Como tornar o WordPress mais seguro

0 Comentários
blog

 

Como tornar o WordPress mais seguro

Algumas Dicas para deixar o WordPress mais seguro.

Neste artigo você encontrará dicas valiosas para proteger o seu site em WordPress contra ameaças e mantê-lo mais seguro.

  1. Mantenha o WordPress e seus plugins atualizados.
  2. Use senhas fortes e únicas.
Proteja o arquivo wp-config.php com permissões adequadas, como por exemplo:
  • Mude as permissões do arquivo: altere as permissões do arquivo wp-config.php para 600 ou 644 para que apenas o proprietário tenha permissão de leitura e escrita. Isso impede que outras pessoas acessem ou alterem o arquivo.
  • Coloque o arquivo fora do diretório raiz: mova o arquivo wp-config.php para um diretório acima do diretório raiz do seu site. Isso torna mais difícil para um atacante encontrar o arquivo e acessá-lo.
  • Adicione regras de segurança ao .htaccess: você pode adicionar regras de segurança ao seu arquivo .htaccess para impedir que o wp-config.php seja acessado diretamente. Aqui está um exemplo:
<Files wp-config.php>
Order Allow,Deny
Deny from all
Allow from "IPSLIBERADOS"
</Files>
  • Acima para liberar somente IPS específicos e bloquear todos os outros.
  • Abaixo para liberar todos e bloquear específicos:
<Files wp-config.php>
Order Allow,Deny
Deny from “IPSBLOQUEADOS”
Allow from all
</Files>
  • Remova a informação sobre a versão do WordPress da visualização do código fonte.
  • Para remover a informação da versão do WordPress da visualização do código fonte, você pode adicionar o seguinte código ao seu arquivo functions.php:
function remove_wp_version_strings( $src ) {
  global $wp_version;
  parse_str( parse_url( $src, PHP_URL_QUERY ), $query );
  if ( !empty( $query[ 'ver' ] ) && $query[ 'ver' ] === $wp_version ) {
    $src = remove_query_arg( 'ver', $src );
  }
  return $src;
}
add_filter( 'script_loader_src', 'remove_wp_version_strings' );
add_filter( 'style_loader_src', 'remove_wp_version_strings' );
Limite o número de tentativas de login.
  • Você pode limitar o número de tentativas de login em WordPress usando o plugin “Limit Login Attempts Reloaded”.
  • Este plugin permite que você defina o número de tentativas de login permitidas antes de um endereço IP ser bloqueado.
  • Aqui estão os passos para instalar e configurar o plugin:
  • Instale o plugin “Limit Login Attempts Reloaded” a partir do painel de administração do WordPress.
  • Vá para “Configurações” -> “Limit Login Attempts” na área de administração do WordPress.
  • Configure as opções de acordo com as suas preferências, incluindo o número de tentativas de login permitidas antes de um endereço IP ser bloqueado.
  • Salve as alterações clicando no botão “Salvar Alterações”.
  • Agora, o plugin estará limitando o número de tentativas de login permitidas para cada endereço IP.
  • Isso ajuda a prevenir ataques de força bruta e melhora a segurança do seu site.
  1. Instale um plugin de segurança, como o Wordfence ou o iThemes Security
  2. Mantenha backups regulares do seu site.
  3. Proteja o arquivo .htaccess

O arquivo .htaccess é um arquivo importante para a configuração do seu site WordPress. Ele pode ser usado para controlar acessos, redirecionar URLs, definir regras de segurança, entre outras coisas. Para protegê-lo, você pode seguir os seguintes passos:

  • Adicione regras de autorização: adicione as seguintes regras ao seu arquivo .htaccess para impedir o acesso não autorizado ao arquivo:
<Files .htaccess>
Order Allow,Deny
Deny from all
Allow from "IPSLIBERADOS"
</Files>
  • Acima para liberar somente IPS específicos e bloquear todos os outros.
  • Abaixo para liberar todos e bloquear específicos:
<Files .htaccess>
Order Allow,Deny
Deny from “IPSBLOQUEADOS”
Allow from all
</Files>
  • Adicione autenticação básica: você também pode proteger o arquivo .htaccess adicionando autenticação básica. Isso significa que, ao tentar acessar o arquivo .htaccess, o usuário precisará fornecer nome de usuário e senha. Aqui está um exemplo de como fazer isso:
AuthName "Acesso restrito"
AuthType Basic
AuthUserFile /caminho/para/arquivo/.htpasswd
Require valid-user
  1. Não instale temas ou plugins de fontes desconhecidas ou não confiáveis.
  2.  Adicione o reCAPTCHA ao login do WordPress.

 Para adicionar o reCAPTCHA ao login do WordPress, você pode usar um plugin como o “Google reCAPTCHA for WP Login”. Aqui estão os passos gerais para fazer isso:

  • Instale o plugin “Google reCAPTCHA for WP Login” a partir da página de plugins do WordPress ou fazendo o upload manualmente para a pasta “wp-content/plugins/”.
  • Ative o plugin.
  • Acesse o painel do reCAPTCHA do Google e crie uma chave de site para o seu site WordPress.
  • Copie a chave secreta e a chave do site e cole-as nas configurações do plugin no painel do WordPress.
  • Configure as opções adicionais, como a aparência do reCAPTCHA e se ele deve ser exibido na página de login ou na página de registro.
  • Salve as alterações e teste o login para verificar se o reCAPTCHA está funcionando corretamente.

Observação!
Lembre-se de que a configuração exata pode variar de acordo com o plugin que você escolher, por isso, é importante seguir as instruções do plugin específico que você está usando.

  1. Use autenticação de dois fatores: A autenticação de dois fatores adiciona uma camada adicional de segurança à sua conta, o que a torna mais difícil de ser hackeada.
  • A autenticação de dois fatores (2FA) pode ser ativada no WordPress usando um plugin de autenticação de dois fatores, como o “Google Authenticator”.

Aqui estão os passos gerais para ativar a autenticação de dois fatores no WordPress.

  • Instale o plugin de autenticação de dois fatores de sua escolha a partir da página de plugins do WordPress ou fazendo o upload manualmente para a pasta “wp-content/plugins/”.
  • Ative o plugin;
  • Configure as opções de autenticação de dois fatores, incluindo quais usuários precisam usar 2FA e como o código de autenticação será gerado.
  • Para cada usuário, vá para a página de perfil e habilite a autenticação de dois fatores.
  • Baixe um aplicativo de autenticação de dois fatores, como o Google Authenticator, e escane o código QR fornecido pelo plugin.
  • Insira o código de autenticação gerado pelo aplicativo ao fazer login no WordPress.

Observação!
Lembre-se de que a configuração exata pode variar de acordo com o plugin que você escolher, por isso, é importante seguir as instruções do plugin específico que você está usando.

Token de autenticação

Caso perca o token de autenticação de dois fatores e não consegue mais fazer login no WordPress, pode seguir estes passos para desativar a autenticação de dois fatores:

  • Acesse o banco de dados do WordPress.
  • Localize a tabela de usuários e encontre o usuário que está tendo problemas para fazer login.
  • Altere o valor da coluna relacionada à autenticação de dois fatores para “0” ou outro valor que represente a desativação da autenticação de dois fatores, dependendo da implementação do plugin de autenticação de dois fatores que você está usando.
  • Salve as alterações.
  • Tente fazer login novamente usando somente o nome de usuário e a senha.

Observação!
Lembre-se de que a edição do banco de dados deve ser feita com cuidado e só deve ser realizada por usuários com conhecimento técnico avançado. Se você não tem certeza do que está fazendo, é melhor procurar ajuda de um profissional. Além disso, é importante fazer backup do banco de dados antes de fazer qualquer alteração.

  1. Evite utilizar o nome “ADMIN” como login do WordPress e opte por usar nomes ou combinações de caracteres únicos.”

Pronto!
Lembre-se de que a segurança do seu site é uma questão contínua e deve ser revisada regularmente.

Conheça!
Aproveite e conheça a Hospedagem WordPress da WeCoded, preparada para o mais popular CMS do mundo, clique aqui e saiba mais!

 

Compartilhe este artigo
DEIXE UM COMENTÁRIO
5 1 voto
Classificação do artigo
Se inscrever
Notificar de
guest
0 Comentários
Comentários em linha
Ver todos os comentários

ARTIGOS RELACIONADOS

Continue navegando em nosso blog.

ASSINE NOSSO NEWSLETTER

Enviamos notícias, dicas e ofertas.


    hosting