Manter seu site WordPress seguro e protegido é importante para todo proprietário de site. Assim como você protege sua casa ou empresa, também precisa proteger seu site contra ameaças on-line.
Se você não tomar as medidas corretas para proteger seu site, ele poderá estar em risco. Todos os dias, o Google bloqueia milhares de sites por causa de malware e outros problemas de segurança.
Mantivemos o WPBeginner protegido de ataques repetidos durante muitos anos. Fazemos isso usando os melhores plug-ins de segurança e seguindo as práticas recomendadas de segurança do WordPress.
Neste guia, compartilharemos nossas principais dicas e a lista de verificação de segurança do WordPress para ajudá-lo a proteger seu site contra hackers e malware.
Embora o software principal do WordPress seja muito seguro e seja auditado regularmente por centenas de desenvolvedores, ainda há muito que precisa ser feito para manter seu site seguro.
Na WPBeginner, acreditamos que a segurança não se trata apenas de eliminação de riscos. Trata-se também de redução de riscos. Como proprietário de um site, há muito que você pode fazer para melhorar a segurança do WordPress, mesmo que não seja um especialista em tecnologia.
Por isso, elaboramos uma lista de verificação de segurança do WordPress com etapas práticas que você pode adotar para proteger seu site contra vulnerabilidades de segurança.
Para facilitar, criamos um índice para ajudá-lo a navegar facilmente pelo nosso guia definitivo de segurança do WordPress.
Índice
Noções básicas de segurança do WordPress
- Por que a segurança do WordPress é importante
- Mantenha o WordPress atualizado
- Use senhas fortes e permissões de usuário
- Entenda a função da hospedagem do WordPress
Segurança do WordPress em etapas fáceis (sem codificação)
- Instalar uma solução de backup do WordPress
- Instale um plug-in de segurança do WordPress confiável
- Ativar um firewall de aplicativo da Web (WAF)
- Mova seu site WordPress para SSL/HTTPS
Segurança do WordPress para usuários DIY
- Alterar o nome de usuário padrão do administrador
- Desativar a edição de arquivos
- Desativar a execução de arquivos PHP em determinados diretórios do WordPress
- Limitar tentativas de login
- Adicionar autenticação de dois fatores (2FA)
- Alterar o prefixo do banco de dados do WordPress
- Proteger com senha a página de administração e de login do WordPress
- Desativar a indexação e a navegação no diretório
- Desativar XML-RPC no WordPress
- Logout automático de usuários ociosos no WordPress
- Adicionar perguntas de segurança ao login do WordPress
- Verificar se há malware e vulnerabilidades no WordPress
- Corrigir um site WordPress invadido
Pronto? Vamos começar.
Por que a segurança do site é importante
Um site WordPress invadido pode causar sérios danos à receita e à reputação de sua empresa. Os hackers podem roubar informações e senhas de usuários, instalar software mal-intencionado e até mesmo distribuir malware aos seus usuários.
Na pior das hipóteses, você pode acabar pagando ransomware a hackers apenas para recuperar o acesso ao seu site.
Todos os dias, o Google avisa de 12 a 14 milhões de usuários que um site que eles estão tentando visitar pode conter malware ou roubar informações.
Além disso, o Google coloca na lista negra cerca de mais de 10.000 sites todos os dias por malware ou phishing.
Assim como os proprietários de empresas com um local físico têm a responsabilidade de proteger sua propriedade, os proprietários de empresas on-line precisam prestar mais atenção à segurança do WordPress.
Mantenha o WordPress atualizado
O WordPress é um software de código aberto e é mantido e atualizado regularmente. Por padrão, o WordPress instala automaticamente pequenas atualizações.
Para versões principais, você precisa iniciar manualmente a atualização.
O WordPress também vem com milhares de plugins e temas que você pode instalar em seu site. Esses plugins e temas são mantidos por desenvolvedores de terceiros, que também lançam atualizações regularmente.
Essas atualizações do WordPress são cruciais para a segurança e a estabilidade de seu site WordPress. Você precisa se certificar de que o núcleo, os plugins e o tema do WordPress estejam atualizados.
Use senhas fortes e permissões de usuário
As tentativas mais comuns de invasão do WordPress usam senhas roubadas. Você pode dificultar isso usando senhas mais fortes que sejam exclusivas do seu site.
Não estamos falando apenas da área de administração do WordPress. Lembre-se de criar senhas fortes para suas contas de FTP, bancos de dados, contas de hospedagem do WordPress e endereços de e-mail personalizados que usam o nome de domínio do seu site.
Muitos iniciantes não gostam de usar senhas fortes porque elas são difíceis de lembrar. O bom é que você não precisa mais se lembrar de senhas porque pode simplesmente usar um gerenciador de senhas.
Consulte nosso guia sobre como gerenciar as senhas do WordPress para obter mais informações.
Outra forma de reduzir o risco é não dar a ninguém acesso à sua conta de administrador do WordPress, a menos que seja absolutamente necessário.
Se você tiver uma grande equipe ou autores convidados, certifique-se de entender as funções e os recursos do usuário no WordPress antes de adicionar novas contas de usuário e autores ao seu site WordPress.
Entenda a função da hospedagem do WordPress
Seu serviço de hospedagem WordPress desempenha o papel mais importante na segurança do seu site WordPress. Um bom provedor de hospedagem compartilhada, como Hostinger, Bluehost ou SiteGround, toma medidas extras para proteger seus servidores contra ameaças comuns.
Aqui estão apenas algumas maneiras pelas quais as boas empresas de hospedagem na Web trabalham em segundo plano para proteger seus sites e dados:
- Eles monitoram continuamente sua rede em busca de atividades suspeitas.
- Todas as boas empresas de hospedagem têm ferramentas para evitar ataques DDoS em grande escala.
- Eles mantêm o software do servidor, as versões do PHP e o hardware atualizados para evitar que os hackers explorem uma vulnerabilidade de segurança conhecida em uma versão antiga.
- Eles têm planos de recuperação de desastres e de acidentes prontos para serem implementados, o que lhes permite proteger seus dados em caso de um acidente grave.
Em um plano de hospedagem compartilhada, você compartilha os recursos do servidor com muitos outros clientes. Há o risco de contaminação entre sites, em que um hacker pode usar um site vizinho para atacar seu site.
Por outro lado, o uso de um serviço gerenciado de hospedagem WordPress oferece uma plataforma mais segura para seu site. As empresas de hospedagem gerenciada do WordPress oferecem backups automáticos, atualizações automáticas do WordPress e configurações de segurança mais avançadas para proteger seu site
Recomendamos o Siteground como nosso provedor de hospedagem gerenciada de WordPress preferido. Eles têm suporte ágil, servidores rápidos e excelente confiabilidade.
Certifique-se de obter a melhor oferta usando nosso cupom especial Siteground.
Segurança do WordPress em algumas etapas fáceis (sem codificação)
Sabemos que melhorar a segurança do WordPress pode ser uma ideia aterrorizante para iniciantes, especialmente se você não tiver conhecimentos técnicos. Adivinhe só: você não está sozinho.
Ajudamos milhares de usuários do WordPress a fortalecer a segurança do WordPress.
Mostraremos como você pode melhorar a segurança do WordPress com apenas alguns cliques (não é necessário codificar).
Se você sabe apontar e clicar, pode fazer isso!
1. Instale uma solução de backup do WordPress
Os backups são sua primeira defesa contra qualquer ataque ao WordPress. Lembre-se de que nada é 100% seguro. Se os sites do governo podem ser invadidos, os seus também podem.
Os backups permitem que você restaure rapidamente o seu site WordPress, caso algo ruim aconteça.
Há muitos plug-ins de backup do WordPress gratuitos e pagos que você pode usar. O aspecto mais importante que você precisa saber quando se trata de backups é que você deve salvar regularmente backups completos do site em um local remoto (não na sua conta de hospedagem).
Recomendamos armazená-lo em um serviço de nuvem como Amazon, Dropbox ou nuvens privadas como Stash.
Com base na frequência com que você atualiza seu site, a configuração ideal pode ser uma vez por dia ou backups em tempo real.
Felizmente, isso pode ser feito facilmente com o uso de plug-ins como Duplicator, UpdraftPlus ou BlogVault. Ambos são confiáveis e, o mais importante, fáceis de usar (não é necessário codificar).
Para obter mais detalhes, consulte nosso guia sobre como fazer backup de seu site WordPress.
Instale um plug-in de segurança do WordPress confiável
Depois dos backups, a próxima coisa que precisamos fazer é configurar um sistema de auditoria e monitoramento que acompanhe tudo o que acontece no seu site.
Isso inclui o monitoramento da integridade dos arquivos, tentativas de login com falha, varredura de malware e muito mais.
Felizmente, você pode cuidar disso com facilidade instalando um dos melhores plug-ins de segurança do WordPress, como o Sucuri.
Você precisa instalar e ativar o plug-in gratuito Sucuri Security. Para obter mais detalhes, consulte nosso guia passo a passo sobre como instalar um plug-in do WordPress.
Agora, você pode acessar o painel de controle do Sucuri Security “ para ver se o plug-in encontrou algum problema imediato no código do WordPress.
A próxima coisa que você precisa fazer é navegar até a página Sucuri Security ” Settings e clicar na guia “Hardening”.
As configurações padrão funcionam bem para a maioria dos sites, portanto, você pode ir em frente e ativá-las clicando no botão “Apply Hardening” (Aplicar proteção) para cada opção.
Isso o ajuda a bloquear as principais áreas que os hackers costumam usar em seus ataques.
Dica: abordaremos outras maneiras de fortalecer seu site mais adiante neste artigo, como alterar o prefixo do banco de dados e o nome de usuário do administrador. No entanto, essas são mais técnicas e podem exigir conhecimento de codificação.
Após a parte de proteção, as outras configurações padrão do plug-in são suficientes para a maioria dos sites e não precisam de nenhuma alteração.
A única coisa que recomendamos personalizar são os alertas de e-mail, que podem ser encontrados na guia “Alertas” da página de configurações.
Por padrão, você receberá muitos alertas de e-mail que podem sobrecarregar sua caixa de entrada.
Recomendamos ativar os alertas apenas para as principais ações sobre as quais você deseja ser notificado, como alterações de plugins e registros de novos usuários.
Esse plug-in de segurança do WordPress é muito avançado, portanto, navegue por todas as guias e configurações para ver tudo o que ele faz, como varredura de malware, registros de auditoria, rastreamento de tentativas de login com falha e muito mais.
Para obter mais informações, consulte nossa análise detalhada da Sucuri.
Ativar um firewall de aplicativo da Web (WAF)
A maneira mais fácil de proteger seu site e ter confiança na segurança do WordPress é usar um firewall de aplicativo da Web (WAF).
Um firewall de site bloqueia todo o tráfego malicioso antes mesmo que ele chegue ao seu site.
- Um firewall de site em nível de DNS roteia o tráfego do seu site por meio de seus servidores proxy em nuvem. Isso permite que ele envie somente tráfego genuíno para seu servidor da Web.
- Um firewall em nível de aplicativo examina o tráfego quando ele chega ao servidor, mas antes de carregar a maioria dos scripts do WordPress. Esse método não é tão eficiente quanto o firewall em nível de DNS para reduzir a carga do servidor.
Para saber mais, consulte nossa lista dos melhores plug-ins de firewall para WordPress.
Usamos o Sucuri no WPBeginner por muitos anos e ainda o recomendamos como um dos melhores firewalls de aplicativos da Web para WordPress. Recentemente, mudamos da Sucuri para a Cloudflare porque precisávamos de uma rede CDN maior com recursos mais voltados para clientes corporativos.
Você pode ler sobre como a Sucuri nos ajudou a bloquear 450.000 ataques ao WordPress em um mês.
A melhor parte do firewall da Sucuri é que ele também vem com uma garantia de limpeza de malware e remoção de lista negra. Isso significa que, se você for hackeado sob a vigilância deles, eles garantem a correção do seu site, independentemente do número de páginas que você tenha.
Essa é uma garantia muito forte porque o reparo de sites invadidos é caro. Os especialistas em segurança normalmente cobram mais de US$ 250 por hora, enquanto você pode obter toda a pilha de segurança da Sucuri por US$ 199 durante um ano inteiro.
Dito isso, a Sucuri não é o único provedor de firewall em nível de DNS no mercado. O outro concorrente popular é o Cloudflare. Veja nossa comparação entre Sucuri e Cloudflare (prós e contras).
Mova seu site WordPress para SSL/HTTPS
O SSL (Secure Sockets Layer) é um protocolo que criptografa a transferência de dados entre o seu site e o navegador do usuário. Essa criptografia torna mais difícil para alguém bisbilhotar e roubar informações.
Depois de ativar o SSL, o endereço do seu site usará HTTPS em vez de HTTP. Você também verá um sinal de cadeado ou ícone semelhante ao lado do endereço do site no navegador.
Os certificados SSL são normalmente emitidos por autoridades de certificação e seus preços variam de US$ 80 a centenas de dólares por ano. Devido ao custo adicional, a maioria dos proprietários de sites no passado optou por continuar usando o protocolo inseguro.
Para corrigir isso, uma organização sem fins lucrativos chamada Let’s Encrypt decidiu oferecer certificados SSL gratuitos aos proprietários de sites. Seu projeto é apoiado pelo Google Chrome, Facebook, Mozilla e muitas outras empresas.
Está mais fácil do que nunca começar a usar SSL em todos os seus sites WordPress. Muitas empresas de hospedagem agora oferecem um certificado SSL gratuito para seu site WordPress.
Se a sua empresa de hospedagem não oferecer um, você poderá adquirir um certificado SSL na Domain.com. Eles têm as melhores e mais confiáveis ofertas de SSL do mercado. O certificado vem com uma garantia de segurança de US$ 10.000 e um selo de segurança TrustLogo.
Segurança do WordPress para usuários DIY
Se você fizer tudo o que mencionamos até agora, estará em boas condições.
Mas, como sempre, há mais coisas que você pode fazer para reforçar a segurança do WordPress.
Lembre-se de que algumas dessas etapas podem exigir conhecimento de codificação.
Alterar o nome de usuário padrão do administrador
Antigamente, o nome de usuário padrão do administrador do WordPress era “admin”. Como os nomes de usuário representam metade das credenciais de login, isso facilitava os ataques de força bruta por parte dos hackers.
Felizmente, o WordPress mudou isso e agora exige que você selecione um nome de usuário personalizado no momento da instalação do WordPress.
No entanto, alguns instaladores do WordPress com um clique ainda definem o nome de usuário padrão do administrador como “admin”. Se você perceber que esse é o caso, provavelmente é uma boa ideia mudar sua hospedagem na Web.
Como o WordPress não permite que você altere os nomes de usuário por padrão, há três métodos que podem ser usados para alterar o nome de usuário.
- Crie um novo nome de usuário de administrador e exclua o antigo.
- Use o plug-in Username Changer
- Atualizar o nome de usuário do phpMyAdmin
Abordamos todos esses três aspectos em nosso guia detalhado sobre como alterar corretamente seu nome de usuário do WordPress.
Observação: Para que fique claro, estamos falando de alterar o nome de usuário chamado “admin”, não a função de usuário administrador, que às vezes também é chamada de “admin”.
Desativar a edição de arquivos
O WordPress vem com um editor de código integrado que permite editar o tema e os arquivos de plug-in diretamente da área de administração do WordPress.
Nas mãos erradas, esse recurso pode ser um risco à segurança, e é por isso que recomendamos desativá-lo.
Você pode fazer isso facilmente adicionando o seguinte código ao seu arquivo wp-config.php ou com um plug-in de snippet de código como o WPCode (recomendado):
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
Mostramos como fazer isso passo a passo em nosso guia sobre como desativar os editores de temas e plugins no painel de administração do WordPress.
Como alternativa, você pode fazer isso com um clique usando o recurso Hardening no plug-in gratuito da Sucuri mencionado acima.
Desativar a execução de arquivos PHP em determinados diretórios do WordPress
Outra maneira de reforçar a segurança do WordPress é desativar a execução de arquivos PHP em diretórios onde não são necessários, como /wp-content/uploads/.
Você pode fazer isso abrindo um editor de texto como o Bloco de Notas e colando esse código:
<Files *.php>
deny from all
</Files>
Em seguida, você precisa salvar esse arquivo como .htaccess e carregá-lo na pasta /wp-content/uploads/ do seu site usando um cliente FTP.
Para obter uma explicação mais detalhada, consulte nosso guia sobre como desativar a execução do PHP em determinados diretórios do WordPress.
Como alternativa, você pode fazer isso com um clique usando o recurso Hardening no plug-in gratuito da Sucuri que mencionamos acima.
Limitar tentativas de login
Por padrão, o WordPress permite que os usuários tentem fazer login quantas vezes quiserem. Isso deixa seu site WordPress vulnerável a ataques de força bruta. É aqui que os hackers tentam decifrar as senhas tentando fazer login com diferentes combinações.
Isso pode ser facilmente corrigido limitando as tentativas de login fracassadas que um usuário pode fazer. Se você estiver usando o firewall de aplicativo da Web mencionado anteriormente, isso será resolvido automaticamente.
No entanto, se você não tiver o firewall configurado, poderá seguir as etapas abaixo.
Primeiro, você precisa instalar e ativar o plug-in gratuito Limit Login Attempts Reloaded. Para obter mais detalhes, consulte nosso guia passo a passo sobre como instalar um plug-in do WordPress.
Após a ativação, o plug-in começará a limitar o número de tentativas de login que os usuários podem fazer.
As configurações padrão funcionarão para a maioria dos sites; no entanto, você pode personalizá-las visitando a página Configurações ” Limitar tentativas de login e clicando na guia “Configurações” na parte superior. Por exemplo, para estar em conformidade com as leis do GDPR, você pode clicar na caixa de seleção “Conformidade com o GDPR”.
Para obter instruções detalhadas, dê uma olhada em nosso guia sobre como e por que você deve limitar as tentativas de login no WordPress.
Adicionar autenticação de dois fatores (2FA)
O método de autenticação de dois fatores requer duas etapas diferentes para que os usuários façam login:
- A primeira etapa é o nome de usuário e a senha.
- A segunda etapa exige que você use um código de um dispositivo ou aplicativo em sua posse que os hackers não possam acessar, como o seu smartphone.
A maioria dos principais sites on-line, como Google, Facebook e Twitter, permite que você a habilite para suas contas. Você também pode adicionar a mesma funcionalidade ao seu site WordPress.
Primeiro, você precisa instalar e ativar o plug-in WP 2FA – Two-factor Authentication. Para obter mais detalhes, consulte nosso guia passo a passo sobre como instalar um plug-in do WordPress.
Um assistente fácil de usar o ajudará a configurar o plug-in e, em seguida, você receberá um código QR.
Você precisará digitalizar o código QR usando um aplicativo autenticador em seu telefone, como o Google Authenticator, o Authy e o LastPass Authenticator.
Recomendamos usar o LastPass Authenticator ou o Authy porque eles permitem fazer backup de suas contas na nuvem. Isso é muito útil caso seu telefone seja perdido, redefinido ou você compre um novo telefone. Todos os logins de suas contas serão facilmente restaurados.
A maioria desses aplicativos funciona de maneira semelhante e, se você estiver usando o Authy, basta clicar no botão “+” ou “Adicionar conta” no aplicativo autenticador.
Isso permitirá que você escaneie o código QR no seu computador usando a câmera do seu telefone. Talvez seja necessário primeiro dar permissão ao aplicativo para acessar a câmera.
Depois de dar um nome à conta, você pode salvá-la.
Na próxima vez que você fizer login no site, será solicitado o código de autenticação de dois fatores depois de digitar a senha.
Basta abrir o aplicativo autenticador em seu telefone e você verá um código de uso único.
Em seguida, você pode inserir o código em seu site para concluir o login.
Alterar o prefixo do banco de dados do WordPress
Por padrão, o WordPress usa wp_ como prefixo para todas as tabelas em seu banco de dados do WordPress.
Se o seu site WordPress estiver usando o prefixo padrão do banco de dados, será mais fácil para os hackers adivinharem o nome da tabela. É por isso que recomendamos alterá-lo.
Você pode alterar o prefixo do seu banco de dados seguindo nosso tutorial passo a passo sobre como alterar o prefixo do banco de dados do WordPress para aumentar a segurança.
Observação: a alteração do prefixo do banco de dados pode danificar seu site se não for feita corretamente. Faça isso somente se você se sentir confortável com suas habilidades de codificação.
Proteger com senha a página de administração e de login do WordPress
Normalmente, os hackers podem solicitar sua pasta wp-admin e a página de login sem nenhuma restrição. Isso permite que eles tentem seus truques de hacking ou executem ataques DDoS.
Você pode adicionar proteção por senha adicional no nível do servidor, o que bloqueará efetivamente essas solicitações.
Basta seguir nossas instruções passo a passo sobre como proteger com senha o diretório de administração do WordPress (wp-admin).
Desativar a indexação e a navegação no diretório
Quando você digitar o endereço de uma das pastas do seu site em um navegador da Web, será exibida a página da Web chamada index.html, se ela existir. Se ela não existir, será exibida uma lista de arquivos nessa pasta. Isso é conhecido como navegação de diretório.
A navegação no diretório pode ser usada por hackers para descobrir se você tem algum arquivo com vulnerabilidades conhecidas, de modo que eles possam tirar proveito desses arquivos para obter acesso.
A navegação no diretório também pode ser usada por outras pessoas para examinar seus arquivos, copiar imagens, descobrir a estrutura do diretório e outras informações. Por isso, é altamente recomendável que você desative a indexação e a navegação de diretórios.
Você precisa se conectar ao seu site usando o FTP ou o gerenciador de arquivos do seu provedor de hospedagem. Em seguida, localize o arquivo .htaccess no diretório raiz do seu site. Se não conseguir localizá-lo, consulte nosso guia sobre por que você não consegue ver o arquivo .htaccess no WordPress.
Depois disso, você precisa adicionar a seguinte linha no final do arquivo .htaccess:
Opções -Indexes
Não se esqueça de salvar e carregar o arquivo .htaccess de volta em seu site.
Para obter mais informações sobre esse tópico, consulte nosso artigo sobre como desativar a navegação em diretórios no WordPress.
Desativar XML-RPC no WordPress
XML-RPC é uma API central do WordPress que ajuda a conectar seu site WordPress a aplicativos da Web e móveis. Ela está ativada por padrão desde o WordPress 3.5.
No entanto, devido à sua natureza avançada, o XML-RPC pode ampliar significativamente os ataques de força bruta.
Por exemplo, se um hacker quisesse tentar 500 senhas diferentes em seu site, ele teria que fazer 500 tentativas de login separadas. Isso pode ser detectado e bloqueado pelo plug-in Limit Login Attempts Reloaded.
Mas com o XML-RPC, um hacker pode usar a função system.multicall para testar milhares de senhas com, digamos, 20 ou 50 solicitações.
Por isso, se você não estiver usando o XML-RPC, recomendamos desativá-lo.
Há três maneiras de desativar o XML-RPC no WordPress, e abordamos todas elas em nosso tutorial passo a passo sobre como desativar o XML-RPC no WordPress.
Dica: O método .htaccess é o melhor porque consome menos recursos. Os outros métodos são mais fáceis para iniciantes.
Como alternativa, isso é feito automaticamente se você estiver usando um firewall de aplicativo da Web (WAF), conforme mencionamos anteriormente.
Logout automático de usuários ociosos no WordPress
Os usuários conectados podem, às vezes, se afastar da tela, o que representa um risco de segurança. Alguém pode sequestrar sua sessão, alterar senhas ou fazer alterações em sua conta.
É por isso que muitos sites bancários e financeiros fazem o logout automático de um usuário inativo. Você também pode configurar uma funcionalidade semelhante em seu site WordPress.
Você precisará instalar e ativar o plug-in Inactive Logout. Após a ativação, visite a página Configurações ” Logout inativo para personalizar as configurações de logout.
Basta definir o tempo de duração e adicionar uma mensagem de logout. Em seguida, não se esqueça de clicar no botão “Save Changes” (Salvar alterações) na parte inferior da página para armazenar suas configurações.
Para obter instruções passo a passo, consulte o nosso guia sobre como fazer o logout automático de usuários inativos no WordPress.
Adicionar perguntas de segurança à tela de login do WordPress
Adicionar uma pergunta de segurança à tela de login do WordPress torna ainda mais difícil para alguém obter acesso não autorizado.
Você pode adicionar perguntas de segurança instalando o plug-in Two Factor Authentication. Após a ativação, você precisa visitar a página Autenticação multifator ” Two Factor para definir as configurações do plug-in.
Isso permitirá que você adicione vários tipos de autenticação de dois fatores ao seu site, inclusive perguntas de segurança.
Para obter instruções mais detalhadas, consulte nosso tutorial sobre como adicionar perguntas de segurança à tela de login do WordPress.
Verificar se há malware e vulnerabilidades no WordPress
Se você tiver um plug-in de segurança do WordPress instalado, ele verificará rotineiramente se há malware e sinais de violações de segurança.
No entanto, se você observar uma queda repentina no tráfego do site ou nas classificações de pesquisa, talvez queira fazer uma varredura manual em busca de malware. Você pode fazer isso usando o plug-in de segurança do WordPress ou um dos melhores scanners de malware e segurança.
A execução dessas varreduras on-line é bastante simples. Basta digitar o URL do seu site e os rastreadores do site o examinarão em busca de malware e códigos mal-intencionados conhecidos.
Agora, lembre-se de que a maioria dos scanners de segurança do WordPress só pode avisá-lo se o seu site contiver malware. Eles não podem remover o malware nem limpar um site WordPress invadido.
Isso nos leva à próxima seção, que trata da limpeza de malware e sites WordPress invadidos.
Corrigir um site WordPress invadido
Muitos usuários do WordPress não percebem a importância dos backups e da segurança do site até que seu site seja invadido.
Os hackers instalam backdoors nos sites afetados e, se esses backdoors não forem corrigidos adequadamente, seu site provavelmente será invadido novamente.
Para os usuários aventureiros e DIY, compilamos um guia passo a passo sobre como corrigir um site WordPress invadido.
Entretanto, a limpeza de um site WordPress pode ser muito difícil e demorada. Nossa recomendação é deixar que um profissional cuide disso.
Se você estiver pagando para usar o plug-in de segurança da Sucuri que mencionamos acima, o reparo do site invadido estará incluído no preço.
Você também pode usar o serviço de reparo de sites invadidos do WPBeginner Pro Services. Isso requer um pagamento único de US$ 249 e inclui determinação de arquivos premium, remoção de códigos maliciosos, atualizações de software e segurança e um backup limpo do site.
Garantimos a correção de seu site ou a devolução de seu dinheiro. Também cobrimos seu site por 30 dias após o reparo, portanto, se você for hackeado novamente durante esse período, estaremos lá para consertá-lo.
Limpamos e protegemos sites WordPress há mais de 10 anos, portanto, você terá tranquilidade ao usar nosso serviço de reparo de sites invadidos.
Dica bônus: contrate um serviço de manutenção do WordPress
Como proprietário de uma pequena empresa ocupada, talvez você não tenha tempo para monitorar a segurança do seu site e protegê-lo contra vulnerabilidades. Portanto, para facilitar sua mente e aliviar sua carga de trabalho, você pode contratar um serviço de manutenção do WordPress para monitoramento de segurança 24 horas por dia, 7 dias por semana.
O WPBeginner Pro Services oferece manutenção abrangente de sites WordPress a um preço acessível. Ele inclui monitoramento de segurança, backups de rotina na nuvem, atualizações do WordPress, monitoramento do tempo de atividade e muito mais.
Basta escolher um pacote de serviço de manutenção mensal que atenda às suas necessidades e você terá um site WordPress mais seguro e mais tempo livre para trabalhar em outros aspectos da sua empresa.
Se quiser outras recomendações, você pode ver nossa seleção dos melhores serviços de manutenção de sites para WordPress.
Perguntas frequentes sobre segurança do WordPress
Como a segurança do WordPress é muito importante, recebemos regularmente perguntas sobre ela. Aqui estão as respostas para as perguntas mais frequentes sobre como manter os sites do WordPress protegidos contra ataques.
O WordPress é seguro para uso?
O WordPress foi projetado para ser seguro, especialmente se você o mantiver atualizado regularmente. No entanto, por ser tão popular, os hackers geralmente têm como alvo os sites WordPress.
Mas não se preocupe. Ao seguir dicas de segurança simples, como as deste artigo, você pode reduzir bastante as chances de alguém invadir seu site.
O que pode colocar meu site WordPress em risco?
Há diferentes maneiras de os hackers tentarem obter acesso a sites. Algumas ameaças comuns incluem adivinhar senhas, instalar software nocivo (malware) e encontrar pontos fracos no código do seu site para roubar informações ou assumir o controle.
Com que frequência devo atualizar meu site WordPress?
É muito importante manter seu site, temas e plug-ins do WordPress atualizados. As novas atualizações geralmente incluem correções para problemas de segurança. Tente usar as atualizações automáticas ou verifique se há atualizações pelo menos uma vez por semana e instale-as rapidamente.
Preciso de um plug-in especial para segurança?
Você não precisa usar um plug-in de segurança, mas eles podem tornar seu site muito mais seguro. Os plug-ins de segurança funcionam como guardas extras para seu site, protegendo-o contra hackers e malware.
Como posso saber se alguém invadiu meu site?
Se você notar coisas estranhas acontecendo em seu site, isso pode ser um sinal de que foi hackeado. Isso pode incluir a visualização de novos usuários ou arquivos que você não criou, seu site enviando visitantes para sites diferentes, seu site funcionando lentamente ou recebendo avisos do Google ou do seu provedor de hospedagem na Web.
O que devo fazer se meu site for invadido?
Se você acha que seu site foi invadido, não entre em pânico, mas aja rapidamente. Você pode entrar em contato com sua empresa de hospedagem na Web e pedir ajuda. Você também pode usar um plug-in de segurança ou pedir a um especialista em segurança para limpar seu site.
Se você tiver um backup do seu site, restaure-o a partir desse backup. Certifique-se de alterar todas as suas senhas, inclusive as da área de administração do WordPress, do banco de dados e do FTP.
Esperamos que este artigo tenha ajudado você a conhecer as práticas recomendadas para proteger seu site e nossa lista de verificação de segurança recomendada para o WordPress. Talvez você também queira ver nossa lista dos principais motivos pelos quais os sites do WordPress são hackeados e nossas escolhas de especialistas dos melhores plug-ins de segurança do WordPress.
Se você gostou deste artigo, inscreva-se em nosso canal do YouTube para receber tutoriais em vídeo sobre o WordPress. Você também pode nos encontrar no Twitter e no Facebook.
Leanne
This is one of the best tutorial sites (on any subject matter) I have found. Thank you I will refer wpbeginner to others – awesome site!
WPBeginner Support
You’re welcome and glad you’ve found our content helpful
Administrador
Daniel
You know there are guys charging more than $50 or $100 dollars to teach you how to do all of this, and you gave it for free! Thanks heaps guys!
WPBeginner Support
You’re welcome
Administrador
Power
Thanks for the article, its really useful
WPBeginner Support
You’re welcome
Administrador
Mydas
This was super-useful. I have the coding skills to implement all of it, and now I can take much better care of my and my clients’ Wordpress installations. Thank you for the info, it’s so complete that I can’t believe it’s free xD
WPBeginner Support
You’re welcome, glad our guide was helpful
Administrador
Splendor Edesiri
Please do I need a VPN to access my WordPress site from the backend as part of my WordPress site security.
WPBeginner Support
No, that is not required
Administrador
Kam
Thank you for this article. It is essential reading!
If you have a host like Bluehost, is it essential to have backup with a plugin such as Updraft plus + remote storage? After all, hosting providers should be providing backup?
WPBeginner Support
While some hosts offer backups, we still recommend creating your own backups for safety
Administrador
Kyle B.
Changing the database prefix won’t make any difference. Other than that, not a bad article.
WPBeginner Support
Thanks for sharing your opinion and glad you liked our article
Administrador
kalmoa
just an FYI, with Nginx there is no directory-level configuration file like Apache’s .htaccess. All configuration has to be done at the server level by an administrator, and WordPress cannot modify the configuration, like it can with Apache. So the part about ‘Disable PHP File Execution’, cannot be completed by wordpress installs running on Nginx. That includes myself, who is running my wordpress install on Vultr. Their one-click wordpress install gets deployed on Nginx (ubuntu 18.04)
WPBeginner Support
Thank you for sharing this for the users who specifically are using Nginx for their site.
Administrador
Tom
What is the best method to update plugins if I have several that need updating? Update one at a time and see if the updated plugin breaks any of the functionality on the website?
WPBeginner Support
If you are concerned an update would break your site, we would recommend testing the update by following our guide on how to create a staging environment below:
https://www.wpbeginner.com/wp-tutorials/how-to-create-staging-environment-for-a-wordpress-site/
Administrador
Kartik Satija
Amazing article, very well articulated and documented.
Thank you all so much for this.
More power to you guys, keep up the good work.
Cheers,
Kartik.
WPBeginner Support
Glad you found our guide helpful
Administrador
MIMIFTAH
Very Informative content. Thanks
WPBeginner Support
You’re welcome
Administrador
Liz
Great article. I have a question about the hardening options. I read that enabling hardening on all options can cause some plugins or the theme to break/not work properly. If this happens, how difficult is it to fix? It seems like there’s more to it than just reverting the hardening option. Any insight you could offer would be greatly appreciated. Thanks!
WPBeginner Support
It would depend on the specific hardening recommendation, plugin, and error message for the difficulty should an error appear. Otherwise, most plugins shouldn’t have an issue
Administrador
Gary Starling
Very helpful suggestions and well explained from the basic to the complex
Thank you four your explanations
WPBeginner Support
You’re welcome, glad our article could be helpful
Administrador
Andrei
Hi guys,
After the first user enumeration, brute force a security plugin will block that IP address.
If you password protect the wp-admin directory the plugin can no longer block that IP.
Is that a correct assessment?
WPBeginner Support
Correct, there would be a similar load to a blocked IP but if you need many new users to access your site then limiting login attempts would be better than password protecting your wp-admin
Administrador
Andrei
Ok, I finally understood how this works and sharing here for everyone. Password protecting wp-admin is done at the server (Apache/Nginx) level. If a user enumeration, brute force is unable to bypass the server level, it would not be able to touch PHP/MySQL. Thus, password protecting wp-admin does not put additional load on the database.
Peter
Very informative and helpful, I have configured all the hardening procedure you mentioned, Thanks a lot.
WPBeginner Support
You’re welcome, glad our guide was helpful
Administrador
Aqib khan
i will always follow you.i will always love you and always share such a fresh and cool content to make us smile.Thank You.
WPBeginner Support
Thank you, glad you’ve enjoyed our content
Administrador
mahmoud
I love this site. you’re offering precious information.
I’m a beginner and this is helpful.
but can I only have a strong password and disable indexing to do the matter?
what about all these plugins I think they will affect the site speed or this not installed on the site?
WPBeginner Support
For your concern with plugins slowing down your site, you shouldn’t need to worry, we explain our reasoning behind this here: https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
Administrador
Krishna
Hi WP Beginner Team,
Thanks for such a brief explanation of WordPress security. This article was very useful and let know the value of wp security for the users and website owner.
THANKS AGAIN…
WPBeginner Support
You’re welcome, glad our article was helpful
Administrador
Kushal
I used all plugin that you mentioned sucuri, itheams, wp serber and jetpack. How many plugin can I use on my website.
WPBeginner Support
We would recommend sticking with only one plugin for a specific feature but for in general how many plugins to use you would want to take a look at our article here: https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
Administrador
Leighann
This was SO helpful. Thanks for the information and saving me so much time!
WPBeginner Support
You’re welcome, glad our guide could be helpful
Administrador
Dietrich
Hi
Is it okay to use Sucuri and Wordfence at the same time? I installed Wordfence since Sucuri’s free version doesn’t have a firewall feature.
WPBeginner Support
We would not recommend using both, multiple security tools can conflict with each other and cause issues with your site.
Administrador
Yiannis Christodoulou
Very helpful article.
Thank you for sharing.
WPBeginner Support
You’re welcome, glad our article could help
Administrador
Steve Schultz
Your free Sucuri Security plugin link is broken … 404 error.
WPBeginner Support
Thanks for letting us know, the link should be fixed
Administrador
Monty parihar
Now my website is secured, after read your post immidiatly we install security plugin. Thank u WP Beginner.
WPBeginner Support
You’re welcome
Administrador
Melvin Adame
Amazing read! Security should always be the #1 priority for any website owner, for their sake and their visitors.
WPBeginner Support
Thank you, glad you like our content
Administrador
Adil
Thanks for all this info!
WPBeginner Support
You’re welcome
Administrador
Mark Bunner
Some good tips here. I have already used a lot of them; but it gives a few other areas to think about.
WPBeginner Support
Thank you, glad you like our recommendations
Administrador
Chukwuemeka Ebuka
Am very grateful for this article, all thanks to wpbeginner.com.
WPBeginner Support
You’re welcome, glad our article could be helpful
Administrador
Heidi
Great article, thanks! I think I’ve done most of these things now (except ones requiring coding). I did however have a problem setting a password for the admin folder. While I worked out how to do this in cPanel (under ‘directory privacy’), when I went back to my dashboard I found I was locked out. Then I spent over an hour on chat support with Bluehost only to discover what I suspected – that when you log in to WP from Bluehost it takes you straight to the admin area, so there is no opportunity to login to the admin folder, which means you just get locked out. Guess this is a problem with Bluehost and the only solution they gave me was install a plugin
WPBeginner Support
If you’re using their link from the hosting dashboard to log into your site that may be true but if you add /wp-admin to your domain then it should take you to the login page which will bring up the additional login requirement
Administrador
Heidi
Ok great thanks, I’ll try that.
Julian Song
Awesome article on security. Setup WordPress is easy, but to managed it need lots of study & research. Your blog helps the community more than you can imagine. I even share your blog on the recent WordPress meet-up as one of the best guidelines.
WPBeginner Support
Thank you for your kind words and sharing our articles
Administrador
Malith
Thank you very much!
WPBeginner Support
You’re welcome, glad our guide could be helpful
Administrador
Shiva Prasad
Thanks for being a good mentor and for guiding me on the right path. I will always be thankful to you.
WPBeginner Support
Glad our guides could help you
Administrador
Majid
Hi,
I am new to wordpress, I am using bluehost to host my website, when I cliked on the wordpress button, it automatically took me to cPanel, without asking any password, which passwords are we talking about?
P.S at the right top corner I could see Howdy, my name…does that mean is that my username?
I do’t remember installing wordpress on bluehost, neither did I enter any username or password separately for wordpress.
Please help.
WPBeginner Support
That is BlueHost’s tool to make setting up your WordPress site easier, our article is talking about the password for your WordPress site. You can change your password for your site under Users>Your Profile. The name next to Howdy should be your username.
Administrador
Terence Vickers
You may have a typo in the XML-RPC section which is a bit confusing.
Presently reads: “This is why if you’re not using XML-RPC, then we recommend that you disable it.”
If I’m not using i There would likely be no way to disable it.
WPBeginner Support
Apologies for any confusion, with that statement we mean if you’re not using it for a specific plugin or other need then we would recommend disabling it rather than meaning if it is disabled to disable it. We’ll look into clarifying that
Administrador
Syed Gallani
I understand keeping wordpress updated is essential for security, but is it really necessary ,from security point of view, to update all the plugins. How outdated plugins can make your website more prone to being hacked?
WPBeginner Support
It would depend on the plugin for how it could make your site vulnerable but some plugins may have code that could be out of date for a newly discovered issue with a piece of code.
Administrador
David Anozie
A big thank you! Your the boss.
WPBeginner Support
Thank you for being one of our readers
Administrador
Nick
Would blocking Search Engine Spiders (via robots.txt) from Indexing directories help with security?
WPBeginner Support
No, it would only mean those search crawlers would not look at your site.
Administrador
寒星
It’s turely helpful to maintaining WP. I love it and thank you so much.
WPBeginner Support
You’re welcome, glad our article was helpful
Administrador
peg
i’m learning the hard way! : ) i’m so glad to have found you. i have a hacked 5-year old site hosted on godaddy (can’t get into the admin at all) … they want $300 to fix it, so i’m rebuilding on bluehost and implementing your security suggestions. looking forward to learning much more! thank you so much for this resource.
WPBeginner Support
You’re welcome, glad our guide can help
Administrador
Jeff Moyer
Great comprehensive list thank you! Limiting the amount of login attempts I find is a big one since it will discourage a lot of hackers right from the get go. It might be frustrating if you lost or forget your passwords but still well worth it.
WPBeginner Support
You’re welcome, glad you liked our article
Administrador
Tanmay Kapse
An awesomely detailed post!! each and every thing is described perfectly. Keep up the good work
WPBeginner Support
Thank you, glad you liked our content
Administrador
Sunny Chawla
Much obliged to you for supportive page improve my site
WPBeginner Support
Glad our guide could be helpful
Administrador
Santhosh Naikar
What are things I need to worry when it is hosted on a internal network[Has access to only systems with in our office network]?
WPBeginner Support
Your main concern for an intranet would be to ensure each user has the correct privileges for their role, after that it would be protecting yourself from brute force attacks and similar.
Administrador
steven suslick
I find this and many of the posts very helpful. I have a hack related question. Google analytics is reporting strange pages that do not actually existing in my posts. The all seem to have a /?s= for example /?s=dox. I can not seem to locate source any suggestions?
WPBeginner Support
Those pages are from users using the search on your site, for the second someone searched for the word dox
Administrador
Emmanuel Ikechukwu
This is the best wordpress online tutor i have come across so far.
WPBeginner Support
Glad our articles are helpful
Administrador
Bobbie Camp
Found this article to be very helpful. I am very new and not “techy” and need all the assistance I can get. Appreciate your easy to read instructions.
WPBeginner Support
Glad our articles could help
Administrador
Jemes
It is very helpful. Thanks
WPBeginner Support
You’re welcome
Administrador
NICHOLAS AMOL GOMES
Thank you for helpful page improve my site
WPBeginner Support
You’re welcome
Administrador
Brad Vincent
Hey guys,
I must agree with your mentions of Sucuri – they have sorted out a couple of hacked sites of mine over the years. Worth every penny!
I am really loving these extended posts with all the info I need. I have been following your website speed post and that has made a big difference to my sites. After I have finished with that I will be following this one for sure.
Awesome work and much appreciated.
WPBeginner Support
Thank you, glad you find our articles helpful
Administrador
Brian
What are your thoughts on Wordfence and Sucuri on the same WP installation? They seem to have some similar functionality so was wondering how much more I get with both versus just one security tool. Is Wordfence a reasonable alternative?
WPBeginner Support
We would recommend only one at a time to prevent conflicts between the plugins.
Administrador
Mark
I use Wordfence and Sucuri for different functions. While they may at first appear to be competitors, they are actually complementary. I’ve had no issues running both … so far … but of course there are incompatibilities among plugins in general.