Pular para o conteúdo

A lista de verificação definitiva de segurança do WordPress

segurança do wordpress

Todo site está aberto a possíveis ataques, mas alguns sites correm mais riscos do que outros. Se você executa um projeto de nível empresarial, terá um alvo gigante pintado nas suas costas. Isso ocorre porque a maioria dos hackers é atraída pelo volume de dados confidenciais de clientes que você pode ter em mãos.

Felizmente, há várias coisas que você pode fazer para manter seu site WordPress seguro. Além disso, a maioria dessas medidas de segurança são muito simples e levam apenas alguns minutos para serem implementadas.

Neste artigo, forneceremos uma lista de verificação de segurança abrangente do WordPress que você pode usar para manter seu site seguro. E embora este conselho seja voltado para organizações de nível empresarial, qualquer pessoa pode se beneficiar das ideias que discutiremos. Então vamos fazer isso!

A importância de ter uma lista de verificação de segurança do WordPress

A ideia de uma lista de verificação de segurança do WordPress pode parecer desatualizada para sites corporativos. Afinal, existem muitos sistemas e ferramentas que você pode usar para automatizar tarefas críticas. Mas pode ser fácil ignorar algumas coisas, especialmente quando você tem um site grande para cuidar.

Por exemplo, se você tem um blog com um público pequeno, deixar de atualizar o WordPress por um tempo provavelmente não causará problemas. Mas se você administra um negócio on-line que depende de muitos plug-ins do WordPress e integrações de terceiros, esse descuido pode danificar seu site e custar milhares de dólares em tempo perdido e solução de problemas.

O objetivo de uma lista de verificação de segurança é garantir que nada passe despercebido, por menor que seja. Além de manter seu site em ótima forma, uma lista de verificação de segurança abrangente do WordPress pode trazer vários outros benefícios:

Proteção contra ameaças on-line

A popularidade do WordPress o torna alvo de hackers. Uma lista de verificação de segurança do WordPress ajuda você a tomar medidas proativas para se defender contra ameaças cibernéticas, como  ataques de força bruta , injeção de SQL e scripts entre sites.

Dados confidenciais do usuário protegidos

Se o seu site coleta e armazena informações confidenciais, como endereços de e-mail e credenciais de login, a implementação de uma lista de verificação de segurança do WordPress reduz o risco de acesso não autorizado a esses dados.

Conformidade com regulamentos

Vários regulamentos exigem que você siga medidas de segurança rígidas para proteger os dados do usuário. Uma lista de verificação de segurança ajuda você a manter a conformidade com essas regulamentações e evitar possíveis penalidades legais.

Preservação da sua reputação

Se o seu site for comprometido, isso poderá prejudicar a reputação da sua marca e minar a confiança do cliente. Uma lista de verificação de segurança ajuda a manter a credibilidade, minimizando o risco de incidentes de segurança.

Um especialista em segurança do WordPress saberá exatamente o que precisa ser feito para manter seu site seguro. Mas mesmo funcionários veteranos em segurança cibernética podem se beneficiar por ter um recurso disponível para ajudar a garantir que nada esteja faltando.

Uma lista de verificação é fácil de consultar. Além disso, você não precisará pagar centenas de dólares por uma ferramenta de segurança que o aconselhará a realizar exatamente as mesmas tarefas desta lista.

Quem criou esta lista de verificação e por que devo confiar nela?

WPScan é um scanner de segurança WordPress de código aberto. Você pode acessá-lo com vários plug-ins, por meio de própria API ou por meio de nosso  scanner CLI . Mantemos um banco de dados com mais de 39.000 vulnerabilidades do WordPress e adicionamos regularmente novas entradas ao nosso banco de dados mantido pelos principais especialistas em segurança do WordPress.

Nosso objetivo é fornecer um recurso definitivo de vulnerabilidades do WordPress que qualquer pessoa possa acessar para manter seus sites seguros. Nossa experiência trabalhando com desenvolvedores e profissionais de segurança significa que encontramos e nos defendemos contra quase todos os tipos de ameaças imagináveis.

Com isso em mente, esta lista de verificação fornece uma visão geral abrangente das tarefas (únicas e recorrentes) que você pode executar para evitar vulnerabilidades em seu site e mantê-lo seguro.

Lista de verificação de 29 pontos para líderes de segurança do WordPress

Antes de mergulharmos nas medidas de segurança de nossa lista, você pode querer dar uma rápida olhada nos princípios básicos de segurança para todos os sites WordPress. Além disso, você também pode salvar uma cópia da lista abaixo para facilitar a consulta:

  1. Mantenha o núcleo, os temas e os plug-ins do WordPress atualizados
  2. Aplique políticas rígidas de nome de usuário e senha
  3. Implemente acesso baseado em função e controle de permissões
  4. Habilite 2FA para todas as contas de usuário
  5. Limitar tentativas de login
  6. Habilitar registro e monitoramento de usuários
  7. Instale um plugin de segurança confiável
  8. Configurar um Firewall de Aplicativo Web (WAF)
  9. Instale um certificado SSL
  10. Use uma rede de distribuição de conteúdo (CDN)
  11. Use SFTP em vez de FTP
  12. Monitore e atualize sua versão do PHP
  13. Faça backup regularmente do seu site
  14. Mantenha backups em um servidor separado
  15. Aproveite o banco de dados de vulnerabilidades do WPScan
  16. Avalie regularmente plug-ins e temas de terceiros
  17. Alterar o prefixo padrão do banco de dados WordPress
  18. Use URLs personalizados /wp‑admin e /wp‑login.php
  19. Restringir o acesso wp‑admin por endereço IP
  20. Use a autenticação multifator (MFA) para usuários críticos
  21. Proteja seu  /wp-config .  arquivo php
  22. Desabilitar edição de arquivo
  23. Desativar navegação/listagem de diretório
  24. Desative o relatório de erros do PHP
  25. Desative a divulgação da versão do WordPress
  26. Implementar uma Política de Segurança de Conteúdo (CSP)
  27. Habilitar cabeçalhos de segurança
  28. Implementar uma revisão de código e processo de controle de qualidade (para desenvolvedores)
  29. Realize treinamentos regulares para os funcionários

Nas seções a seguir, detalharemos cada item de nossa lista de verificação de segurança.

Parte 1: O básico

Em termos de segurança do WordPress, “o básico” são as principais tarefas que você precisa realizar para manter seu site seguro. A implementação dessas estratégias essenciais ajudará a proteger seu site contra a maioria das formas de ataques.

1. Mantenha o núcleo, os temas e os plug-ins do WordPress atualizados

A atualização do WordPress garante que você esteja executando a versão mais recente, que inclui patches de segurança e correções de bugs. Isso é fundamental porque os hackers geralmente têm como alvo versões desatualizadas com vulnerabilidades conhecidas.

Para atualizar o WordPress, vá para  Painel  →  Atualizações  no painel de administração. Esta página listará todas as atualizações disponíveis para o WordPress Core, bem como quaisquer plug-ins e temas que você usa.

atualizações disponíveis no painel do WordPress

Para aumentar a segurança, recomendamos o uso de um site de teste para testar todas as atualizações do WordPress. Às vezes, essas atualizações podem causar problemas de compatibilidade, por isso é mais seguro executá  -las em um ambiente privado  antes de ativar as alterações.

2. Aplique políticas rígidas de nome de usuário e senha

Sua organização pode estar usando as ferramentas de segurança WordPress mais avançadas do mercado. Mas o seu site é tão forte quanto o seu elo mais fraco – e isso tende a ser as senhas.

O WordPress sugere enfaticamente que os usuários criem senhas fortes e fornece alguns incentivos para encorajar isso. Para segurança adicional, sua organização pode usar um plugin seguro do WordPress para forçar os usuários a renovarem as senhas regularmente.

notificação de uma senha fraca no WordPress

Se os invasores obtiverem acesso a uma conta de administrador do WordPress, eles poderão causar muitos estragos. Para proteger ainda mais o seu site, você pode pedir aos funcionários que evitem nomes de usuário fáceis de adivinhar (como combinações de nomes e sobrenomes).

3. Implementar acesso baseado em funções e controle de permissões

Por padrão, o WordPress usa um sistema básico de funções que permite segmentar usuários com base nas coisas que eles podem fazer em seu site. Os administradores são os únicos usuários com acesso total a todas as funcionalidades do painel.

lista suspensa de funções de usuário no WordPress

Ao limitar o acesso e as capacidades dos usuários, você pode reduzir o risco de alterações não autorizadas em seu site e minimizar os danos potenciais de contas comprometidas. Em outras palavras, nenhum usuário deve ter uma função que lhe dê acesso a  mais  permissões do que o necessário.

Auditar regularmente usuários e permissões ajudará a manter seu site seguro. Se precisar editar uma função de usuário no WordPress, você pode fazer isso na  guia Usuários  .

4. Habilite a autenticação de dois fatores (2FA) para todas as contas de usuário

A autenticação de dois fatores (2FA) já é a norma para uma parte significativa da web. Adicionar uma segunda camada de verificação à sua página de login do WordPress torna mais difícil para os invasores obterem acesso ao seu site, mesmo que consigam obter credenciais de trabalho.

Se você não implementou 2FA no WordPress, poderá fazê-lo com  a funcionalidade de autenticação segura do Jetpack . Este recurso permite que os usuários façam login em sites WordPress auto-hospedados com suas contas do WordPress.com, e você pode configurá-lo para exigir 2FA.

Configurações de autenticação segura do Jetpack

Muitos sites públicos tornam o 2FA opcional para evitar incomodar os usuários. Para sites de nível empresarial, recomendamos impor o uso de 2FA para ajudar a minimizar problemas de segurança do WordPress.

5. Limite as tentativas de login

Ataques de login de força bruta são incrivelmente comuns. Hackers e bots verificam sites em busca de credenciais fracas. Eles também procuram sites onde não serão bloqueados após várias tentativas de login.

Ao limitar o número de vezes que os usuários podem tentar fazer login em um período específico, você pode minimizar o risco de ataques de força bruta bem-sucedidos. Um usuário comum pode esquecer sua senha de vez em quando, mas não fará dezenas ou centenas de tentativas de login por minuto, que é exatamente o que os bots fazem.

A maneira mais fácil de limitar as tentativas de login no WordPress é usar um plugin como o Jetpack. O  recurso de proteção contra ataques de força bruta  é gratuito para todos os usuários do Jetpack e pode bloquear automaticamente IPs maliciosos  antes  mesmo que eles cheguem ao seu site.

6. Habilite o registro e monitoramento do usuário

Uma parte fundamental de uma rede segura ou da segurança de um site é ser capaz de detectar quaisquer irregularidades. Os registros de usuários e de segurança dão aos profissionais de segurança acesso a todos os eventos importantes que ocorrem no site.

Você pode usar logs de segurança do site para revisar informações como tentativas de login, alterações em arquivos principais, atualizações de páginas e muito mais. Se algo parecer um pouco suspeito, você poderá ver quando aconteceu e qual usuário estava envolvido.

lista de atividades que ocorrem em um site

Uma política de segurança abrangente envolverá alguém de sua equipe revisando periodicamente os logs em busca de eventos irregulares. Além disso, a maioria dos logs de atividades do site WordPress permitirá que você configure notificações para eventos específicos, para que você não precise verificar os logs entrada por entrada todos os dias.

7. Instale um plugin de segurança confiável

Existem muitos plug-ins de segurança do WordPress que você pode usar. A maioria deles combina muitos recursos para ajudar a proteger seu site, como 2FA, firewalls e muito mais.

Instalar um plugin de segurança confiável pode ajudar a proteger seu site. A ferramenta que você usará dependerá muito dos recursos de segurança que você deseja implementar e do seu orçamento.

Página inicial do Jetpack Security

O Jetpack Security , por exemplo, oferece backups completos do site, proteção contra ataques de força bruta, registro de atividades, autenticação segura e proteção contra spam, entre outros recursos.

8. Configure um Firewall de Aplicativo Web (WAF)

Um Web Application Firewall (WAF) foi projetado para verificar todo o tráfego de entrada e bloquear solicitações maliciosas, como  injeções de SQL  ou ataques de script entre sites. Usar um WAF ajuda a proteger seu site WordPress contra ameaças comuns e reduz a probabilidade de ataques bem-sucedidos.

Existem várias maneiras de configurar um firewall para WordPress. Alguns serviços de hospedagem oferecem esse recurso no nível do servidor. Outra opção é usar um plugin de segurança que ofereça WAF, como  Jetpack Protect .

9. Instale um certificado SSL

Um  certificado SSL  permite que seu site seja carregado por HTTPS. O protocolo HTTPS criptografa os dados transmitidos entre o seu servidor e os navegadores dos visitantes.

Essa criptografia ajuda a proteger informações confidenciais, como credenciais de login e dados pessoais, contra interceptação por hackers. Os certificados SSL também melhoram a credibilidade do seu site e podem impactar positivamente as classificações dos mecanismos de pesquisa.

Obter um certificado SSL é extremamente fácil. Muitos hosts da web WordPress os configuram automaticamente quando você cria um site. Como alternativa, você pode procurar certificados SSL corporativos para obter segurança adicional.

10. Use uma rede de distribuição de conteúdo (CDN)

Uma Content Delivery Network (CDN) é uma rede de servidores que armazena em cache e distribui o conteúdo do seu site para reduzir o tempo de carregamento   a carga do servidor. Alguns dos CDNs mais populares para WordPress incluem  Cloudflare  e  Jetpack Boost .

Alternar CDN de imagem no Jetpack Boost

Além disso, os CDNs podem aumentar a segurança do seu site, oferecendo recursos como proteção DDoS, filtragem de tráfego e transmissão segura de dados. Isso ajuda a proteger seu site contra várias ameaças e, ao mesmo tempo, melhora seu desempenho geral.

Esta não é uma etapa essencial para a segurança do WordPress, mas é uma etapa extra interessante depois de você ter coberto os princípios básicos de segurança.

11. Use SFTP em vez de FTP

O Secure File Transfer Protocol (SFTP) é uma versão criptografada do File Transfer Protocol (FTP). Usar SFTP ao transferir arquivos de e para seu servidor adiciona uma camada extra de segurança ao criptografar os dados em trânsito, evitando acesso não autorizado ou interceptação de dados.

Detalhes de hospedagem SFTP/SSH

A maioria dos hosts da web modernos fornecerá credenciais SFTP quando você configurar um site. Você pode usar essas credenciais com qualquer cliente SFTP/FTP de sua escolha. Na prática, ambos os protocolos funcionam da mesma forma, mas um deles é mais seguro (semelhante ao HTTP/HTTPS).

12. Monitore e atualize sua versão do PHP

PHP é uma das linguagens de programação na qual o WordPress foi desenvolvido. Para executar o WordPress em um servidor, você precisa instalar o PHP, de preferência a versão mais recente.

Você pode verificar qual versão do PHP seu site usa navegando até  Ferramentas  →  Saúde  →  Informações  →  Servidor  no painel.

detalhes do servidor, incluindo versão PHP, no WordPress

PHP desatualizado pode tornar seu site vulnerável (como acontece com qualquer outro software). Portanto, mantê-lo atualizado pode ajudar a manter a segurança do seu site e garantir a compatibilidade com os recursos mais recentes do WordPress.

A maioria dos hosts da web modernos permitirá que você alterne entre versões do PHP ou atualize-as automaticamente.

13. Faça backup regularmente do seu site (e banco de dados)

A realização de backups regulares facilitará a recuperação do seu site em caso de ataque. Além disso, você reduzirá o risco de perder informações críticas.

Detalhes do backup do VaultPress

Ter um backup recente em mãos permite restaurar seu site sem demora, minimizando o tempo de inatividade. Observe que um backup completo do WordPress envolve os arquivos do site e o banco de dados.

Idealmente, esse processo deve ser automatizado com um plugin confiável como  Jetpack VaultPress Backup  (que também cria backups em tempo real e os armazena em servidores separados). Dessa forma, você não precisa fazer backup do site manualmente todos os dias.

Os sites corporativos do WordPress também devem procurar soluções de backup que salvem as alterações em tempo real. Backups incrementais em tempo real, como aqueles criados pelo VaultPress Backup, são eficientes para armazenamento, mas salvam cada alteração ou atualização assim que ela ocorre. Em outras palavras, você nunca perderá uma atualização, pedido ou envio de fórum.

14. Mantenha os backups em um servidor separado

Backups regulares são uma etapa essencial para manter seu site e seus dados seguros. Mas armazenar backups em um único local pode levar a uma falha de segurança se a plataforma ou o servidor apresentar mau funcionamento. Muitos serviços de hospedagem segura incluem alguma forma de backup de sites como parte de seus planos, mas isso não significa que você esteja totalmente coberto. Você precisa de mais do que o seu provedor de hospedagem sozinho pode oferecer.

Sites corporativos WordPress, especialmente, devem salvar backups em um servidor separado para garantir que, mesmo que seu servidor principal seja comprometido, seus backups permaneçam seguros e acessíveis. Isso ajuda a restaurar seu site para um estado seguro e reduz o risco de perda de dados em caso de violação de segurança.

15. Desative plug-ins não utilizados

Plugins mal codificados adicionam vulnerabilidades de segurança ao seu site que os invasores podem explorar. Mesmo os melhores plug-ins e temas podem se tornar vulneráveis ​​a ataques – atores mal-intencionados podem eventualmente encontrar brechas no software.

Atualizações regulares podem minimizar esse risco. Mas se houver algum plug-in em seu site que você não usa mais, remova-o imediatamente.

Isso não afetará de forma alguma a funcionalidade do seu site, mas ajudará a eliminar seu potencial como vetores de ataque. Para manter seu site seguro, recomendamos fazer isso periodicamente.

Parte 2: Itens Avançados

Agora que cobrimos os fundamentos da segurança do WordPress, vamos passar para tarefas mais avançadas. Essas medidas de segurança ajudarão a proteger ainda mais o seu site.

16. Aproveite o banco de dados de vulnerabilidades do WPScan

WPScan mantém um banco de dados abrangente de vulnerabilidades conhecidas do WordPress. O uso de uma ferramenta que aproveita esse banco de dados permitirá que você monitore seu site WordPress em busca das vulnerabilidades e falhas de segurança mais recentes à medida que são descobertas.

Página inicial do WPScan com uma lista de vulnerabilidades

Saber que seu site é vulnerável é metade da equação quando se trata de segurança. Assim que sua equipe estiver ciente das vulnerabilidades existentes, eles poderão procurar maneiras de corrigi-las ou eliminá-las.

17. Avalie regularmente temas e plug-ins de terceiros

Plugins e temas de terceiros podem introduzir vulnerabilidades no seu site WordPress. Para manter seu site seguro, recomendamos realizar avaliações regulares de todas as ferramentas de terceiros instaladas.

Para temas e plug-ins do WordPress, isso envolve a verificação de atualizações e a análise de análises recentes e/ou notas do desenvolvedor em busca de problemas de segurança. Na maioria dos casos, você não deverá ter problemas com plug-ins ou temas se obtê-los de fontes confiáveis, como o repositório WordPress.org.

18. Altere o prefixo padrão do banco de dados WordPress

Por padrão, o WordPress usa ‘wp_’ como prefixo do banco de dados. Isso facilita a identificação do banco de dados, tanto para desenvolvedores quanto para invasores.

Alterar o prefixo é simples e protege contra um ataque potencial. Embora existam plug-ins que permitem fazer isso, recomendamos alterar o prefixo do banco de dados manualmente, editando  o  arquivo wp-config.php  do WordPress  no  diretório raiz  .

Antes de fazer qualquer alteração nos arquivos principais, lembre-se de fazer backup completo do site e do banco de dados. Depois de alterar o prefixo do banco de dados em  wp-config.php , você também precisará renomear todas as tabelas existentes no banco de dados.

 19. Use URLs personalizados  /wp-admin  e  /wp-login.php

O mesmo URL de login padrão do WordPress e URL de administrador são usados ​​para cada instalação. Estes são:

  • seusite.com/wp-login.php
  • seusite.com/wp-admin.php

Essa estrutura básica facilita a memorização dos URLs, mas também significa que eles são fáceis de encontrar pelos invasores. Alterar os URLs padrão de ambas as páginas ajudará a evitar ataques de força bruta em seu site WordPress.

Se você estiver executando um servidor Apache, poderá alterar os URLs padrão /wp-admin e /wp-login.php manualmente editando o  arquivo .htaccess  no  diretório raiz  do WordPress .

WPS Ocultar página de login no repositório

Alternativamente, você pode usar um plugin como  WPS Hide Login .

20. Restringir  o acesso wp-admin  por endereço IP

Alterar o  URL wp-admin  padrão é um grande passo em termos de segurança. Mas se você quiser proteger ainda mais o seu site, recomendamos a criação de uma lista de permissões de endereços IP que podem acessar o painel.

A lógica dessa abordagem é que ninguém sem uma conta deveria acessar o painel de qualquer maneira. Cada funcionário deve ter um endereço IP exclusivo (ou obter um com VPN).

Se estiver executando um servidor Apache, você poderá adicionar esses endereços a uma lista de permissões no  arquivo .htaccess  . Será parecido com o seguinte:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^IP_ADDRESS$
RewriteCond %{REMOTE_ADDR} !^IP_ADDRESS$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>

Se o endereço do usuário não estiver na lista de permissões, o WordPress retornará um  erro 403 Acesso negado  .

21. Use autenticação multifator (MFA) para usuários críticos

A autenticação de dois fatores é mais que suficiente para manter a maioria das contas de usuário seguras, mas você pode querer implementar uma medida mais avançada em sua página de login. A autenticação multifator exige que os usuários enviem códigos únicos enviados por pelo menos dois métodos, como e-mail, SMS e/ou aplicativos de autenticação.

configuração de autenticação multifator

A MFA é uma medida de segurança crítica para contas com privilégios de alto nível, como administradores. Adicionar mais fatores de autenticação diminui as chances de invasores obterem acesso a essas contas, mesmo que consigam sequestrar o e-mail.

A maioria dos plug-ins de segurança do WordPress não oferece suporte a MFA. Se você deseja aplicar esta política de segurança, recomendamos o uso  da autenticação de dois fatores MiniOrange . A versão premium deste plugin permite configurar vários fatores de autenticação para funções de usuário específicas.

22. Proteja seu   arquivo wp-config.php

O  arquivo wp-config.php  contém informações confidenciais sobre a instalação do WordPress, incluindo detalhes de conexão com o banco de dados. Idealmente, ninguém, exceto o administrador, deveria ter acesso a ele.

Para fazer isso, você desejará limitar o acesso ao SFTP ao administrador e a outros funcionários que o necessitem absolutamente para fins de desenvolvimento. Além disso, você desejará configurar o WordPress para impedir o acesso ao  wp-config.php  se um invasor encontrar uma maneira de executar o arquivo.

A solução mais simples aqui é editar  .htaccess  para bloquear o acesso ao  wp-config.php  de todos os endereços IP. Aqui está o código que você precisará usar:

1
2
3
4
5
6
7
<files wp-config.php>
order allow,deny
deny from all
</files>

Observe que este código não impede que você acesse o arquivo via FTP ou através do painel de controle do seu provedor de hospedagem. Ele bloqueia apenas o acesso dos navegadores, um método que os invasores usariam na maioria dos casos.

23. Desative a edição de arquivos

O WordPress permite que qualquer pessoa com uma conta de administrador edite arquivos de temas e plugins diretamente do painel. Este recurso pode ser útil se você precisar fazer alterações rápidas no código do site. Mas na maioria dos casos, é muito melhor usar SFTP e um editor de código normal para fazer alterações.

Desabilitar a edição de arquivos no painel evita que invasores mexam no código do seu site se conseguirem entrar. Você pode desabilitar os editores de tema e plug-in na área administrativa editando o arquivo  wp-config.php  e adicionando esta linha de código:

1
define('DISALLOW_FILE_EDIT',true);

Depois de adicionar o código, salve as alterações no arquivo e feche-o. Agora, a função de administrador não poderá acessar nenhum dos editores no painel.

24. Desative a navegação/listagem de diretório

Se a navegação no diretório estiver habilitada em seu site, qualquer pessoa poderá visualizar o conteúdo das pastas que não possuem um arquivo de índice. Isso pode expor arquivos e informações confidenciais a invasores em potencial.

A maioria dos provedores de hospedagem WordPress seguros desativa a navegação em diretórios por padrão. Você pode verificar se o seu faz isso tentando acessar um diretório através do navegador, usando a seguinte URL:

seusite.com/wp-includes/

Se a navegação no diretório estiver desativada, você verá um erro 403. Caso contrário, uma lista completa dos arquivos e pastas do diretório aparecerá, permitindo que você navegue a partir do navegador.

Para desativar a navegação no diretório, abra o  arquivo .htaccess  e adicione a seguinte linha de código no final:

1
Options -Indexes

Salve as alterações em  .htaccess  e tente abrir qualquer diretório do seu site usando um navegador. O navegador agora deve retornar um  erro de acesso proibido  .

25. Desative o relatório de erros do PHP

Às vezes, ao carregar um site que usa PHP, você verá mensagens de erro relacionadas à linguagem do navegador. Essas mensagens podem ser úteis para solução de problemas, mas também podem revelar informações confidenciais sobre o seu site.

No WordPress, você poderá ver essas mensagens de erro aparecendo na tela se ativar o relatório de erros ou o modo de depuração. Você pode desativar essas mensagens de erro acessando o  arquivo wp-config.php  no  diretório raiz  do WordPress e adicionando o seguinte código a ele:

1
2
3
4
5
6
7
ini_set('display_errors','Off');
ini_set('error_reporting', E_ALL );
define('WP_DEBUG', false);
define('WP_DEBUG_DISPLAY', false);

Isso desativará o relatório de erros do PHP, bem como o modo de depuração do WordPress. Enquanto estiver fazendo isso, certifique-se de que não haja uma linha duplicada definindo o status de  WP_DEBUG , o que pode causar mais erros em seu site.

26. Desative a divulgação da versão do WordPress

Alguns temas do WordPress divulgam ao público a versão do sistema de gerenciamento de conteúdo (CMS) que você usa. Isto é problemático, pois algumas versões do CMS incluem vulnerabilidades de segurança bem conhecidas.

Isso não é necessariamente um grande problema se você atualiza com frequência, mas não há razão para que os visitantes saibam qual versão do WordPress você está usando.

Para desativar esse recurso, conecte-se ao seu site via SFTP e navegue até a pasta do seu tema ativo ( wp-content/themes/). 

Uma vez dentro, localize o  arquivo functions.php  e abra-o. Adicione a seguinte linha de código no final do arquivo:

1
remove_action('wp_head', 'wp_generator');

Salve as alterações em  functions.php  e feche o arquivo. Tenha em mente que se você alterar temas ou atualizar seu tema sem usar um tema filho, você precisará repetir esta etapa para evitar a divulgação da versão do WordPress.

27. Habilite cabeçalhos de segurança

Os cabeçalhos de segurança são respostas do servidor que adicionam uma camada extra de proteção ao seu site. Eles podem ajudar a prevenir ataques como clickjacking e injeção de código, controlando a forma como o site carrega e é exibido no navegador.

Existem vários tipos de cabeçalhos de segurança que você pode usar em seu site. Esses incluem:

  • Política de segurança de conteúdo (CSP).  Um CSP define regras para onde os recursos (como scripts, folhas de estilo e imagens) podem ser carregados, ajudando a prevenir ataques como Cross-Site Scripting (XSS).
  • Opções de quadro X.  Este cabeçalho pode impedir que seu site seja usado em ataques de clickjacking, controlando se seu site pode ser carregado em um frame ou iframe.
  • Segurança Estrita de Transporte (HSTS).  O cabeçalho HSTS força o navegador a usar apenas conexões seguras (HTTPS), o que ajuda a prevenir ataques man-in-the-middle.
  • Opção de tipo de conteúdo X.  Este cabeçalho evita  ataques baseados em “mime”  desativando a detecção de MIME do navegador.

Aqui está um exemplo da aparência de um cabeçalho de segurança no código HTML de um site. Como o nome indica, os cabeçalhos vão na  seção head  do código:

1
2
3
4
5
6
7
8
9
<head>
    <title>Your Website Title</title>
    <meta http-equiv="Content-Security-Policy" content="default-src 'self';">
    <!-- Other meta tags, stylesheets, scripts etc. -->
</head>

A implementação de cabeçalhos de segurança no WordPress requer que você edite o  arquivo .htaccess  . Alguns plug-ins de segurança inserem automaticamente tipos específicos de cabeçalhos em seu site, então você pode querer verificar suas  tags de cabeçalho  antes de adicionar mais.

28. Implementar uma revisão de código e processo de controle de qualidade (para desenvolvedores)

Tal como acontece com as revisões de código, um processo abrangente de garantia de qualidade é essencial para qualquer projeto de desenvolvimento.

Com um site WordPress de nível empresarial, qualquer alteração feita no código deverá passar por várias etapas de revisão e aprovação antes de ser publicada. Além disso, o código deve passar por um site de teste antes de ser lançado em produção.

Se não houver um processo definido de revisão de código e controle de qualidade em sua organização, ele precisará ser implementado imediatamente. Esse processo pode retardar as atualizações, mas garante que, quando elas acontecerem, seu site não quebre.

29. Realize treinamentos regulares de funcionários

O erro humano é uma das causas mais comuns de violações de segurança. A formação regular dos funcionários sobre as melhores práticas de segurança, como reconhecer ameaças e como responder a potenciais incidentes pode reduzir significativamente o risco de uma violação de segurança.

Para um site WordPress seguro, você deve treinar sua força de trabalho sobre os fundamentos do CMS e por que  medidas de segurança como atualizações, 2FA e revisões de código são essenciais. Se os funcionários compreenderem a lógica por trás de cada medida de segurança, é mais provável que a sigam.

Perguntas frequentes

Mesmo depois de passar por uma lista de verificação de segurança abrangente do WordPress, você ainda pode ter algumas dúvidas sobre como manter seu site seguro. Vamos responder a alguns deles.

O que é WPScan e quem pode se beneficiar com o uso de seu banco de dados de vulnerabilidades?

WPScan é um banco de dados de vulnerabilidades e ferramenta de verificação do WordPress de código aberto. Qualquer pessoa com um site WordPress pode se beneficiar com seu uso, pois pode ajudar a revelar vulnerabilidades em seu site.

Existem várias maneiras de verificar seu site usando o banco de dados WPScan. A maneira mais fácil é usar  o Jetpack Protect , que pode ajudá-lo a configurar a verificação diária do seu site e recomendar soluções com base nos resultados obtidos.

 

Com que frequência devo revisitar a lista de verificação de segurança do WordPress?

Projetamos esta lista de verificação como uma fonte que você pode consultar a qualquer momento. Se você possui processos de segurança internos para WordPress, recomendamos compará-los com a lista de verificação para ter certeza de que você não está negligenciando nenhum item importante.

Alguns itens da lista de verificação são tarefas únicas, enquanto outros exigem que você os execute periodicamente. Cada tarefa na lista de verificação fornece instruções sobre como realizá-la, por isso encorajamos você a marcá-la e revisitá-la com frequência.

Como o WPScan coleta dados de vulnerabilidade do WordPress?

WPScan trabalha com especialistas em segurança do WordPress para coletar dados de fontes que incluem lançamentos oficiais do WordPress, avisos de segurança pública, envios da comunidade e pesquisas independentes. Todos esses dados são reunidos no banco de dados de vulnerabilidades do WordPress mais abrangente disponível online.

Estatísticas de vulnerabilidade do WordPress

Existem ferramentas ou serviços automatizados que podem ajudar na segurança do WordPress?

Se quiser automatizar parte da sua lista de verificação de segurança do WordPress, você pode usar um plugin como  Jetpack Security . Com esta ferramenta, você pode automatizar tarefas importantes, como verificação de malware, backups completos de sites e firewall de aplicativos da web.

Proteja o site da sua empresa

Todo site está aberto a vulnerabilidades, incluindo sites corporativos. WordPress é uma plataforma incrivelmente poderosa e flexível, mas sua popularidade também o torna alvo de invasores.

Se quiser proteger seu negócio, você precisará fazer da segurança a base de sua operação. Isso significa ter processos abrangentes de segurança do WordPress em vigor. Por exemplo, você deseja ficar de olho nos plug-ins e temas do WordPress, aplicar senhas fortes e criar backups regulares.

Também é importante se munir das ferramentas certas. WPScan  irá ajudá-lo a ficar por dentro das vulnerabilidades do WordPress, para que você possa manter seu site seguro.

Sobre nós

Somos uma Agência Digital de serviço completo que combina web design, marketing na Internet e desenvolvimento para transformar a maneira como nossos clientes se comunicam online.

Obtenha resultados mensuráveis com marketing online

×