Tornar seu site seguro não é algo que ocorre uma única vez. Não é um botão que você pode mudar para “SEGURO” e não se preocupar com isso novamente. A segurança da Web é construída em camadas. O objetivo de cada camada é tornar um pouco mais difícil para os maus atores entrarem e fazerem coisas ruins. Nosso objetivo é colocar camadas apenas o suficiente para que eles desistam e sigam para um local com menos camadas.
Exatamente, o que é “Segurança do WordPress”?
Muitos proprietários de sites com quem converso pensam que a segurança do WordPress é um plugin que eles instalam ou um serviço que compram. Nada poderia estar mais longe da verdade. A segurança é uma mentalidade, não uma coisa específica. É algo em que você deve pensar em todas as decisões que tomar sobre o seu site.
- Quer um novo tema? Qual é o tema da reputação dos desenvolvedores em termos de segurança?
- Quer adicionar um novo plugin? Quão seguro é isso? Houve alguma vulnerabilidade relatada nele?
- Quer contratar um novo empreiteiro? O que outras pessoas têm a dizer sobre seu trabalho? O código deles é seguro?
Cada decisão que você toma deve ser envolvida na pergunta “Como isso afetará a segurança do meu site?” Se você não pode dizer com certeza se a resposta a essa pergunta é aumentá-la ou pelo menos não prejudicá-la, então você precisa repensar a decisão.
A outra analogia que uso muito é que a segurança não é uma ação específica, mas uma série de camadas que você envolve em seu site.
- A camada superior é um firewall de rede
- A próxima camada é o firewall do seu aplicativo (no WordPress, geralmente é um plug-in)
- A próxima camada são as senhas fortes
- A próxima camada é a autenticação de dois fatores
- A próxima camada é mover seu diretório wp-admin para um nome diferente.
- A próxima camada em não está usando o nome de login “admin”
- O próximo advogado é desabilitar XML-RPC
Nenhuma dessas coisas por si só vai tornar seu site seguro. No entanto, todos eles juntos podem tornar o seu site seguro, de modo que os malfeitores movam-se para um site com menos segurança. Outra boa notícia é que hoje em dia você pode proteger facilmente seu site hospedando-o com um parceiro de hospedagem de alta qualidade que compromete-se com a segurança.
Você pode notar que Instalando um certificado SSL não está na lista acima. Isso ocorre porque ter um certificado SSL é o que chamamos de “apostas de mesa” atualmente. Isso significa que não é uma medida de segurança, é algo que você deve fazer ao configurar todo e qualquer site. Eles melhoram sua segurança e sua classificação no mecanismo de pesquisa
Quais são os melhores plug-ins de segurança do WordPress para proteger cada camada do seu site WordPress?
A configuração da configuração em camadas descrita acima levará algum tempo para a maioria das pessoas. Como mencionado antes, quase tudo pode ser realizado atualmente por proprietários de sites não técnicos. Dito isso, se você estiver nervoso com isso ou inseguro quanto à sua capacidade de dedicar tempo para fazer as coisas certas, contrate alguém de sua confiança para fazer isso por você.
Firewall de rede
Se você estiver usando um parceiro de hospedagem confiável como o SiteGround, ele será configurado para você. Se não tiver certeza se seu parceiro de hospedagem oferece esse serviço para você, pergunte a ele. Se você não obtiver um “Sim, fornecemos um firewall de rede” é muito claro, considere encontrar um novo parceiro de hospedagem.
No ecossistema WordPress, “Firewall de aplicativo” geralmente significa um plugin. Existem vários bons com reputação sólida para escolher.
Firewall de aplicativo
Normalmente não recomendo plug-ins específicos porque, assim que o faço, alguém me escreve para dizer como minhas recomendações estão erradas. Ainda assim, como muitos usuários me pediram recomendações sobre plug-ins de segurança, vou quebrar minha regra e fazer algumas recomendações. É importante observar que não estão em uma ordem específica.
A propósito, a maioria desses plug-ins faz muito mais do que apenas um Firewall de aplicativo.
- Verificação de malware
- Auditorias de segurança
- Fortalecimento da segurança
- Firewall do site
Jetpack
Jetpack é o plugin omnibus da Automattic. Tem muitas funcionalidades e a maior parte delas não trata de segurança. No entanto, ele possui alguns recursos de segurança integrados. Se você já instalou o Jetpack, considere adquirir os recursos de segurança.
Se você não tem o Jetpack instalado e não precisa de nenhum dos outros recursos, esta pode não ser a melhor solução.
Segurança Sucuri
A Sucuri já existe há algum tempo e tem uma ótima reputação. Além de oferecer um firewall de aplicativo da Web, a Sucuri oferece muitos outros recursos:
- Remoção de malware e limpeza de hack
- Mitigação avançada de DDoS
- Freqüência de verificação de malware e hack
Esses três recursos são importantes e abrangidos por seu nível básico. Em suma, a Sucuri é uma oferta completa que seria uma importante advogada na segurança de qualquer site.
Senhas fortes
Embora existam plugins disponíveis para esta camada, o suporte a senhas fortes felizmente está integrado ao núcleo do WordPress. Recomendo enfaticamente que você imponha senhas fortes a qualquer usuário que tenha alguma segurança acima de Convidado ou Assinante. Se eles podem gerenciar qualquer coisa, eles devem ter, no mínimo, uma senha forte.
WP 2FA
A autenticação de dois fatores (2FA) é uma das tecnologias mais recentes que surgiram na web, mas é importante. Logins e senhas podem ser roubados online, mas um telefone não. Ao adicionar 2FA como uma camada para sua segurança, você torna impossível para alguém acessar seu site apenas porque eles tiveram acesso ao seu login e senha.
Um plugin que usei ao longo dos anos para implementar 2FA é o WP 2FA . Faz apenas 2FA. Se você já tem um firewall de aplicativo que implementa 2FA, use-o. Mas se você não fizer isso, o WP-2FA é uma boa escolha.