Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Copa WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Como realizar uma auditoria de segurança do WordPress (lista de verificação completa)

Manter seu site WordPress seguro é um processo contínuo, como cuidar de sua saúde. Embora o WordPress tenha sido projetado com a segurança em mente, ainda assim podem surgir problemas. Esses problemas podem ser causados por plug-ins desatualizados, senhas fracas ou até mesmo configurações em sua hospedagem na Web.

Na WPBeginner, consideramos as auditorias de segurança do WordPress como check-ups do site. Elas o ajudam a encontrar e corrigir pontos fracos antes que alguém possa tirar proveito deles. Elas mantêm seu site saudável e protegem as informações que ele contém.

Este artigo mostrará como verificar se há problemas de segurança em seu site WordPress sem causar problemas ou interrupções.

Easily perform a complete WordPress security audit

O que é uma auditoria de segurança do WordPress?

Realizar uma auditoria de segurança em seu site WordPress significa verificar se há sinais de violação de segurança. Você pode executar uma verificação do WordPress para procurar atividades suspeitas, códigos maliciosos ou uma queda incomum no desempenho.

Mostraremos como realizar uma auditoria de segurança básica seguindo etapas simples que você pode executar manualmente. Também mostraremos como usar as ferramentas e os serviços de auditoria de segurança do WordPress para realizar as verificações de segurança automaticamente.

Se você encontrar algo suspeito, poderá isolar, remover e corrigir o problema.

Quando realizar uma auditoria de segurança do WordPress

Você deve realizar uma auditoria de segurança do WordPress pelo menos uma vez por trimestre. Isso permite que você fique por dentro de tudo e feche as brechas de segurança antes mesmo que elas causem algum problema.

No entanto, você deve realizar uma auditoria de segurança imediatamente se notar algo suspeito, como:

  • Seu site ficou subitamente lento e lento.
  • Você observa uma queda no tráfego do site.
  • Há suspeitas de novas contas, solicitações de senhas esquecidas ou tentativas de login em seu site.
  • Você vê links suspeitos aparecerem em seu site.

Dito isso, vamos dar uma olhada em como realizar facilmente uma auditoria de segurança do WordPress.

Realização de uma auditoria manual básica de segurança do WordPress

Aqui está uma lista de verificação de algumas etapas que você pode seguir para realizar uma auditoria manual básica de segurança do WordPress em seu site.

1. Atualize o núcleo, os plug-ins e os temas do WordPress

As atualizações do WordPress são realmente importantes para a segurança e a estabilidade de seu site. Elas corrigem vulnerabilidades de segurança, trazem novos recursos e melhoram o desempenho.

Certifique-se de que o software principal do WordPress, todos os plug-ins e temas estejam atualizados. Você pode fazer isso facilmente visitando a página Painel ” Atualizações na área de administração do WordPress.

WordPress updates

O WordPress procurará se há atualizações disponíveis e as listará para que você as instale. Se precisar de mais ajuda, consulte nossos guias sobre como atualizar corretamente o WordPress e como atualizar corretamente os plug-ins do WordPress.

2. Verifique as contas de usuário e as senhas

Em seguida, você precisa revisar as contas de usuário do WordPress visitando a página Usuários ” Todos os usuários. Procure por contas de usuário suspeitas que não deveriam estar lá.

Se você tiver uma loja on-line, um site de associação ou vender cursos on-line, poderá ter contas de usuário para que seus clientes façam login.

No entanto, se você administra um blog ou um site comercial, deverá ver apenas as contas de usuário para si mesmo ou para qualquer outro usuário que tenha sido adicionado manualmente.

Edit a user profile in WordPress

Se você vir contas de usuário suspeitas, precisará excluí-las.

Agora, se o seu site não exigir que os usuários criem uma conta, será necessário visitar a página Configurações ” Geral e certificar-se de que a caixa ao lado da opção “Qualquer pessoa pode se registrar” esteja desmarcada.

Open user registration in WordPress

Como precaução extra, você precisa alterar sua senha de administrador do WordPress. É altamente recomendável adicionar a autenticação de dois fatores para reforçar a segurança da senha em seu site.

3. Execute uma verificação de segurança do WordPress

IsItWP Security Scanner

A próxima etapa é verificar se há vulnerabilidades de segurança em seu site. Felizmente, há vários scanners de segurança on-line que você pode usar para verificar se há malware.

Recomendamos usar o IsItWP Security Scanner, que verifica se há malware e outras vulnerabilidades de segurança em seu site.

Essas ferramentas são boas, mas só podem examinar as páginas públicas de seu site. Mostraremos a você como realizar auditorias mais profundas mais adiante neste artigo.

4. Verifique a análise de seu site

A análise do site ajuda a monitorar o tráfego do site. Elas também são um ótimo indicador da saúde de seu site.

Se o seu site tiver sido colocado na lista negra dos mecanismos de pesquisa, você verá uma queda repentina no tráfego do site. Se o seu site for lento ou não responder, as visualizações gerais da página cairão.

Recomendamos o uso do MonsterInsights para rastrear o tráfego do seu site. Ele não apenas mostra as visualizações gerais de página, mas também pode ser usado para rastrear usuários registrados, clientes do WooCommerce, conversões de formulários e muito mais.

5. Configurar e verificar backups do WordPress

Caso ainda não tenha feito isso, você precisa configurar imediatamente um plugin de backup do WordPress. Isso garante que você sempre tenha um backup do seu site, caso algo dê errado.

Muitos iniciantes se esquecem do plugin de backup do WordPress depois de configurá-lo. Às vezes, os plug-ins de backup podem parar de funcionar sem aviso prévio. É uma boa ideia certificar-se de que o plug-in de backup ainda esteja funcionando e salvando backups.

Realização de uma auditoria automática de segurança do WordPress

A lista de verificação acima permite que você passe pelos aspectos mais importantes de uma auditoria de segurança. Entretanto, esse não é um processo muito completo, o que significa que seu site ainda pode estar vulnerável.

Por exemplo, é difícil manter um registro manual de todas as atividades do usuário, diferenças de arquivos, códigos suspeitos e muito mais. É nesse ponto que você precisa de um plug-in para automatizar a auditoria de segurança e manter um registro de tudo.

Você pode automatizar esse processo com a ajuda de alguns plug-ins de segurança do WordPress.

1. Execução automática de uma auditoria de segurança com o registro de atividades do WP

WP Activity Log

OWP Activity Log é o melhor plug-in de monitoramento de atividades do WordPress no mercado.

Ele permite que você acompanhe todas as atividades dos usuários no seu site. Você pode visualizar todos os logins de usuários, endereços IP e o que eles fizeram em seu site.

WordPress activity log viewer to monitor events

Você pode rastrear usuários, editores, autores e outros membros do WooCommerce que tenham uma conta em seu site.

Você também pode ativar os eventos que deseja monitorar e desativar os eventos que não deseja monitorar.

Track events in WP Activity Log

O plug-in também mostra uma visualização ao vivo de todos os usuários conectados ao seu site. Se você vir uma conta suspeita, poderá encerrar a sessão imediatamente e bloqueá-la.

Você pode saber mais em nosso guia sobre como monitorar a atividade do usuário no WordPress usando o WP Activity Log.

2. Realização automática de uma auditoria de segurança com a Sucuri

Sucuri

O Sucuri é o melhor plug-in de firewall para WordPress do mercado e também é a melhor solução de segurança completa para WordPress que você pode obter para o seu site.

Ele oferece proteção em tempo real contra ataques DDoS, bloqueando atividades suspeitas antes mesmo que elas cheguem ao seu site. Isso remove a carga de seu servidor e melhora a velocidade/desempenho de seu site.

Ele vem com um plug-in de segurança integrado que verifica se há códigos suspeitos em seus arquivos do WordPress. Você também tem uma visão detalhada da atividade do usuário em seu site.

O mais importante é que a Sucuri oferece a remoção de malware gratuitamente em todos os seus planos pagos. Isso significa que, mesmo que o seu site já tenha sido afetado, os especialistas em segurança da empresa o limparão para você.

Bônus: Contratação de um serviço de manutenção do WordPress

Gerenciar a segurança do site por conta própria pode ser demorado e complicado, especialmente para usuários não técnicos. Portanto, você pode considerar a contratação de um serviço de manutenção do WordPress que ofereça monitoramento de segurança 24 horas por dia, 7 dias por semana, para economizar tempo e aliviar sua carga de trabalho.

O WPBeginner Pro Services oferece serviços confiáveis de manutenção do WordPress a preços acessíveis. Ele inclui monitoramento de segurança, backups de rotina, atualizações, monitoramento de tempo de atividade e muito mais.

WPBeginner WordPress website maintenance service

Basta escolher um pacote de manutenção mensal e você pode relaxar sabendo que a segurança do seu site está sendo cuidada por especialistas.

Guias especializados sobre segurança do WordPress

Esperamos que este artigo tenha ajudado você a aprender como realizar uma auditoria de segurança do WordPress em seu site. Talvez você também queira ver alguns outros guias relacionados à segurança do WordPress:

Se você gostou deste artigo, inscreva-se em nosso canal do YouTube para receber tutoriais em vídeo sobre o WordPress. Você também pode nos encontrar no Twitter e no Facebook.

Divulgação: Nosso conteúdo é apoiado pelo leitor. Isso significa que, se você clicar em alguns de nossos links, poderemos receber uma comissão. Veja como o WPBeginner é financiado, por que isso é importante e como você pode nos apoiar. Aqui está nosso processo editorial.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

O kit de ferramentas definitivo WordPress

Obtenha acesso GRATUITO ao nosso kit de ferramentas - uma coleção de produtos e recursos relacionados ao WordPress que todo profissional deve ter!

Reader Interactions

6 ComentáriosDeixe uma resposta

  1. Eva

    1st step to fight daily brute force attacks attempts is to change the default login url.

    • WPBeginner Support

      Instead of changing the login url we would normally recommend using a plugin like limit login attempts as changing the login URL has a higher chance of causing problems for beginners.

      Administrador

      • Eva

        Well, I do both! And many more. Security is my number one priority. I see what you mean, but most words are as easy to memorize as /wp-admin or /wp-login especially for beginners in my opinion.

        • WPBeginner Support

          It is less about remembering the login URL and more about if there are any errors when trying to change the URL, most beginners don’t have the tools to fix the login address.

        • Eva

          I see, good point! In many cases, just renaming the plugin directory by FTP is enough to disable it and access again through /wp-login. But I get it, it is not beginner-friendly!

        • DW

          Yeah, doing the login URI really doesn’t do much. It’s a technique known as “security by obscurity” – basically security by “hiding”.

          If someone is determined to get into your website, using these “Security by obscurity” techniques would at best slow them down by a few minutes. It’s not really a substitute for properly securing your website.

          You’re far better off securing your website properly. Techniques like plugins to prevent brute force attacks, enforcing strong passwords, enforcing multi-factor authentication for at the very least admin accounts, and if you have the luxury of having a Static IP address creating an .htaccess file that only allows access to the admin page from your IP address are all far better solutions.

Deixe uma resposta

Obrigado por deixar um comentário. Lembre-se de que todos os comentários são moderados de acordo com nossos política de comentários, e seu endereço de e-mail NÃO será publicado. NÃO use palavras-chave no campo do nome. Vamos ter uma conversa pessoal e significativa.