Segurança do WordPress para iniciantes

Atualizado em 03/02/2022 - Rob Pugh

Não importa se você vai lançar um site comercial, uma loja online ou um blog pessoal, o WordPress oferece flexibilidade, é fácil de usar e tem funcionalidades avançadas que farão com que o site seja um tremendo sucesso.

Mas antes de botar a mão na massa, pare um pouco para pensar na segurança. Proteja seu site o máximo possível para mantê-lo seguro contra hackers e garantir que seus fãs e clientes possam acessá-lo a qualquer momento.

Por que a segurança é importante?

O seu site diz aos visitantes quem você é, que tipo de conteúdo e serviços você oferece e o que eles podem esperar da sua marca. É um lugar para deixar uma ótima primeira impressão e criar laços de confiança e lealdade com os fãs.

Por isso, é tão importante se certificar de que o site está sempre funcionando. Se, de repente, ele incluir links para malware, começar a carregar muito devagar depois de ser hackeado ou ficar completamente offline, sua reputação será impactada.

Se o seu site for hackeado, você pode perder dinheiro por conta da queda nas visualizações, vendas ou impressões dos anúncios. Podem haver custos envolvendo a restauração para que volte a funcionar corretamente. Você também pode perder sua posição no ranking dos mecanismos de busca, às vezes, de forma permanente. Então, para economizar dinheiro (e se proteger!), certifique-se de que o seu site esteja seguro.

Como os sites do WordPress são hackeados?

O Google recentemente lançou uma lista dos jeitos mais usados pelos hackers para acessar sites. Vamos dar uma olhada mais a fundo em alguns deles: 

Senhas comprometidas

Ataques de força bruta são um dos jeitos mais comuns de hackers entrarem em um site. Eles usam bots para tentar diferentes nomes de usuário e senhas, milhares de combinações por segundo, até encontrarem as credenciais certas.

Plugins e temas não seguros

Vulnerabilidades encontradas em plugins e temas são um jeito relativamente fácil para malfeitores entrarem. Desenvolvedores de temas de alta qualidade lançam patches para essas vulnerabilidades em atualizações regulares, mas nem todos os usuários do WordPress atualizam o site com frequência. Além disso, versões nulas e gratuitas de plugins e temas premium geralmente têm acesso ilegal embutido em seu código, que são pontos de acesso para os hackers entrarem de forma remota em seu site e fazerem o que quiserem.

Políticas de segurança fracas

Práticas precárias de segurança, como dar acesso ao site para pessoas que não precisam ou permitir senhas fracas, tornam mais fácil para as pessoas entrarem no site. 

Por que alguém hackearia um site?

  1. Para roubar dinheiro. Eles podem querer coletar informações do cartão de crédito de clientes ou direcionar os visitantes para sites mal-intencionados criados para enganar as pessoas.
  2. Para coletar informações. Eles podem vender dados pessoais a terceiros ou chantagear o proprietário das informações em troca de dinheiro.
  3. Para derrubar o seu site. Geralmente, há um motivo pessoal por trás disso e raramente é uma ameaça para um proprietário de site comum.
  4. Para vandalizar o seu site. Novamente, isso costuma ser pessoal. O hacker pode desfigurar o site de alguém com quem não concorda para passar uma mensagem.
  5. Para atacar outra pessoa. Os invasores podem usar seu site para espalhar malware ou ransomware pela internet ou usar seu servidor da Web para atacar uma outra pessoa.
  6. Para aprender. Os hackers precisam praticar de alguma forma, certo? Eles podem usar o seu site para praticar para alvos maiores e mais lucrativos no futuro.

Como proteger o seu site do WordPress

1. Escolha um host de qualidade

A empresa de hospedagem é o seu parceiro de segurança, por isso, é importante escolher uma que tenha uma boa reputação. O barato sai caro, e muitos hosts com descontos não implementam práticas de segurança eficazes.

Mas como saber qual escolher? A seguir, estão algumas indicações de que um provedor de hospedagem é seguro:

  • Backups regulares, inclusos no seu plano ou por uma taxa adicional.
  • Certificados SSL, que protegem os dados dos visitantes dos seu site.
  • Suporte 24 horas todos os dias, caso o seu site seja hackeado.
  • Um firewall embutido, que protege os arquivos e o banco de dados no servidor.
  • Varreduras de segurança, que alertam você sobre códigos e atividades suspeitas no seu site.
  • Uma boa reputação. Avaliações e recomendações costumam ser a melhor forma de determinar a qualidade de um host.

E lembre-se: quaisquer custos adicionais valem a pena quando se trata de uma empresa com um bom conhecimento e segurança forte. Confira uma lista de hosts recomendados pelo WordPress para que você possa começar.

2. Mantenha o software atualizado

A melhor maneira de manter o seu site seguro é atualizar o software com frequência: WordPress, temas e plugins. Novos lançamentos geralmente corrigem vulnerabilidades de segurança, então, quanto antes você atualizar, melhor.

Você também pode minimizar os riscos de segurança do WordPress ao escolher plugins confiáveis que sejam estáveis e atendam a mais de uma necessidade por vez. Por exemplo, o Jetpack Security oferece um conjunto completo de ferramentas de segurança para WordPress incorporadas ao plugin do Jetpack. Dessa forma, você também pode se beneficiar das funcionalidades adicionais sem precisar instalar dezenas de plugins e aumentar o risco de um ataque ao seu site.

3. Crie nomes de usuário e senhas seguros

Escolha um nome de usuário exclusivo e uma senha segura para deixar os hackers no escuro. Use pelo menos 20 caracteres, uma letra maiúscula, uma letra minúscula, números e símbolos. 

Se você estiver criando um site com mais usuários, defina as permissões corretas para cada um. Você pode não querer que seu novo estagiário tenha acesso aos arquivos principais ou outros dados importantes, por exemplo. Confira um ótimo artigo sobre permissões de usuário para WooCommerce, mas muito dele se aplica a qualquer tipo de site. 

E se você criar uma conta para um terceiro, como um desenvolvedor, agência de marketing ou alguém do suporte , remova o acesso assim que eles finalizarem o trabalho.

4. Configure backups externos.

Os backups são essenciais para proteger seu conteúdo, trabalho árduo e dados dos clientes ou visitantes. Não importa qual for o problema com o site, ter um backup completo à mão significa que você pode colocá-lo no ar de volta rapidamente. 

Mas é importante escolher o tipo certo de backup. Por exemplo, armazene seus backups externamente, na nuvem, e não no servidor. Assim, mesmo que você perca o acesso ao seu site ou seu servidor fique comprometido, você ainda poderá restaurar uma versão limpa.

É aí que o Jetpack Backup entra. Ele não apenas armazena todos os backups nos mesmos servidores seguros que usa para seu próprio site, como também mantém vários backups criptografados para garantir uma camada extra de proteção. 

Restauração de um backup do Jetpack

Além disso, você pode escolher entre duas opções: em tempo real e diário. 

Os backups em tempo real são a melhor opção para lojas online, fóruns de associação ou sites que são atualizados regularmente. O Jetpack salva uma cópia do seu site toda vez que algo muda: uma venda é feita, uma página é atualizada ou um comentário é adicionado. Dessa forma, você não perde uma única venda ou informação, não importa o que aconteça.

Os backups diários são adequados para sites estáticos que não são atualizados com frequência. O Jetpack salva seus arquivos e banco de dados uma vez por dia, e não conforme as alterações são feitas.

Sabe qual é a melhor parte? É super fácil de configurar. Não há necessidade de uma configuração complicada de servidor. Basta seguir algumas etapas simples e entrar em contato com a equipe de suporte ao cliente do Jetpack se precisar de ajuda.

Você pode usar o melhor plugin de backup do WordPress como uma ferramenta independente ou como parte do pacote de segurança completo.

5. Adicione proteção contra ataques de força bruta

Ataques de força bruta ocorrem quando os hackers usam bots para adivinhar milhares de combinações de nome de usuário/senha por segundo até que finalmente obtenham acesso ao seu site. Esses ataques não apenas colocam em risco as informações do seu site, como também podem deixar o carregamento mais lento por sobrecarregar o servidor. 

Embora informações de login seguras com certeza ajudem, a melhor prevenção é uma ferramenta que evita esses ataques. A funcionalidade gratuita de proteção contra ataques de força bruta do Jetpack bloqueia endereços de IP suspeitos antes mesmo que eles cheguem ao seu site! 

o número de ataques mal-intencionados bloqueados em um site: 14.989

A configuração não poderia ser mais fácil: tudo o que você precisa fazer é ativar a funcionalidade. Além disso, você pode visualizar o número de ataques bloqueados diretamente do seu painel de administração. Dica: a média é de 5.193!

6. Verificação de malware

Se um hacker conseguir entrar no seu site, convém ficar sabendo imediatamente para poder solucionar o problema. Afinal, quanto mais tempo o site estiver inativo ou inseguro, maiores serão os danos à sua reputação e aos seus dados. 

Mas o Jetpack Scan automaticamente pesquisa malwares, malfeitores e atividades suspeitas no site, alertando você imediatamente se algo for encontrado. Você pode até corrigir a maioria dos ataques conhecidos com apenas um clique, o que economiza tempo e dinheiro. 

verificação de malware em execução em um site

E você não terá que perder tempo decifrando uma linguagem técnica complicada, pois o painel do Jetpack Scan explica tudo em termos leigos e guia você em todas as etapas que precisa seguir. Você pode simplesmente configurá-lo e relaxar sabendo que seu site está sendo monitorado 24 horas todos os dias. 

Saiba mais sobre a ferramenta de verificação de malware do WordPress.

7. Implemente o monitoramento do tempo de inatividade

Não importa se é o resultado de um ataque mal-intencionado ou um simples erro, se o seu site fica inativo, você precisa agir imediatamente. Mas você não tem tempo para ficar recarregando o site o dia inteiro para ter certeza de que ele está funcionando.

notificação de inatividade do Jetpack

A ferramenta do Jetpack de monitoramento de inatividade para WordPress vigia seu site 24 horas todos os dias e notifica você se ele parar de responder. Então, você pode usar o registro de atividades para determinar exatamente o que deu errado e quando, para que possa tomar a medida adequada e colocá-lo de volta ao ar em questão de minutos, não de horas ou dias.

8. Exclua plugins e temas não usados

Quanto mais temas e plugins você tiver instalados no site, mais chances têm de um hacker tirar proveito deles. Embora os plugins sejam um ótimo meio de adicionar funcionalidades extras, faça uma limpeza e remova aqueles que você não está mais usando.

E, além de um tema padrão ao qual você pode recorrer ao solucionar erros no site, não há necessidade de armazenar temas adicionais. 

Bônus: excluí-los também pode melhorar a velocidade do seu site!

9. Ative a autenticação em dois fatores para administradores

A autenticação em dois fatores é uma maneira extremamente eficaz de proteger a página de login porque exige que um hacker tenha sua senha e um item físico, uma combinação improvável. Ao fazer login no seu site, o administrador precisa inserir um código de uso único que é enviado ao telefone.

O Jetpack oferece essa funcionalidade de forma gratuita, permitindo que você dê um passo além de apenas criar uma senha forte. Você tem vários usuários? Exija a autenticação em dois fatores de forma fácil para todos eles.

10. Configure um firewall para WordPress

Um firewall para WordPress monitora todo o tráfego que passa pelo site, agindo como uma barricada contra hackers. Enquanto um bom plano de hospedagem inclui um firewall que protege seu servidor, uma boa medida é instalar um que seja específico para WordPress. 

Um bom plugin de firewall possui um banco de dados de informações sobre malfeitores, endereços de IP suspeitos, bots mal-intencionados e tráfego incomum, e os bloqueia antes que possam atacar seu site. Você pode ver algumas das opções mais populares no diretório de plugins do WordPress.

11. Fique de olho na atividade do seu site

Quando você registra tudo o que acontece no seu site, pode facilmente navegar por ele e identificar qualquer atividade suspeita. E se o site for hackeado, você também poderá identificar a hora em que ocorreu, saber quais ações foram tomadas e descobrir quais contas foram comprometidas com maior facilidade.

atividade que aconteceu em um site

O registro de atividades do Jetpack para WordPress acompanha todas as principais mudanças, desde tentativas de login e páginas publicadas até plugins excluídos, temas atualizados e configurações alteradas. Para cada evento, você pode ver a data/hora, o usuário que fez a alteração e uma descrição do que foi feito. Use essas informações para solucionar problemas ou restaurar um backup de imediatamente antes da ocorrência. 

O que acontece se o meu site do WordPress não estiver seguro?

A maioria dos invasores não está mirando em você especificamente, eles apenas estão procurando o site que seja mais fácil de acessar. Portanto, se o seu site do WordPress não estiver devidamente protegido, será mais provável que ele seja vítima de um hacker. Por fim, isso pode levar a:

  • Uma reputação prejudicada. Se o seu site tiver avisos de segurança, ficar inativo ou redirecionar para um site suspeito, isso não parecerá bom para quem o estiver visitando. Eles podem perder a confiança em seu blog ou negócio, fazendo com que você perca vendas ou receita de anúncios.
  • Dados roubados dos clientes. Se um hacker acessar sua loja de comércio eletrônico, ele poderá coletar informações pessoais que podem ser usadas ou vendidas a terceiros.
  • Arquivos danificados do site. Você pode perder parte ou todo o seu site, possivelmente anos de trabalho duro!
  • Remoção dos resultados de pesquisa. Se o seu site for hackeado, ele pode ser bloqueado pelo Google e removido completamente dos resultados de pesquisa.
  • Perda do tráfego do site. Com classificações mais baixas (ou inexistentes) nos mecanismos de pesquisa e aviso de segurança (o que afasta os visitantes), o tráfego do seu site pode diminuir significativamente.
  • Redução da receita de publicidade. As redes de anúncios não querem que os anúncios de seus clientes sejam veiculados em sites que não são seguros. Portanto, se seu site for hackeado, ele poderá ser removido das redes de anúncios e você poderá ser banido completamente, reduzindo ou eliminando sua receita de anúncios. Mesmo que seu site não seja removido, o tráfego reduzido afetará negativamente os cliques nos anúncios.

Como saber se meu site do WordPress foi hackeado?

Às vezes, pode ser difícil dizer se o site foi hackeado ou se está passando por algum outro tipo de problema. No entanto, seguem algumas indicações de que o site foi hackeado:

  • O site tem um aviso de segurança ao carregar a URL.
  • O plugin de segurança relata um problema.
  • O host envia para você um e-mail a respeito de um problema.
  • O site redireciona para um lugar completamente diferente, sendo que você não configurou isso.
  • Você vê linhas de código estranhas nas páginas do site.
  • O site está completamente fora do ar, embora isso também possa acontecer devido a outros fatores.
  • Os anúncios no site redirecionam para sites suspeitos.
  • De repente, o site carrega muito lentamente ou está agindo de alguma outra forma estranha.

O que fazer se meu site do WordPress for hackeado?

Se o seu site do WordPress foi hackeado, há algumas etapas que você pode seguir para corrigir o problema e recuperar os arquivos e banco de dados:

  1. Determine o que aconteceu. Se você estiver usando o Jetpack, dê uma olhada no registro de atividades para ver quem fez login, quando e o que foi mudado. Isso pode ajudar a identificar contas comprometidas e descobrir quais arquivos foram afetados.
  2. Execute uma verificação de malware. Use uma ferramenta como o Jetpack Scan para pesquisar os arquivos do site em busca de malwares ou outras indicações de um ataque. Se você usa a ferramenta de verificação de malware do Jetpack para WordPress, é possível corrigir a maioria dos problemas com um clique.
  3. Restaure um backup. Se você fizer backups regulares no site, restaure um que anteceda a ocorrência do ataque. Se você estiver usando o Jetpack Backup, seus arquivos ficarão armazenados separadamente do servidor, então não serão comprometidos.
  4. Redefina todas as senhas e exclua usuários suspeitos. Redefina todas as senhas do seu site do WordPress e do provedor de hospedagem. Se você vir qualquer conta de usuário suspeita que não criou, exclua-a.
  5. Contrate um especialista em segurança de sites. Se você não consegue remover malware por conta própria ou apenas quer ter certeza de que seu site é seguro, considere contratar um especialista em segurança de um serviço como o Codeable.
  6. Atualize seus plugins, temas e versão do WordPress. Isso ajudará a proteger quaisquer vulnerabilidades que o hacker possa ter aproveitado.
  7. Envie novamente seu site para o Google. Se seu site foi bloqueado, use o Google Search Console para solicitar uma revisão e fazer com que seja removido da lista de bloqueios. 

Para mais detalhes, leia o guia que aborda o que fazer se seu site for hackeado.

Tudo pronto para publicar

Proteger seu site do WordPress da maneira adequada desde o começo o prepara para o sucesso e o ajuda a funcionar com segurança e eficiência pelos próximos anos. Lembre-se: prevenir ataques no site é muito mais fácil do que corrigi-los depois que ocorrem.

Com o pacote do Jetpack Security, você pode cobre a maioria dos itens dessa lista em apenas alguns minutos, sem a necessidade de um desenvolvedor ou configuração complicada. 

Dê o primeiro passo com o melhor plugin de segurança do WordPress.

Esta entrada foi publicada em Segurança. Adicione o link permanente aos seus favoritos.
Rob Pugh profile
Rob Pugh

Rob is the Marketing Lead for Jetpack. He has worked in marketing and product development for more than 15 years, primarily at Automattic, Mailchimp, and UPS. Since studying marketing at Penn State and Johns Hopkins University, he’s focused on delivering products that delight people and solve real problems.

Descubra as vantagens do Jetpack

Saiba como o Jetpack pode ajudar você a proteger, acelerar e desenvolver seu site do WordPress.

Consiga até 50 de desconto no seu primeiro ano.

Compare planos

Dúvidas?

Os comentários estão desabilitados para este artigo, mas vamos ajudar você! Acesse o fórum de suporte. Teremos o prazer de tirar suas dúvidas.

Visualizar fórum de suporte

  • Digite seu endereço de email para acompanhar esse blog e receber notificações de novos posts por email.

    Junte-se a 250 outros assinantes

  • Ver por Tópico

  • Arquivos

    • %d blogueiros gostam disto: