Seu site está com ótima aparência, você tem um tráfego excelente e, no geral, está satisfeito. No entanto, tudo isso não vale nada se o seu site for invadido e você perder conteúdo, clientes e o acesso ao seu site.
Para evitar que isso aconteça, escrevi este conceito de segurança abrangente para o seu site WordPress.
Trabalhei todo o artigo Hardening WordPress para mostrar como implementar todas as recomendações de segurança em um guia passo a passo fácil para tornar o seu site WordPress à prova de balas contra tentativas de invasão.
Contents
Vídeo: como proteger o seu site WordPress
Se você prefere assistir a um vídeo em vez de ler este artigo sobre como proteger o seu site WordPress, pode assistir a este vídeo:
Dividi este artigo em três passos.
- Primeiro, analisamos a base de um site WordPress seguro: o provedor de hospedagem.
- Na segunda etapa, instalamos o plugin "WP STAGING" para criar uma rede de segurança ao instalar novos plugins ou temas. Também configuraremos um plugin de backup para restaurar rapidamente o site WordPress, no pior cenário, após um ataque de invasão bem-sucedido.
- Na última etapa, configuramos o plugin de segurança "Solid Security" para impedir que invasores acessem o nosso site.
Escolhendo o provedor de hospedagem certo
Vamos começar pelo alicerce de segurança do seu site: o provedor de hospedagem.
Existem muitos hosts por aí, e a maioria atende aos requisitos mínimos do WordPress, mas escolher um na multidão pode demorar.
- PHP versão 7.4 ou superior.
- MySQL versão 8.0 ou superior OU MariaDB versão 10.5 ou superior.
- Suporte a HTTPS
[Válido para WordPress 6.7 – março de 2025]
De qualquer forma, verifique se o seu provedor atende a esses requisitos.
Se estiver em dúvida sobre qual provedor escolher, opte por um dos provedores de hospedagem recomendados pelo WordPress.org.
Você pode continuar protegendo seu site se já usar um dos provedores recomendados ou se já tiver verificado os critérios de segurança do seu provedor.
Atualizações seguras e criação de um backup
Atualizar o núcleo do WordPress e os plugins regularmente é recomendado para corrigir problemas de segurança e erros, pois um software desatualizado deixa de receber atualizações de segurança e o seu site se torna muito mais suscetível a tentativas maliciosas de invasão.
Portanto, certifique-se de manter o núcleo do WordPress e os plugins e temas atualizados. Abra o Painel do WordPress e clique em "Atualizações". Você terá uma visão geral das atualizações do sistema do núcleo do WordPress, dos plugins e dos temas.
Alguns usuários do WordPress têm medo de atualizar seus sites WordPress. Eles temem que, ao fazê-lo, danifiquem o site.
Tratamos desse tema em um artigo separado chamado "Por que e como você deve desativar as atualizações automáticas do WordPress."
Atualização segura com "WP STAGING"
Para evitar danos ao seu site durante testes e ajustes, você pode usar o plugin gratuito "WP STAGING".
Abra a área "Plugins" no menu lateral e clique em "Adicionar novo". Em seguida, digite "WP STAGING" na barra de pesquisa. Instale e ative o plugin.
Abra o plugin WP STAGING. Em seguida, clique em "Create Staging Site", atribua um nome e clique em "Start Cloning". O plugin cria uma cópia do seu site. Depois, você pode usar o botão "Open Staging Site" para acessar o seu site de staging e experimentar todas as alterações em um ambiente seguro, sem colocar em risco o seu site de produção.
Recomendo ir direto à implementação e testar os ajustes do artigo em um site de staging em vez de trabalhar diretamente no seu site.
Você pode reconhecer pela barra de menu laranja que está trabalhando no site de staging criado pelo WP STAGING.
Criando um backup com "WP Staging"
Fazer backup do seu site é um processo fundamental para qualquer site WordPress. Para evitar perder todo o progresso, dados e pedidos, no pior caso quando o seu site for invadido, é preciso ter um backup do site WordPress.
Vamos começar.
Vá em WordPress > Plugins > Adicionar novo e pesquise por "WP STAGING"
Se estiver em dúvida sobre como instalar o plugin, dê uma olhada em nosso artigo "How to install WP STAGING | PRO".
Agora clique no botão "Backup & Migration". O WP STAGING | PRO procurará backups existentes.
As opções são "Create Backup" e "Upload Backup".
Clique em "Create a backup".
Você pode, opcionalmente, atribuir um nome com o qual identificará o backup.
Por exemplo, se planeja atualizar o WooCommerce ou qualquer outro plugin, pode nomear seu backup como "Backup before installing WooCommerce".
Em seguida, selecione os componentes do seu site que o WP STAGING | PRO deve incluir no backup. Deixe todas as caixas marcadas, a menos que queira realizar um teste específico. Agora clique em "Start Backup".
O tempo necessário para criar um backup varia e depende do tamanho do seu site, mas a função de backup do WP STAGING é bem rápida e geralmente muito mais veloz do que outras ferramentas de backup. Assim, especialmente para sites enormes, você notará uma vantagem considerável de desempenho em comparação a outras ferramentas.
Quando o backup estiver pronto, você encontrará o backup recém-criado na lista "Your Backups". Os ícones indicam quais componentes o backup inclui.
Baixar o arquivo de backup
Para baixar o backup, clique em Actions e Download. Isso baixará um arquivo com a extensão ".wpstg".
Baixar o arquivo de backup para um computador local é sempre recomendado, porque você quer garantir que sempre tenha acesso ao arquivo de backup. Por exemplo, se um invasor hackear o seu site, ele poderia excluir o arquivo de backup de lá e você não conseguiria mais restaurar o site.
Restaurar o arquivo de backup
Assim, para restaurar o backup em caso de um site quebrado, você pode selecionar o backup da lista dos existentes ou, como recomendado, fazer upload do arquivo de backup do seu computador local.
Um ótimo recurso é que você pode até fazer upload do arquivo de backup para qualquer outro site WordPress existente e usá-lo para clonar seu site em outro servidor ou outro site.
Volte para o WP STAGING e clique no botão "Upload Backup".
Selecione o backup baixado no explorador de arquivos e faça o upload.
Depois que o backup estiver carregado, clique em Actions e no botão "Restore", e um popup aparecerá. Faça o upload do seu arquivo de backup arrastando e soltando, inserindo uma "URL" ou enviando via "FTP" para o diretório indicado. Dentro, você verá dois botões: "Cancel" e "Next". Clique em "Next" para prosseguir.
Depois de clicar em "Next", uma nova janela aparecerá. Em seguida, clique em "Restore" para iniciar a restauração.
Se a restauração for bem-sucedida, você verá a modal "Finished Successfully".
Abra o seu site e verifique se está funcionando como esperado e totalmente operacional.
Agendando backups automáticos
Com o WP STAGING, você pode economizar tempo e esforço configurando os backups para serem executados automaticamente. Não é mais preciso lembrar de fazer backup do site toda vez que fizer uma alteração. Você pode ficar tranquilo sabendo que o seu site sempre está com backup e a salvo.
Backup "Create Backup", desmarque "One-Time-Only" e, em seguida, escolha entre as opções exibidas com que frequência os backups são feitos, quando começam e quantos backups manter.
É isso. Com a ajuda do WPSTAGING | PRO, você criou e restaurou um backup de todo o seu site WordPress.
Endurecendo seu site com um plugin de segurança
Para preparar este artigo, testei os plugins de segurança mais populares: "WordFence" e "Solid Security".
Ambos são plugins excelentes, mas optei pelo Solid Security pela configuração mais simples e pelos recursos adicionais para o endurecimento do site WordPress.
Instalar o plugin "Solid Security"
Instale e ative o plugin. Agora podemos abrir a nova aba "Security" no menu lateral clicando em "Settings".
Iniciar uma verificação de segurança inicial
O "Security Check" do Solid Security se abre. Esse "Security Check" é uma ferramenta com um clique que instala os módulos necessários em qualquer site WordPress. Eles incluem, por exemplo, a "Brute Force Protection" ou a aplicação de "Strong Passwords". Explicarei as funções dos diferentes módulos logo após o "Security Check".
Selecione "Security Check Scan" para continuar.
Mais dois cliques são necessários para concluir o processo.
Solid Security: SSL, Network Bruteforce Protection
Um clique confirma o "redirecionamento de solicitações HTTP para HTTPS". Essa função garante que não haja páginas não criptografadas disponíveis para seus visitantes.
O outro clique ativa a "Network Brute Force Protection".
Um ataque de força bruta é um método que tenta descobrir senhas ou chaves por meio de testes automatizados e aleatórios. O Solid Security protege o site com a "Local Brute Force Protection" e por meio de uma rede de "Brute Force Protection". Você adiciona o seu site WordPress à rede, e o Security protege o seu site contra ataques que já atingiram outro site.
O endereço de e-mail do administrador é selecionado aqui por padrão.
Você também pode me autorizar a ser informado sobre as novidades; deixo essa opção em "No".
Confirme a ativação e feche o security check.
Scanner de malware
Como muitos plugins, o Solid Security oferece versões gratuita e pro. Você pode decidir ao longo do artigo se considera a versão Pro útil. Se um recurso da versão premium fizer sentido para você, eu mencionarei.
Primeiro, vamos dar uma olhada na verificação de malware.
O WordPress.org destaca que é importante não transferir toda a responsabilidade de segurança para o provedor de hospedagem, mas assumi-la em suas próprias mãos. Ao fazer isso, eles se referem, em particular, aos aplicativos instalados.
Usamos o scanner de malware do Solid Security para verificar se algum aplicativo que você instalou está classificado como malicioso pelo Solid Security.
Para isso, rolamos para baixo e encontramos o scanner à direita. A versão gratuita do Solid Security também tem um scanner de malware, embora seja manual. A versão Pro possui um scanner de malware automático.
Clique em "Run Scan" para escanear o seu site. Em seguida, vá até a "logs page" para verificar os resultados.
Instale plugins apenas de fontes confiáveis para não dar a aplicativos maliciosos a chance de entrar no seu site.
Os módulos recomendados do "Solid Security"
Agora chegamos aos módulos individuais do Solid Security. Há duas exibições, a "block view" e a "list view". É mais fácil percorrer os diferentes módulos passo a passo na visualização em lista; mudamos a exibição no canto superior esquerdo de "block-" para "list view".
Security Check
O módulo "Security Check" lista apenas as precauções padrão que confirmamos no início da configuração.
Configurações globais
"Write to Files": se você desativar esta opção, terá que adicionar manualmente as opções de configuração aos arquivos "wp-config.php" e ".htaccess". Portanto, não recomendo remover essa marcação.
Como ajustaremos as permissões de arquivo mais tarde, revogaremos de qualquer forma as permissões de escrita para esses arquivos, então faz sentido deixar o Solid Security fazer os ajustes até essa mudança.
"Lockout messages" são exibidos para o host, usuário ou comunidade se o Solid Security os bloquear do seu site WordPress ou marcar o endereço IP deles como malicioso. Você pode editar essas mensagens para torná-las mais amigáveis se tiver contas de cliente no seu site.
Abaixo estão as configurações específicas para os bloqueios. O "Lockout Period" indica quanto tempo o WordPress bloqueará o usuário / endereço IP após atingir o limite máximo de tentativas de login incorretas.
O "Ban Lookback Period" regula por quanto tempo o Solid Security lembra e soma os bloqueios. O "Ban Threshold" determina quantos bloqueios um usuário ou endereço IP pode receber antes de ser bloqueado permanentemente.
Solid Security: configurações de bloqueio para especificar quantas tentativas de login um usuário / endereço IP tem antes de ser bloqueado. Vamos rolar até o módulo "Local Brute Force Protection".
"Minutes to Remember Bad Login" indica quando o Solid Security soma as tentativas de login incorretas. O Solid Security contará duas tentativas se o usuário / endereço IP inserir dados de login incorretos às 17h05 e 17h07. Se o invasor fizer a próxima tentativa de login incorreta às 18h00, o contador volta a começar em 1.
Na área "Max Login Attempts Per User", você pode especificar quantas tentativas um nome de usuário tem antes de ser bloqueado.
"Max Login Attempts Per Host" soa muito parecido. Esta área entra em ação se um invasor usa vários computadores dentro de um único endereço IP. O IP é bloqueado assim que o invasor atinge esse valor.
De acordo com o seu site, ajuste as configurações em "Local Brute Force Protection" e "General settings". Se você tiver contas de cliente no seu site, pode definir um valor máximo um pouco maior para tentativas de login incorretas ou encurtar a duração do bloqueio. Para sites em que apenas você faz login, pode permitir menos tentativas de login.
Exemplo: um usuário tenta entrar no seu site WordPress cinco vezes em cinco minutos. A "Local Brute Force Protection" bloqueia o usuário por 15 minutos. O Solid Security bloqueia o usuário permanentemente se esse bloqueio se repetir duas vezes em sete dias.
Vamos continuar com o módulo "Global Settings".
A "Authorized Hosts List" permite adicionar hosts que o Solid Security não excluirá do site WordPress. Essa opção evita que você perca acesso ao seu site caso acione um bloqueio.
Para isso, clique em "Add my current IP to the Authorized Hosts List".
O WordPress.org recomenda aprofundar-se no log do seu site WordPress para solucionar problemas ou descobrir o que aconteceu e recuperar seu site após uma invasão.
O Solid Security pode salvar tanto "File Logs" quanto "Database Logs". Como mencionado no módulo "Site Scan", você pode acessar os logs pelo menu lateral clicando em "Logs".
Se você já usa muitos plugins e gosta de manter o seu menu do WordPress organizado, pode fazer isso marcando a caixa em "Hide Security Menu in Admin Bar".
Notification Center
No módulo "Notification Center", role até "Site Lockouts". Esta configuração é ativada por padrão, o que significa que você receberá uma notificação por e-mail toda vez que um usuário ou host for bloqueado. A configuração depende individualmente do seu site. O melhor seria desativar essa opção para sites acessados por clientes ou por muitos usuários do WordPress, pois é comum alguém esquecer a senha. Porém, se apenas você usa este site, pode ativá-la com tranquilidade, já que o Security pode notificá-lo diretamente sobre um possível ataque.
User Groups
Não precisamos ajustar nenhuma configuração em "User Groups".
Away Mode
Recomendo ativar o "Away Mode" com cautela, pois ele torna o painel do WordPress inacessível a todos os usuários por um tempo selecionado.
Banned User
Na aba "Banned User", você pode bloquear os endereços IP de usuários ou hosts específicos. Essa opção significa que você nega imediata e totalmente o acesso desse IP ao seu site. A lista funciona da mesma forma que a "Authorized Hosts List", mas ao contrário. Em vez de nunca bloquear determinados IPs, esta lista os bloqueia completamente.
Database Backup
Você pode desativar a função "Database Backup" porque já instalamos um plugin de backup que cria tanto backups do banco de dados quanto de arquivos.
File Change Detection
Recomendo ativar o "File Change Detection". Se, por exemplo, um invasor invadir o servidor do seu provedor de hospedagem e tentar alterar ou excluir os dados do núcleo do WordPress, você receberá uma notificação por e-mail. O WordPress.org recomenda habilitar o monitoramento de mudanças nos arquivos.
File Permission
O módulo "File Permission" nos oferece insights fascinantes sobre o núcleo do nosso site WordPress. Recomenda-se verificar as permissões de arquivo.
Abra a janela do módulo e clique em "Load File Permission Details". O Solid Security agora mostra os caminhos dos arquivos do WordPress relevantes para a segurança e os direitos de acesso dos arquivos ou pastas. São exibidos tanto o valor atual quanto o valor desejado. No meu caso, o Solid Security sugere uma mudança em duas posições: os arquivos "wp-config.php" e ".htaccess".
Um número de três dígitos regula a permissão do arquivo. O primeiro número regula as permissões para o "user"; este é o administrador do site. Várias pessoas podem ter direitos de administrador. O segundo número regula as permissões para o "Group"; isso inclui os outros usuários do seu site, por exemplo, editores, colaboradores ou outras funções de usuário. O último número descreve os direitos para "World", o que inclui todos na Internet que acessam o seu site.
O wp-config.php é o arquivo de configuração da sua aplicação WordPress. Como este é um dos arquivos mais críticos, você deve garantir que o protegeu adequadamente.
O Solid Security recomenda aqui "444"; todos têm acesso de leitura, mas ninguém pode escrever.
O WordPress.org recomenda proteger o arquivo com "400" / "440". Com o valor "440", você, como administrador, e o usuário têm acesso de leitura, mas nenhum visitante. Com "400", somente você, como administrador, tem acesso de leitura; esta é a opção mais segura.
É crucial entender que essas permissões de arquivo se referem ao site real; você, como proprietário do site, pode ajustar essas permissões a qualquer momento via FTP / cPanel e nunca perde o acesso real.
O valor a escolher depende da configuração do servidor. O WordPress.org recomenda travar suas permissões de arquivo o máximo possível e afrouxar essas restrições apenas se precisar permitir acesso de escrita. Isso significa começar com a permissão "400" ou "440" e aumentar o valor a partir daí até o WordPress funcionar. Use no máximo "600" ou "640".
Agora você entende como as permissões de arquivo são compostas e quais permissões precisamos ajustar.
No entanto, seria contraproducente implementar imediatamente o ajuste das permissões de arquivo, pois isso negaria ao Solid Security as permissões de escrita, o que significaria que teríamos que adicionar manualmente as mudanças ao arquivo "wp-config.php" no final da configuração.
Ajustaremos as permissões de arquivo ao abordar o módulo "System Tweaks".
Local Brute Force Protection
O próximo módulo é "Local Brute Force Protection". Já fizemos essas configurações nas configurações gerais.
Network Brute Force Protection
Também fizemos as configurações de "Network Brute Force Protection" no início, durante o "Security Check".
Password Requirements
Usar uma senha segura é outro aspecto crucial para evitar possíveis vulnerabilidades.
Você deve evitar o seguinte ao escolher uma senha:
O módulo "Strong Password" ajuda a implementar esses requisitos.
Por padrão, o Solid Security ativa essa configuração para todas as funções de usuário. Você deve ajustar essas configurações com base no seu site. Por exemplo, você pode aplicar senhas fortes apenas para a função de Administrador.
A autenticação de dois fatores também é recomendada.
A técnica de autenticação de dois fatores exige que os usuários façam login usando um método de autenticação em duas etapas. A primeira etapa é o nome de usuário e a senha, e o segundo fator é a autenticação, que é um código vindo de um dispositivo ou aplicativo separado.
Esse recurso está disponível na versão Pro do Solid Security. Como alternativa, você pode procurar o plugin gratuito de autenticação de dois fatores "WP2FA" no repositório de plugins.
Primeiro, você precisa instalar e ativar o plugin Two-Factor Authentication. Após a ativação, clique nos plugins do WordPress em "WP 2FA – Two-factor authentication for WordPress" e em "Configure 2FA Settings". Isso o levará ao "setup wizard".
Em seguida, instale um aplicativo 2FA no seu telefone. Recomendo o "Google Authenticator".
Abra o seu aplicativo de autenticação e escaneie o QR code no "Setup wizard".
Digite o código mostrado no aplicativo do seu smartphone.
Se precisar de mais ajuda para configurar o aplicativo, clique em "For detailed guides for your desired app, click below".
É isso; o seu aplicativo de autenticação agora salvará o código enviado uma vez pelo "WP2FA". Agora ajuste as configurações que combinam com o seu site WordPress.
Da próxima vez que fizer login no seu site, o plugin pedirá o código de autenticação de dois fatores após inserir sua senha.
Para isso, abra novamente o aplicativo de autenticação no seu telefone e digite o código que ele mostra.
Vamos voltar para o Solid Security.
SSL
O módulo "SSL" redireciona todas as solicitações "HTTP" para HTTPS se um certificado SSL estiver disponível. O Solid Security ativou esse módulo no "Security Check".
System Tweaks
Abra "System Tweaks" e clique em "Enable". Precisamos marcar algumas caixas. Os módulos "System Tweaks" e "WordPress Tweaks" possuem várias otimizações para melhorar ainda mais a segurança do seu site WordPress. No entanto, algumas dessas opções podem entrar em conflito com o seu site; depende do seu site. Portanto, verifique a funcionalidade completa após cada ativação marcando a caixa, clicando em "Save Settings" e recarregando o frontend da página.
Directory browsing: os hackers podem usar a navegação por diretórios para descobrir se há arquivos com vulnerabilidades conhecidas no seu site WordPress, de modo que os invasores possam usar esses arquivos para obter acesso ao seu site.
Navegar pelos diretórios também pode ser usado para bisbilhotar seus arquivos, copiar fotos, descobrir a estrutura de diretórios e obter outras informações sobre o site. Por esse motivo, recomendo fortemente ativar "disable directory browsing".
Para testar se a navegação por diretórios do seu site já está desativada, digite example.com/wp-content. Se você receber uma página em branco, está tudo bem; porém, se o seu site permite que os visitantes acessem o diretório, há um problema de segurança significativo.
File write permissions: como mencionado no módulo "File Permission", o Solid Security só permite definir as permissões de arquivo para o valor "444".
No entanto, como o WordPress.org recomenda usar "400" ou "440", alteramos isso manualmente via FTP.
Eu uso o "FileZilla" para acessar o banco de dados da instalação do WordPress via FTP no servidor do provedor de hospedagem. Como alternativa, você também pode fazer isso via cPanel.
Conecte-se ao servidor; você obterá o "Host", o "Username" e a "Password" do seu provedor de hospedagem.
Recomenda-se usar criptografia SFTP ao se conectar ao seu servidor. Se você não tiver certeza se o seu host fornece SFTP, pergunte. Usar SFTP é igual a usar FTP, exceto que sua senha e outros dados são criptografados e transmitidos entre o seu computador e o seu site.
Abra a pasta "HTML". Lá você encontrará o arquivo wp-config.php.
Selecione o arquivo "wp-config.php" e clique com o botão direito para abrir o menu de contexto. Clique em "file permission".
Agora você pode atribuir as permissões de arquivo desejadas. Eu revogo as permissões de leitura de "public" e "group" e revogo as permissões de escrita do "owner", também conhecido como "admin".
Clique em OK, e o FileZilla salvará as novas permissões.
Faça essas mesmas mudanças para o arquivo ".htaccess" novamente. Revogue as permissões de leitura de "public" e "group" e revogue as permissões de escrita do "owner".
Não altere os outros caminhos de arquivo, por exemplo, o caminho "wp-content"; caso contrário, o WordPress deixará de funcionar corretamente.
Vamos voltar ao módulo "System Tweaks" no Solid Security.
"PHP in uploads, PHP in plugins, PHP in themes." Se alguém tentar fazer upload de um arquivo PHP no frontend do seu site, incluindo as áreas de mídia, plugins e temas, quase sempre há um possível ataque. Portanto, essa opção proíbe o formato de arquivo "PHP" para esses diretórios.
WordPress Salts
Os "WordPress Salts" protegem as senhas que você salva no navegador. Se você salva sua senha no navegador ao fazer login, o WordPress armazena essa senha em dois cookies. Porém, se o WordPress tivesse salvado sua senha em texto puro, os invasores poderiam decifrá-la rapidamente.
Chaves de segurança e salts evitam esse problema trabalhando juntos para transformar criptograficamente essa senha em texto puro em uma mistura aleatória de caracteres.
Você pode encontrar essas chaves de segurança e salts no arquivo wp-config.php; quatro chaves e quatro salts.
Ao confirmar "Change WordPress Salts" e salvar as configurações, o Solid Security altera os Salts do WordPress. Porém, isso também significa que todos os usuários são desconectados da sessão atual e precisam fazer login novamente. Portanto, pense em quando fazer essa alteração. O Solid Security recomenda alterar os "Salts" do WordPress pelo menos uma vez por mês.
WordPress tweaks
Assim como os system tweaks, também podemos fazer mudanças relevantes nos "WordPress Tweaks" marcando algumas caixas. Como nos "System Tweaks", certifique-se de verificar a funcionalidade completa do seu site após cada ativação.
Primeiro, marcamos a caixa ao lado de "Comment Spam"; isso reduz o spam na área de comentários.
Também garantimos que o File Editor esteja desativado; essa é outra recomendação. O WordPress oferece, por padrão, a opção de editar tanto plugins quanto designs. Esse editor abre outra possibilidade para invasores acessarem o seu site.
O mesmo vale para "XML-RPC". O "XML-RPC" é uma função do WordPress que você ou os plugins podem usar para transferir dados. O "XML-RPC" também oferece aos invasores a oportunidade de obter acesso ao seu site. Essa interface é relevante para usar o aplicativo do WordPress, trackbacks, pingbacks e o plugin JetPack. Se você usa uma dessas funções, não pode desativar a interface "XML-RPC"; caso contrário, selecione "Disable XML-RPC".
Clique em "Save Settings".
Os módulos avançados do "Solid Security"
Neste ponto, terminamos com os módulos "Recommended" do Solid Security.
No entanto, também existem módulos "Advanced" que ajudam a fazer alterações simples com um clique por meio desses módulos, que de outra forma teríamos que fazer manualmente.
Como mencionado
quero lembrá-lo de testar todas as alterações em um site de staging. Caso contrário, isso pode levar a complicações no seu site.
Admin User
O módulo avançado "Admin User" cumpre outra recomendação do WordPress.org.
O WordPress.org recomenda usar o princípio "Security through obscurity" em dois pontos.
O primeiro é renomear a conta de administrador; o segundo é alterar o "table_prefix". O Solid Security oferece a possibilidade de fazer ambos os ajustes; a alteração do "table_prefix" acontece no passo seguinte ao próximo.
Ao instalar o WordPress, o nome de usuário do admin é "admin" por padrão. Essa configuração padrão muitas vezes não é alterada, especialmente nas instalações do WordPress com um clique do provedor de hospedagem. Mesmo que você tivesse instalado o WordPress, talvez não tivesse alterado o nome de usuário porque não conhecia melhor. Isso torna muito mais fácil para os invasores obterem acesso ao site, pois não precisam descobrir nome e senha, apenas a senha.
Se o seu nome de usuário administrador for "admin", você verá o campo "New Admin Username". Se não vir esse campo, isso indica que você fez tudo certo durante a instalação.
Eu pulo o campo "Change User ID 1" neste momento, pois ele pode causar complicações ao usar plugins.
Change Content Directory
O mesmo vale para o próximo módulo, "Change Content Directory". Como diz o aviso, você só deve usar este módulo ao instalar o WordPress.
Change Database Table Prefix
Chegamos agora ao segundo ponto onde o WordPress.org recomenda o princípio "Security through obscurity"; o módulo "Change Database Table Prefix" faz esse ajuste.
Muitos ataques de injeção SQL específicos do WordPress assumem que o "table_prefix" tem o valor padrão "wp_". Alterar esse prefixo pode bloquear alguns ataques de injeção SQL.
Se o seu prefixo de tabela for "wp_", você verá a seguinte mensagem com o conselho para alterá-lo. "wpstg0_" é exibido como prefixo de tabela porque estou no site de staging e o WP STAGING criou esse prefixo de tabela.
Você pode visualizar o banco de dados pelo plugin "PhpMyAdmin". Como com os plugins anteriores, pode baixá-lo via "Plugin" e "Add New". Em seguida, abra-o pelo menu lateral.
Agora você pode ver as tabelas com "wpstg0"; essas são as tabelas do site de staging. Abaixo estão as tabelas do site de produção com o prefixo "wp_".
Vou voltar ao Solid Security. Ao selecionar "Yes" e "Save Settings", o Solid Security atribuirá um novo prefixo mais complexo às tabelas.
Volto para a aba "PhpMyAdmin" e, após atualizar a página, vejo o novo prefixo na frente das tabelas.
Hide Backend
O módulo "Hide Backend" dificulta para os invasores acessarem a área de login do WordPress. Por padrão, qualquer pessoa pode acessar a página de login por "example.com/wp-admin" e "example.com/wp-login.php".
Como essa configuração é idêntica para todos os sites WordPress, os invasores podem identificar imediatamente a área de login onde iniciam seu ataque de força bruta.
Antes de explicar a permissão de login, gostaria de mencionar que não ativei o módulo porque ele pode causar problemas de login ao usar determinados plugins.
Em "Login Slug", você pode ver a sua extensão de login atual, alterar a extensão e anotá-la. Da próxima vez que acessar o seu site, digite "example.com/nova extensão".
O módulo pode ser útil para impedir ataques de força bruta simples. Se quiser, experimente para ver se o módulo causa complicações.
wp-config.php Rules
No último módulo, "wp-config.php Rules", o Solid Security pode verificar se todos os módulos podem agir corretamente.
Se o Solid Security não encontrar nenhuma alteração necessária, você receberá a mensagem "There is nothing that needs to be written to your wp-config.php file".
Caso contrário, você receberá a mensagem "The following rules need to be written to your wp-config.php".
Solid Security: regras "wp-config.php". Essa mensagem aparece se não houver permissão de "Write" para o arquivo "wp-config.php".
Usamos o FileZilla para reacessar o banco de dados do site WordPress via FTP para escrever as regras exigidas pelo Solid Security no arquivo "wp-config.php". Como você já sabe pela personalização das permissões de arquivo, o arquivo "wp-config.php" está localizado diretamente na pasta "HTML". Clique com o botão direito para selecionar "View / Edit" e, em seguida, abra o editor de texto.
Copie e cole as regras listadas pelo Solid Security no arquivo "wp-config.php" diretamente abaixo de "<? PHP".
Para explicar, a regra "DISALLOW_FILE_EDIT" garante que a desativação do editor de arquivos, feita no módulo "WordPress tweaks", entre em vigor.
"FORCE_SSL_ADMIN" significa que a criptografia SSL também é efetiva no nível do administrador. O Solid Security aplicou essa configuração no "Security Check" no início.
Salve as alterações e feche o arquivo; em seguida, confirme o novo upload do arquivo via FileZilla.
Após inserir essas regras no arquivo "wp-config.php", verifique se o site de staging do seu site WordPress ainda está funcional. Clique em "View Site" no painel do WordPress.
Depois de testar as alterações, envie seu site de staging para o site de produção usando o WP STAGING PRO ou repita as configurações no site de produção.
Uau, foram muitas modificações! Que bom que você chegou até o fim.
Agora, o seu site está excelentemente posicionado em termos de segurança ao escolher o provedor de hospedagem certo, criar um backup automaticamente e adaptar o plugin "Solid Security".
Artigos relacionados
