8 Segredos de segurança do WordPress essencial

Sep 12, 2025
Como

Nos últimos 15 anos, o WordPress tornou-se o sistema de gerenciamento de conteúdo mais popular do mundo. Fácil começar com e extremamente versátil, é um dos melhores plataformas de blogs. ao redor - a casa ideal para o seu portfólio de design. ou algo mais ambicioso.

Há uma grande variedade de WordPress Thormes. para escolher, enquanto se você está sem medo de um pouco de código, você encontrará cargas de Tutoriais do WordPress. Isso ajudará você a agarrar com seus recursos mais complexos. Para outras opções, experimente nossos guias para o melhor Construtor de sites e hospedagem na web. serviço.

  • O melhor software antivírus

Uma grande desvantagem da popularidade do WordPress, no entanto, é que é um alvo principal para hackers. Se você quiser evitar perder o controle do seu novo site brilhante, siga estas dicas para mantê-lo seguro.

01. Adicione segurança extra a contas de usuário

Lock down user permissions to prevent unauthorised access to admin areas

Bloquear permissões do usuário para impedir o acesso não autorizado às áreas de administrador

Uma grande quantidade de vulnerabilidade vem das contas de usuário que intencionalmente dão acesso ao seu site, particularmente os papéis administradores e editor. Se um hacker ganha acesso a uma dessas contas, de qualquer usuário no site, não apenas o principal admin, eles poderão fazer alterações na vontade no site.

Sempre verifique se as contas só têm o acesso que precisam. Por exemplo, se um usuário só for escrevendo artigos, considere dando-lhes apenas contribuintes ou editoras do editor, nunca administração. Tenha em mente o nível de capacidade de seus usuários, garantindo que qualquer pessoa com Admin ou Editor Access seja totalmente treinada para usar todos os recursos da conta para evitar acidentes.

Você pode adicionar recursos para permitir acesso temporário a um determinado nível de função, ou seja, se você tiver um empreiteiro que trabalha no site e eles precisam de acesso temporário de administrador, você pode dar-lhes a eles com uma hora definida para expirar para que você não precise lembrar de revogar seu acesso mais tarde na linha.

Se um determinado nível de papel não precisar de todas as permissões padrão, você poderá instalar um plugin de funções e permissões para desativar certas permissões que nunca serão usadas. Você também pode criar outros papéis com apenas acesso específico. Restringir usuários apenas às permissões de que precisam para evitar uso acidental ou intencional de um recurso.

Para ajudar a evitar ataques provenientes de logins de usuário, coloque um limite no número de vezes que uma conta pode fazer uma tentativa de login com falha antes que o nome de usuário esteja bloqueado por um período de tempo. Isso busca principalmente os bots que estão adivinhando senhas, mas lembre-se de avisar seus usuários que eles não devem tentar efetuar login mais do que o número de vezes que você definiu em uma linha. Se eles não conseguem lembrar sua senha, e se eles esquecem sua senha, eles devem redefini-lo em vez de tentar adivinhar!

Também é uma boa prática lembrar que os usuários usem senhas seguras (mais de oito dígitos, com números superiores, minúsculos, etc) e alterá-los de vez em freqüência. Lembre-os de nunca mais escrever suas senhas e sair quando terminarem de sua sessão para evitar o acesso não autorizado às suas contas.

A autenticação de dois fatores é um nível extra de segurança que pode ser adicionado aos logins. Eles exigem que os usuários usem seus autenticadores ao efetuar login para aumentar o número de credenciais necessárias apenas do padrão. Os usuários precisarão de um código extra ou PIN para efetuar login, geralmente gerado aleatoriamente por um aplicativo ou enviado para um telefone por texto. Pode se sentir como uma barreira extra para fazer o login para os usuários, mas também é uma barreira extra para hackers.

02. Mude os padrões antigos

Changing the name of your admin account will make a hacker's job a lot harder

Alterar o nome da sua conta de administrador fará um trabalho de hacker muito mais difícil

Novas instalações do WordPress Faça você escolher um nome de usuário personalizado para sua conta de administrador, mas se você instalou seu site há algum tempo, sua conta de administrador pode ter o nome padrão do 'admin' - isso facilita que os hackers adivinhe suas credenciais de login como metade O trabalho já está feito para eles. Altere o nome de usuário do administrador padrão para outra coisa para melhorar a segurança. Você pode fazer isso manualmente por meio do banco de dados na tabela WP_Users, ou criar um novo perfil de administração e excluir o antigo através do painel Admin (certifique-se de atribuir todos os postos de conta antigos para o novo).

Você também pode alterar o prefixo do banco de dados padrão para algo diferente do WP_ para adicionar uma camada adicional de obscuridade a suas configurações padrão. A maneira mais fácil de fazer isso em uma instalação existente é através de um plugin, mas faça backup de seus bancos de dados primeiro.

03. Mantenha o WordPress atualizado

Make sure you're running the latest stable build of WordPress

Certifique-se de que você está executando a mais recente construção estável do WordPress

O WordPress está sempre atualizando e melhorando sua segurança integrada, portanto, certifique-se de que sua versão seja mais atualizada para ficar à frente de vulnerabilidades e explorações antigas. A maioria das instalações do WordPress atualiza automaticamente, mas se a sua não, fique de olho no seu painel de administração ou na caixa de entrada a ser notificada quando novas atualizações estiverem prontas para instalar. Hackers estão à procura de sites que não foram atualizados, e apenas 22% dos sites do WordPress estão executando a versão mais recente. Como o WordPress é executado quase 30% de todos os sites na web , isso é um monte de sites desatualizados!

Se você estiver executando um site de estadiamento, poderá testar todas as atualizações para compatibilidade com seu tema atual e plugins antes de empurrar ao vivo. Esta é uma boa prática para evitar as atualizações automáticas acidentalmente conflitantes com as instalações existentes. Dá a você uma chance de capturar quaisquer problemas antes de entrar em produção. Não se esqueça de atualizar seus plugins e temas também. Não são apenas vulnerabilidades antigas do WordPress que podem dar aos hackers um caminho; Qualquer coisa que você instale no site do WordPress também precisa ser segura. A próxima ponta lhe dirá mais na escolha de plugins confiáveis.

04. Instale plugins confiáveis ​​e casa limpa regularmente

Not using an old plugin any more? Get rid of it!

Não usar um plugin antigo mais? Livre-se disso!

Há uma tentação de instalar quantos plugins você tem problemas para resolver, mas muitos plugins podem causar um bloat e um plugin não confiável pode causar um risco de segurança. Sempre verifique se os plugins são confiáveis ​​antes de instalar. Faça o download através da interface ou site oficial do WordPress, e sempre verifique a classificação por estrelas e os comentários para feedback negativo que podem indicar uma falha de segurança.

Os plugins são criados por desenvolvedores com todos os diferentes níveis de habilidade. Mesmo que os plugins sejam vetos antes de serem adicionados ao site do WordPress, você deve sempre fazer sua própria pesquisa para garantir que o código que você esteja instalando seja sólido.

O site do WordPress lhe dirá quantos anos um plugin é, quando foi atualizado pela última vez e, mais importante, se é compatível com sua versão do WordPress. Um plugin que não foi atualizado em um tempo não é necessariamente um mau, pode significar que não precisava de uma atualização nesse período. Verifique se há comentários recentes para confirmar o plugin ainda é viável, e que ainda é compatível com sua versão. Um plugin antigo com revisões recentes de baixa estrela e uma compatibilidade desconhecida vale a pena evitar.

Exclua regularmente temas e plugins não utilizados, pois mesmo um plugin desativado pode ser um risco de segurança se uma vulnerabilidade for encontrada e explorada. Mantenha seu diretório plugin limpo. Você só deve ter plugins instalados que você está usando atualmente. Verifique os plugins mais antigos quando você atualizar para ver se eles ainda são compatíveis.

Revise seus plugins periodicamente para garantir que você ainda tenha o melhor para o trabalho. Pode haver um novo plugin que combina os recursos de alguns que você já tem e pode ser melhor suportado, mais seguro e mais fácil de manter.

05. Considere a hospedagem gerenciada

Managed hosting will cost you more but will prevent cross-server contamination

A hospedagem gerenciada custará mais, mas impedirá a contaminação transversal

Não é apenas a segurança do seu próprio site que você precisa pensar. Se você hospedar seus sites em servidores compartilhados, você executará o risco de contaminação cruzada, onde os hackers obtêm acesso por meio de um site diferente e podem danificar outros sites compartilhando o mesmo espaço. Considere hospedagem gerenciada ou hospedagem de servidor privado virtual (VPS) para eliminar essa ameaça, onde seu site é hospedado separadamente.

O custo é uma implicação óbvia, mas para sites com altas cargas e tráfego, servidores dedicados podem melhorar o desempenho, bem como a segurança. Diferentes anfitriões têm soluções diferentes; compare alguns para avaliar quais melhor se adequam às suas necessidades.

06. Máscara, bloqueio e esconda

Hide your WordPress version number and change the name of your login page

Ocultar seu número de versão do WordPress e altere o nome da sua página de login

Hackers têm menos alavancagem se não sabem por onde começar. Ocultar seu número de versão do WordPress do seu código, então apenas os administradores sabem qual versão do WordPress você está executando. Dessa forma, os hackers não sabem quais vulnerabilidades estão presentes para explorar.

Mova sua página de login de / wp-login para algo que não é padrão. Isso faz um grande bloco de tropeço para os bots de ataque do DOS e Brute Force que os sites de arrasto procuram por formulários de login para segmentar. Também adiciona um valor mais estético, pois você pode alterar a URL para algo mais memorável para seus usuários.

Negar acesso externo ao wp-config.php e .htaccess usando o seguinte código no seu arquivo .htaccess: 

 & lt; arquivos wp-config.php & gt;
ordem permitir, negar
negar de tudo
& lt; / files & gt;
e lt; arquivos .htaccess & gt;
ordem permitir, negar
negar de tudo
& lt; / files & gt;

Você também pode desativar a edição de arquivos no painel Admin, se souber que seus temas serão editados por meio de uploads de arquivos em um FTP. Isso impede que qualquer pessoa com acesso ao painel de administração de edite diretamente arquivos acidentalmente ou como um hacker com intenção maliciosa. Insira o seguinte no seu arquivo WP-CONFIG.PHP:

Definir ('disallow_file_edit', true);

07. Execute backups com freqüência

Never forget: if it's not backed up then it's not important

Nunca se esqueça: se não for apoiado, então não é importante

Certifique-se de que seu site seja backup no caso de o seu site ser hackeado e você precisa reverter para uma versão limpa anterior. Com que frequência você deve executar backups depende de quantas vezes seu site é atualizado.

É integral para fazer backup em um lugar onde seu site não é hospedado para evitar qualquer atividade maliciosa em sua hospedagem do WordPress, infectando seus backups também. Os backups podem ser armazenados em seu próprio computador ou um serviço baseado em nuvem, como o Google Drive, Dropbox ou Amazon S3 (Confira outros armazenamento na núvem opções aqui).

Backup em um local que não seja seu servidor atual também ajuda se você tiver um conflito de plug-in ou tema não resolvível e não pode acessar seu site, ou se houver um mau funcionamento do servidor catastrófico e perder todo o seu trabalho.

Existem plugins de backup dedicados para ajudá-lo a manter a faixa, a maioria com opções para backups agendados ou manuais. Versões gratuitas e premium dão a você várias opções, backupbuddy sendo o serviço pago mais popular, pois eles têm seu próprio armazenamento de terceiros para seus arquivos, além da capacidade de restaurar de um backup diretamente. Compare outros plugins como UPDraftPlus e BackWPup para suas versões gratuitas e premium para ver quais tem os recursos que você mais valoriza.

08. Instale os plugins de segurança e anti-spam

A good set of security plugins will keep your site safer

Um bom conjunto de plugins de segurança manterá seu site mais seguro

Muitos recursos de segurança podem ser adicionados com um plug-in de segurança abrangente, como o ITHEMES Security ou Sucuri, ambos têm versões gratuitas e premium. Plugins de segurança vêm com um conjunto de ferramentas para bloquear vulnerabilidades em seu site, como os já mencionados neste artigo; De mascarar seu número de versão, para instalar a autenticação de dois fatores para logins, as listas de recursos são muitas vezes extensas.

Esses tipos de plugins podem ser inestimáveis ​​em tornar seu site WordPress mais seguro e a maioria dos plugins de segurança é fácil de usar com a instalação de clique com um único clique para os recursos mais importantes e a instalação opcional para os recursos mais avançados ou complexos. Isso os torna perfeitos para iniciantes WordPress, pois não há codificação necessária para obter um site bem protegido em minutos. Usuários mais avançados terão acesso a recursos que podem proteger ainda mais o seu site, como o fechamento do acesso desnecessário a protocolos, como XML-RPC, e atualizando os sais WordPress usados ​​na codificação.

Tais plugins ajudarão a proteger seu site contra a força bruta e os ataques do DOS, o que pode levar seus sites offline se houver muita carga no servidor. Eles também podem firmar o processo de login com níveis adicionais de segurança para impedir que suas contas de usuário sendo usadas como método de ataque. Digitalização de malware e logs de atividades Mantem registros de qualquer comportamento suspeito ou arquivos corrompidos para revisão, avisando você de quaisquer ataques em andamento e dando uma ideia de onde as vulnerabilidades do seu site estão para que você possa resolvê-las.

Alguns plugins de segurança também vêm com opções de backup, para esse serviço com tudo incluído. Ter todas as suas necessidades de segurança organizadas por um plugin significa que os recursos são fáceis de organizar, com menos risco de conflito entre plugins semelhantes. Certifique-se de fazer sua pesquisa, no entanto, como esse plugin será a coisa em pé no caminho do seu site e qualquer pessoa queira causar danos. Você precisará escolher um que fará o trabalho admiravelmente.

Além disso, um plugin anti-spam, como o Akismet, manterá os spammers de entupir seu site com comentários não relacionados. Se o seu plug-in de segurança ainda não estiver fazendo, ele pode ajudar o plug-in de segurança, adicionando uma camada extra de segurança à interação da sua comunidade usando ferramentas de validação como o CAPTCHA e outros dispositivos anti-bot para garantir que apenas as pessoas reais estão comentando. Um plugin anti-spam ajuda a manter seu site limpo, bem como seu banco de dados nos bastidores. A triagem para comentários valiosos tem o bônus adicional de dar seu conteúdo mais peso apenas mostrando o envolvimento adequado dos leitores.

Cada plugin vem com suas próprias ferramentas diferentes, então compare as opções para algo que atenda às suas necessidades. Considere versões premium de plugins para recursos adicionais, pois esta é uma parte integrante do seu site e geralmente falando, os plugins pagos lhe darão o serviço mais abrangente. Idealmente, você quer uma suíte que cobre pelo menos o básico de segurança, como as outras dicas nomeadas neste artigo.

Este artigo foi originalmente publicado em questão 272 da revista Creative Web Design Web Designer. Comprar edição 272 aqui ou Inscreva-se no web designer aqui .

Artigos relacionados:

  • 37 melhores temas wordpress grátis
  • 9 dicas de segurança para proteger seu site de hackers
  • Poder um blog usando a api wordpress

Como - Artigos mais populares

Como parar seus óculos embaçados ao usar uma máscara facial

Como Sep 12, 2025

(Crédito da imagem: Getty Images) Se seus óculos continuarem inibindo quando você estiver usando uma máscara faci..

Entenda o processamento de linguagem natural

Como Sep 12, 2025

Sites e aplicativos podem ter várias partes móveis, incluindo criativo front-end, processamento do lado do servidor, APIs e arm..

Comece com a plataforma de animação Greensock

Como Sep 12, 2025

A plataforma de animação Greensock (GSAP) permite animar qualquer coisa que você possa acessar com JavaScript, incluindo Dom, ..

Design Graphics SVG no seu navegador

Como Sep 12, 2025

O Editor VECTEEZY. é uma suíte de edição de vetor livre que é executada no seu navegador. Este tutorial cobre..

Como adicionar fundos de diversão CSS aos seus sites

Como Sep 12, 2025

O tempo era um fundo de página da web era uma pequena imagem de ladrilhos - e muitas vezes hedionda, agredindo os olhos de todos..

Como escolher a ferramenta de prototipagem correta

Como Sep 12, 2025

Prototipagem Talvez seja uma das partes mais importantes do processo de web design. Construindo A. protótipo..

Idade Uma fotografia no Photoshop CC

Como Sep 12, 2025

Envelhecer uma fotografia no Photoshop é uma técnica clássica que pode transformar até mesmo uma imagem de cores HO-HUM, em a..

Como dominar o sombreamento da pele em 3D

Como Sep 12, 2025

Por um longo tempo agora eu fui preso em uma rotina com o meu Arte 3D. . Não com a criação dos modelos ou cenas..

Categorias