12 melhores dicas e técnicas para proteger a área de administração do WordPress

Publicados: 2023-05-01

Neste blog, discutiremos as melhores técnicas para proteger a área de administração de seus sites WordPress de forma eficaz.

As pessoas costumam pensar que seu site é muito pequeno para que os hackers tenham interesse nele. Mas isso seria um grande erro. Qualquer site pode ser vulnerável a ameaças cibernéticas como spam, malware, ataques brutos, injeções de SQL, etc. Além disso, os hackers podem até usar seu site para espalhar malware para outros sites.

Obviamente, você não gostaria de acordar um dia e descobrir que seu site foi invadido e todos os seus dados confidenciais vazaram. Portanto, seria melhor reforçar a área de administração do seu site WordPress com algumas ferramentas confiáveis.

Índice mostra
  • Melhores dicas e técnicas para proteger a área de administração de seus sites WordPress
    • 1. Atualização da versão do WordPress
    • 2. Plug-ins de segurança
    • 3. Altere o nome de usuário e a senha do administrador
    • 4. Crie um URL de login personalizado
    • 5. Limite as tentativas de login
    • 6. Proteja a página de login e a área administrativa com um certificado SSL
    • 7. Proteja o diretório wp-admin com uma senha
    • 8. Inclua um captcha na página de login
    • 9. Remova a mensagem de erro da página de login
    • 10. Permita que IPs específicos façam login
    • 11. Adicione uma camada extra por autenticação de dois fatores
    • 12. Senha descartável (OTP)
  • Finalmente!

Melhores dicas e técnicas para proteger a área de administração de seus sites WordPress

WordPress-trabalho-laptop-desk-escritório

Essas dicas de segurança são muito importantes para proteger sites de vulnerabilidades como:

  • Ataque distribuído de negação de serviço (DDoS): DDoS imobiliza seu site inundando-o com conexões redundantes, travando-o.
  • Injeção de SQL (SQLi): executa à força consultas SQL maliciosas no sistema para manipular dados.
  • Inclusão de arquivo local (LFI): LFI força o site a processar arquivos maliciosos colocados no servidor da web.
  • Falsificação de solicitação entre sites (CSRF): pode forçar os usuários da Web a executar ações indesejadas em um aplicativo da Web confiável.
  • Desvio de autenticação: essa ameaça à segurança dá aos hackers acesso a recursos confidenciais do seu site sem verificação de autenticidade.
  • Cross-site scripting (XSS): XSS injeta código malicioso para transportar malware através do seu site.

Para garantir que seu site não seja vulnerável a essas ameaças de segurança, certifique-se de implementar as dicas e técnicas mencionadas abaixo:

Recomendado para você: 10 razões pelas quais seu site WordPress precisa de manutenção.

1. Atualização da versão do WordPress

sincronizar sincronização atualização sincronizada

Uma maneira simples de reforçar a segurança do seu site é atualizar o WordPress e todos os plugins de segurança instalados para suas versões mais recentes. O WordPress é de código aberto, então os colaboradores trabalham incansavelmente para melhorar os recursos e a segurança a cada nova versão. É por isso que você deve atualizar o CMS para sua versão mais recente para melhorar a segurança do site.

2. Plug-ins de segurança

plugins-de-segurança-de-admin-segurança-WordPress

Uma das melhores coisas sobre o WordPress é que você pode encontrar um plugin para quase todos os recursos e funcionalidades possíveis do site. No entanto, nem todo plug-in de segurança seria adequado para proteger a página de login. Assim, a melhor forma de reforçar a segurança da área de administração do seu site seria através de plugins WordPress como Sucuri, MalCare, Wordfence, etc.

Esses plug-ins ajudam a bloquear o tráfego malicioso sem afetar o desempenho do site.

3. Altere o nome de usuário e a senha do administrador

WordPress-Painel-Admin-Área-Adicionar-Novo-Usuário

Uma das primeiras maneiras de proteger o site é alterando o nome de usuário e a senha padrão. Para cada instalação do WordPress, o primeiro nome de usuário de login por padrão é Admin. Esse tipo de nome de usuário é apenas uma isca para hackers; eles só teriam que prever a senha depois disso.

Portanto, você deve alterar o nome de usuário e a senha para algo mais personalizado. Primeiro, abra o painel do WordPress. Selecione Usuários e clique em “Todos os usuários”.

Até mesmo alterar o nome de usuário de “admin” para “mynameisadmin” pode ajudar a proteger seu site contra hackers. Quando se trata de senhas, há uma pequena tela que mostra o quão forte ela é. Portanto, tente senhas diferentes com combinações de letras maiúsculas e minúsculas, símbolos e números até ficar satisfeito com uma. Certifique-se sempre de que a senha é a mais forte possível para proteger o site contra hackers. Os especialistas até sugerem o uso de símbolos e números em vez de letras nas senhas para torná-las mais obscuras. Por exemplo, se você quiser que sua senha seja “Califórnia”, escolha algo como “[email protegido][email protegido]”. Isso tornará mais difícil adivinhar.

Muitas vezes, quando as pessoas tentam fazer login em algum lugar que não deveriam, elas se concentram apenas na senha e mantêm o mesmo nome de usuário em várias tentativas. Portanto, alterar o nome de usuário e a senha seria uma excelente ideia.

4. Crie um URL de login personalizado

site-safety-security-https-ssl-secure-socket-layer

Você pode acessar a página de login de qualquer site WordPress escrevendo /wp-login.php após seu URL. Por exemplo, se a URL do seu site WordPress for www.mywebsitename.com, você pode acessar sua página de login através de www.mywebsitename.com/wp-login.php.

Esse acesso fácil à página de login torna seu site mais vulnerável a ameaças cibernéticas. Portanto, altere o slug da URL de login para algo mais personalizado por meio de plug-ins como WPS Hide Login. Este plug-in altera a URL da página do formulário de login para o que você quiser e torna o diretório wp-admin e a página wp-login.php inacessíveis. Portanto, seria melhor marcar essas páginas, pois você pode perdê-las.

Depois de instalar o WPS Hide Login, vá para Configurações e selecione WPS Hide Login no painel do WordPress. Em seguida, insira uma nova URL no campo URL de login e salve as alterações. Depois disso, as páginas de administração do seu site só poderão ser acessadas por meio dessas páginas.

Agora, mesmo que alguém tenha seu nome de usuário e senha sem o seu conhecimento, eles ainda não poderão acessar sua página de login, o que é um grande alívio. É por isso que URLs de login personalizados são sempre incluídos no desenvolvimento personalizado do WordPress.

5. Limite as tentativas de login

Secure-WordPress-Dashboard-Admin-Area-WordFence-Brute-Force-Protection

Você sabia que mesmo que os hackers não saibam a senha do seu site, eles ainda podem invadir seu site? Por meio de scripts automatizados, eles podem experimentar milhares de senhas em potencial rapidamente para encontrar a correta e, eventualmente, obter sucesso. Para impedir que isso aconteça, você pode limitar as tentativas de login em seu site.

Para esse fim, o WordPress possui certos plugins como Wordfence Security e Login Lockdown na biblioteca oficial que podem ser úteis. Depois de instalar qualquer um desses plug-ins, você pode definir as configurações de quantas tentativas de login serão permitidas e por quanto tempo a pessoa ficará bloqueada após ultrapassar o limite de login.

Por exemplo, você pode definir um limite para o número de tentativas como 3 e o tempo de bloqueio como 24 horas. Portanto, se alguém tiver mais de 3 tentativas malsucedidas, seu IP será bloqueado pelas próximas 24 horas, após as quais poderá tentar novamente.

6. Proteja a página de login e a área administrativa com um certificado SSL

Certificado HTTP-para-HTTPS-SSL

Às vezes, você pode ter que entrar em seu site em uma rede pública, deixando-o vulnerável a hackers em uma situação de ataque arbitrário. Em uma rede pública, os hackers podem acessar suas solicitações HTTP e ver suas credenciais de login simples como o dia.

Para evitar esses ataques arbitrários, você pode usar um login SSL, através do qual você pode acessar seu site por HTTPS. Normalmente, você pode ter um certificado de login SSL do provedor de hospedagem. Mas se não, você terá que comprar um e configurá-lo no servidor do seu site.

Se você já possui um certificado SSL em seu site para rodar em HTTPS, abra seu arquivo wp-config.php e edite-o como tal:

 // Use SSL (HTTPS) for the login page. define ('FORCE_SSL_LOGIN', true); // Use SSL (HTTPS) for the whole admin area. define ('FORCE_SSL_ADMIN', true);

Com FORCE_SSL_LOGIN, sua página de login abrirá apenas em HTTPS e a conexão segura será mantida em toda a área de administração do seu site. É por isso que quando você contrata desenvolvedores WordPress, uma das primeiras configurações de segurança que eles cuidam é usar um certificado SSL para a página de login e área administrativa.

Você pode gostar: Deseja criar um site WordPress? Siga estas 13 etapas fáceis.

7. Proteja o diretório wp-admin com uma senha

e-mail-dicas-de-segurança-criar-senha-única

Proteger com senha o diretório “wp-admin” é como adicionar uma segunda camada de segurança em seu site e sua área de administração do WordPress. Uma das melhores maneiras de abordá-lo seria por meio das configurações de “Privacidade do diretório” da sua hospedagem. Se você estiver usando um host da Web cPanel para proteger com senha seu diretório wp-admin, também poderá usar a proteção de senha cPanel em um diretório.

8. Inclua um captcha na página de login

wordpress-login-page

Captchas na área de administração podem ajudar a prevenir ataques cibernéticos de força bruta conduzidos por scripts automatizados. Você pode adicionar um captcha à sua página de login por meio de plug-ins do WordPress, como Google reCAPTCHA, reCaptcha da BestWebSoft, WPForms, etc.

Essa técnica é bastante eficaz para interromper as tentativas de invasão por meio de scripts automatizados.

9. Remova a mensagem de erro da página de login

WordPress-Admin-Área-Login-Página

Incluindo um captcha, há três coisas que os hackers gostariam de acertar para fazer login no seu site. Normalmente, quando eles tentam fazer login e falham, uma mensagem de erro aparece informando que uma ou mais credenciais estão incorretas.

Portanto, suponha que os hackers insiram o nome de usuário, a senha e o captcha e uma das credenciais esteja errada; eles verão uma mensagem de erro “Nome de usuário incorreto” ou “Senha incorreta”. Nesse caso, eles saberão que uma das credenciais está correta e só precisarão trabalhar na outra.

Mas se você remover a mensagem de erro, eles ficarão equivocados sobre se inseriram um deles errado ou ambos. Então, eles começarão a trabalhar em ambos novamente. Agora, se você limitou o número de tentativas de login, além dessa estratégia, ganhará mais tempo contra os hackers.

Portanto, remova a mensagem de erro da página de login.

10. Permita que IPs específicos façam login

403-Proibido-HTTP-Código-de-Erro

Você pode limitar o acesso a IPs estáticos específicos para proteger o site. Se você souber seu próprio endereço IP, dê acesso a ele por meio do arquivo .htaccess da pasta wp-admin.

Basta abrir a pasta wp-admin, editar um arquivo chamado .htaccess e adicionar este código:

 order deny, allow # Replace 99.99.99.99 with the desired IP address allow from 99.99.99.99 # Allow more IP addresses to access the wp-admin area by uncommenting the line below and editing the IP address # allow from 98.98.98.98 deny from all

Tudo o que você precisa fazer é substituir 99.99.99.99 pelo seu IP ou aquele ao qual deseja dar acesso.

Portanto, agora, se alguém sem acesso tentar fazer login, verá esta mensagem.

11. Adicione uma camada extra por autenticação de dois fatores

access-alarm-home-authentication-lock-security-protection-passcode-secure-WordPress-admin-2fa

Outra maneira de aumentar a segurança do seu site é usar um plug-in do WordPress para adicionar outra camada com autenticação de dois fatores. Tudo o que você precisa fazer é instalar e configurar um plug-in como o WP 2FA, e seu site estará seguro contra ameaças cibernéticas, como scripts automatizados e ataques de força bruta.

12. Senha descartável (OTP)

Secure-WordPress-admin-OTP-safety-security-internet-password-lock

Como o nome sugere, as senhas de uso único permitem que você faça login no site por meio de uma senha válida apenas uma vez. Você recebe essas senhas em seu e-mail ou número de celular. Como os OTPs são enviados por e-mail e número de celular e são válidos para apenas uma sessão, você não precisará se preocupar com o roubo de sua senha principal durante o login em locais como cibercafés. Desnecessário dizer que alguns plugins do WordPress podem ajudar a adicionar uma função OTP à sua página de login.

Essas técnicas ajudarão a proteger a área de administração do seu site WordPress contra ameaças cibernéticas, como ataques de força bruta, spam, bots ruins, injeções de SQL e, o mais importante, scripts automatizados (para gerar senhas).

Você também pode gostar: O que é Schema? Como adicionar Schema Markup ao seu site WordPress?

Finalmente!

realização-negócios-marketing-sucesso-polegar para cima-ganha-conclusão

Quando você cria um novo site WordPress, a ideia de ser hackeado está longe de ser distante. Mas ainda é uma possibilidade. Portanto, você precisa tornar a segurança uma parte distinta do desenvolvimento personalizado do WordPress para proteger e proteger a área de administração para que os hackers não possam acessar as informações confidenciais do seu site.

É por isso que listamos essas dicas e técnicas como atualizações do WordPress, plugins de segurança, OTP, senhas criptografadas, autenticação de dois fatores, captchas, etc., para garantir que seu site esteja protegido contra hackers. Certifique-se de discutir essas técnicas ao contratar desenvolvedores do WordPress para criar um novo site ou atualizar o antigo.

Autor: Palak Shah

Este artigo foi escrito por Palak Shah. Palak é redatora de conteúdo de qualidade para WPWeb Infotech e adora escrever sobre WordPress, tecnologia e pequenas empresas. Ela é uma jogadora de equipe incrível e trabalha em estreita colaboração com a equipe para alcançar grandes resultados. Ela assiste Netflix e lê não ficção, autoajuda e autobiografias de grandes personalidades.