, mas a verdade é que hoje existem mais ameaças de segurança do que nunca. Apesar de um lindo site começar com um excelente tema num excelente provedor de conteúdo na web como é o caso do WordPress, você ainda precisa tomar as devidas precauções para proteger o mesmo do ataque de hackers.

A boa notícia é que a segurança não tem que ser difícil. Entender algumas coisas básicas sobre ameaças on-line e como elas funcionam tornará mais fácil tomar as medidas necessárias para garantir que seus sites do WordPress permaneçam seguros.

Leia e siga estas etapas para proteger seus sites em Wordpress

Escolha nomes de usuários exclusivos

Muitos usuários se concentram em senhas (e mesmo assim as definem erroneamente), mas é importante lembrar que fazer login no WordPress é um processo de duas etapas. Existe a senha, mas também o nome de usuário. O mesmo nome de usuário em todas as contas não é apenas uma jogada inteligente. Os nomes de usuários são freqüentemente fáceis de adivinhar. Se o nome de um site é “Big John’s Blog” é incrível como muitas vezes o nome de usuário é Big John.  Não faça isso!

Usar um endereço de e-mail pouco conhecido é um pouco melhor. No entanto, o melhor método é escolher um nome de usuário exclusivo que siga muitas das mesmas regras que são promovidas para senhas. Não o faça parte de seu nome real ou perfil do blog. Escolha uma palavra ou combinação de palavras que inclua números e um símbolo. Se você é historiador, um nome como “Washington1776!” É fácil de lembrar, não vai ser adivinhado, e vai ser difícil de hackear.

Um apelido antigo, um número que não é o ano em que você nasceu (mas talvez um número que seja fácil de lembrar) e um ponto de exclamação simples podem resultar num bom nome de usuário.

Prevenir Hacking com Senhas Extra Fortes

As senhas são uma parte importante de qualquer medida de segurança, e existem algumas regras básicas que são freqüentemente mencionadas como sendo boas para a segurança. Uma lista básica pode ser:

  • Ter uma letra maiúscula (ou várias)
  • Tenha números
  • Tenha um símbolo adicional (*, &,!, Etc.)
  • Não use seu nome ou data de nascimento como parte da senha
  • Nunca use seqüências de números consecutivos (1234567) como parte de uma senha
  • Não use nenhuma das senhas mais comuns (Jessica, convidado, senha, qwerty, etc.)

Estas são todas boas dicas, mas há uma que muitas vezes é esquecida: fazer a senha o mais longa possível e ainda ser capaz de lembrá-la. A maioria das invasões de hackers acontece através de máquinas que tentam automaticamente uma combinação após outra, o que significa que cada caracter extra em uma senha torna ainda mais difícil para um computador adivinhar em um nível quase exponencial.

Dessa forma, encadeando um grupo das palavras como “Ilovepinkfloyddarksideofthemoon” é uma senha incrivelmente poderosa.  Capitalize corretamente, adicione um número de sorte e ponto de exclamação, e isso poderá tornar sua senha quase impossível para uma máquina adivinha-la.

Existe uma charge popular online da XKCD, que explica como a segurança por senha funciona extremamente bem. Senhas muito longas podem levar a tornar o seu site WordPress imune à maioria dos ataques de hackers.

Proteja sua hospedagem também com senhas longas

Há mais de uma maneira de invadir um site. Enquanto isso não está diretamente relacionado ao WordPress, você sempre precisa se certificar de que sua conta de hospedagem é tão segura quanto o seu login de entrada no WP (o Brasileirinho está hospedado num excelente provedor de hospedagem (The Rebel Idea) referido nesse artigo publicado anteriormente ). Se você não tomar essas precauções, um hacker talentoso poderá acessar sua hospedagem e adicionar arquivos maliciosos à cada um dos seus sites que estiver hospedado na sua conta.

Creio que nem é preciso mencionar mas não use a mesma senha para a sua hospedagem e seu login no WordPress.

Senhas no WordPress

Use plugins de segurança inteligentes

Existem tipos específicos de plugins do WordPress que podem ajudar a proteger seu site de muitos perigos on-line. Uma das primeiras coisas a procurar é um plugin de tentativas de login limitado. Quando alguém tenta várias vezes fazer login sem êxito é automaticamente bloqueado.  Repetidas tentativas de hacking resultam naqueles endereços IP que ficam proibidos de acessar seu site do WordPress, tornando ainda mais difícil para um hacker forçar sua entrada, especialmente se você tiver boas práticas de senha.  Eu uso e estou bem satisfeita com o  WordFence.

Você também deve dar uma olhada em como plugins anti-malware estão recebendo atenção positiva de especialistas em WordPress. Malware pode ser mais difícil de prevenir do que um hacking definitivo, e há muitas maneiras para que esse tipo de código ruim force sua entrada num site. Encontrar bons plugins anti-malware é um bom primeiro passo, uma vez que isso muitas vezes não só ajuda a bloquear malware em potencial, mas muitos também fazem a varredura para procurar o código que conseguiu escapar.

Se você não sabe por onde começar, a Sucuri Security é um plug-in WordPress gratuito bem pensado que ajuda a cuidar de muitos desses problemas de segurança e é atualizado com freqüência para manter-se atualizado na defesa contra algumas das piores novas ameaças que estão aparecendo.  Outra vantagem de um plugin como Sucuri é que é extremamente fácil de adicionar a um site WordPress – basta seguir as instruções que dão para ativá-lo e com isso proteger o seu site.

Faça backup de seus arquivos

Back-upIsso não apenas deve ser uma grande prioridade, mas você deve certificar-se de ter backups duplos para o  caso de um cenário pior acontecer.  Isso é duplamente importante para os blogueiros que estão sempre adicionando novos conteúdos ou pretendem continuar aumentando um site. Há várias opções diferentes para fazer backup de seus arquivos, e você deve escolher pelo menos duas.

Uma opção bem simples é instalar um plugin WP que faça esse trabalho. Muitos desses plug-ins, tais como o BackUpWordPress, têm versões gratuitas e pagas que oferecem diferentes níveis de serviço, mas permitem que você faça backups que podem ser salvos no seu computador ou na nuvem. Se você fizer uma cópia para o seu próprio computador, o que é uma boa idéia, considere fazer outra cópia também para um HD externo assim  você terá um apoio extra em separado.

Aprender a usar o FileZilla é outra maneira comum de fazer isso. O FileZilla, em particular, é popular porque é considerado um dos clientes de arquivos FTP mais fáceis para iniciantes usarem. Existem inúmeros sites e vídeos no YouTube que ajudam novos usuários no passo a passo sobre como conectá-los com os arquivos de hospedagem de um site e, em seguida, como copiá-los. Isso permite que você faça seu próprio backup dos arquivos do site no formato .zip os quais você pode armazenar em seu e-mail, no Dropbox ou em seu computador.

Finalmente, existem opções pagas oferecidas pela maioria das empresas que também oferecem hospedagem. Estes podem variar de razoáveis a muito caros, mas ajudam a certificar-se de que há freqüentemente um backup do seu site disponível ou sendo feito.

Os backups permitem a restauração rápida e total de um site após a remoção de código incorreto, a movimentação de hospedagem ou mesmo a troca de empresas de hospedagem completamente se uma conta de hospedagem se tornar muito corrompida.

Mantenha tudo atualizado

Isso é absolutamente crucial para o WordPress. Os hackers, as pessoas que criam malwares e outras ameaças on-line, estão melhorando e se adaptando continuamente, e a segurança também precisa agir da mesma forma.  A maioria das atualizações freqüentes do WordPress é baseada em segurança: fechando potenciais problemas de segurança que foram (ou poderiam ser) explorados por novas ameaças que estão aparecendo on-line. Se você não mantiver seu WordPress atualizado, será apenas uma questão de tempo até que algo infecte seu site.

Isso não se refere apenas às atualizações globais do WordPress. Plugins são atualizados freqüentemente não só para melhorar o desempenho, mas para desligar todos os problemas de segurança que aparecerem também. O mesmo se aplica aos temas alocados na área “Aparência”.  Na verdade, uma das maneiras mais comuns para um hacker danificar um site é esgueirar-se através de um tema antigo que é está apenas sentado naquela área, não necessariamente ativo e que não está sendo atualizado.

Fazer upload de vários temas para testar qual deles parece melhor em seu site não é incomum. No começo, é um movimento que faz sentido, mas não se deve manter esses temas adicionais ao redor. Cada um desses é o código que pode ser encontrado, cortado ou corrompido. Exclua todos os temas que não estão sendo usados ​​e atualize o que você está usando cada vez que uma atualização se torne disponível.

Uma coisa importante a notar: sempre que um tema novo “base” anual é lançado pelo WordPress, muitas vezes aparece automaticamente sob a seção de aparência / tema de sua página de WordPress Admin. Se você não prestar atenção, isso se torna outro problema de segurança potencial que precisa ser cuidado.  (Exemplo: Twenty Fourteen, Twenty Sixteen, etc).

Além de manter tudo atualizado você precisa:

  • Excluir os plug-ins que não estiver usando
  • Excluir os temas que não estiver usando
  • Excluir novos temas que o WordPress adiciona automaticamente na área “Aparência”
  • Limitar o número de pessoas com acesso de administrador, colaborador ou editor ao site

Fazer alterações de permissão de arquivo apropriadas

Algumas configurações básicas tornam muito mais fácil hackear do que outros. Isso significa que quando você está configurando o WordPress você precisa confirmar que seu webdesigner mudou as permissões de arquivo. Certifique-se de evitar a criação de diretórios com uma configuração de permissão 777.  750 ou mesmo 755 são opções muito melhores. Sempre que possível, os arquivos devem ser configurados para 644 ou 640. Isso diminui muitos pontos fracos potenciais na entrada antes que os hackers possam obter qualquer abertura para invadir seu site.

Mantenha seu computador de casa seguro

Não coloque suas senhas no arquivo em sua máquina, que é muitas vezes muito mais fácil de hack de um site WordPress. Além disso, certifique-se de instalar um firewall no seu computador para defendê-lo de vírus, malware ou hackers e siga as mesmas regras para a senha para entrar em seu computador como você segue para criar uma senha longa do login no WordPress.

Opções avançadas de segurança do WordPress

Enquanto as seções anteriores são mais do que suficientes para mais de 99% de todos os sites WordPress, algumas estratégias mais avançadas podem ser usadas por web designers que se sentem confortáveis o suficiente com a codificação para fazer algumas alterações no nível de código. Como para a renúncia de todos os importantes: estas são opções de bricolage por uma razão. Sempre back-up seu trabalho antes do tempo e lembre-se que com qualquer uma destas opções avançadas se você mess it up, é sobre você para corrigi-lo, ninguém é responsável.

Eliminar relatórios de erros PHP

Mais uma vez, para afirmar o óbvio, certifique-se que eles são senhas diferentes, também. Se a sua hospedagem e as contas do WordPress são seguras, mas o computador laptop ou torre não é, isso é mais uma maneira para os hackers encontrarem seu caminho. Você precisa proteger seu site de todas as possíveis invasões.

Relatórios de erro podem ser úteis, mas eles incluem longas seqüências de informações que incluem um caminho claro através da segurança do seu site. Os hackers avançados podem muitas vezes ignorar toda a sua segurança com um relatório detalhado do código PHP. Olhe para o arquivo wp-config.php e adicione o código:

Ocultar nomes de autor usuário

Muitas vezes, o nome de usuário de um autor é seu nome de administrador. A menos que você tome medidas específicas para se certificar de que isso nunca será o caso, você precisa substituir o padrão que o WordPress sugere e que torna mais fácil obter-se um nome de administrador para tentar hackear a senha. Mais uma vez adicionar algumas linhas de código no arquivo direito pode mudar isso.

Desta vez, o código que precisa ser alterado está no arquivo functions.php. Adicione as linhas:

Alterar o URL de início de sessão

O URL de login padrão de um site do WordPress é URL / wp-admin. Todo mundo sabe disso, o que torna esse / wp-admin um problema. Um excelente plug-in de segurança, como o plug-in iThemesSecurity, permite que você altere esse URL. Isso pode ser mudado por exemplo para / my-personal-login ou o que você quiser usar para alterá-lo – e isso torna muito mais difícil para os hackers atacarem (“brute force attack”)  quando eles não encontram uma rota direta que ajude a forçar a entrada deles.

Juntando tudo

Embora a questão da segurança num site WordPress possa parecer um pouco esmagadora no início, a verdade é que este tópico é importante e muitas dessas etapas envolvem manutenção simples e uma atualização ocasional. Isso é um preço extremamente pequeno a pagar comparado ao infortúnio de se ter um website severamente hackeado.

Fonte: Amit FM / Broadcast SEO.


Vera é carioca, blogueira, practitioner em PNL (Programação Neurolinguística),  fundadora do Brasileirinho.com e seu maior prazer é usar este veículo para divulgar conteúdo relevante para leitores que moram, estudam ou visitam os Estados Unidos.  Tem como hobby ajudar ou ensinar pessoas a construirem seus  próprios websites para promover seus negócios ou serviços, usando WordPress como plataforma.  Para contato: vschafer@brasileirinho.com 

 

Deixe Seu Comentário

Seu endereço de e-mail não será publicado.

Translate »