Há cerca de um mês, começamos a ver um número enorme de tentativas falhas de acessar a página de login do WPBeginner e a página wp-admin. Ficamos extremamente cautelosos com isso. Desde proteger com senha o diretório wp-admin até adicionar um processo de verificação em duas etapas, tentamos fazer tudo por conta própria. No entanto, rapidamente percebemos que nossas habilidades e conhecimentos eram bastante limitados. Já temos uma solução completa de backup com VaultPress, então só precisávamos de alguém que monitorasse continuamente nosso site em busca de qualquer comportamento estranho. Alguém que soubesse o que estava fazendo. Alguém que tivesse uma ótima reputação. Após alguma pesquisa, apenas um nome se destacou. Era Sucuri. Ao acessar o site, percebemos que este é o mesmo site que oferece um scanner de sites gratuito que usamos ao fazer uma limpeza de malware para o site de um de nossos clientes. Fomos em frente e adquirimos a conta para nossos sites. Enquanto a configurávamos, a única coisa que vinha à mente era "UAU". Esta deveria ser uma ferramenta ESSENCIAL para todos. Neste artigo, mostraremos por que usamos o Sucuri e como ele realmente melhora nossa segurança WordPress.
1. Monitoramento de Integridade do Site
Assim, ao contrário do scanner gratuito que você precisa executar manualmente, a verificação de malware e lista negra do site verifica o site com a frequência de a cada 3 horas para garantir que seu site esteja livre de malwares, scripts maliciosos, iframes maliciosos, redirecionamentos suspeitos, injeções de links de spam, etc. Eles também garantem que seu site não esteja em listas negras de serviços populares como Google, Norton, AVG, Phishtank, Opera e outros. Como isso beneficia? Bem, isso mantém sua reputação intacta, para que seus usuários não vejam avisos como “Atenção: Algo Não Está Certo Aqui”.
2. Verificação do Lado do Servidor
Assim, o monitoramento do site apenas verifica seu site no front-end. Mas e se você estiver lidando com um hacker inteligente, que não se importa em infectar seus usuários com malwares? Eles simplesmente adicionam anúncios em banners em suas postagens antigas que você não conhece. E se eles já estabeleceram um acesso de backdoor que podem usar para alterar seus links de afiliados pelos deles e roubar sua receita? Esse tipo de hack não pode ser detectado pelo scanner gratuito do site. No entanto, para clientes pagantes, existe uma opção chamada Verificação do Lado do Servidor, que faz exatamente isso. Ele escaneia seu servidor para garantir que não haja arquivos suspeitos sendo hospedados em seu servidor. Ele também audita eventos como alterações de arquivos e outras coisas para mantê-lo informado.
Você pensaria que teria que instalar algum tipo de software pesado em seu servidor para fazer essas verificações. Tudo o que você precisa fazer é carregar um único arquivo PHP simples e pronto.
3. Plugin de Log de Auditoria do WordPress
Como é criado por pessoas que amam o WordPress tanto quanto nós, eles têm um plugin especial para usuários do WordPress. Este plugin é como uma joia para iniciantes e usuários avançados. Ele audita todos os eventos que acontecem em seu site WordPress. Alterações de arquivos, adições de novas postagens, etc.
Frequentemente, hackers tentam disfarçar seus arquivos de backdoor hackeados com nomes de arquivos do WordPress. Assim, pode ser um arquivo na sua pasta wp-includes chamado wp-user.old.php ou algo que um usuário comum não suspeitaria ser um arquivo malicioso. O plugin Sucuri WordPress garante a integridade de todos os arquivos principais. Portanto, se houver um arquivo suspeito entre eles, ele o alertará imediatamente. Frequentemente, hackers tentam esconder o malware dentro do seu arquivo wp-config.php. Que é um arquivo principal. Este plugin verifica tudo isso.
Endurecimento em 1 clique
Se você é um novo usuário, você vê várias postagens de segurança em diferentes blogs. Você tenta se lembrar de todas elas em seu próximo site e no seguinte, etc. Algumas das dicas de hardening nem sequer são mencionadas. Bem, a Sucuri lhe dá a capacidade de melhorar sua segurança fortalecendo sua instalação do WordPress. Com um clique, você pode proteger seu diretório de uploads. Frequentemente, hackers gostam de esconder seus arquivos maliciosos em sua pasta de uploads. Como a pasta de uploads é organizada por ano e mês, é um local fácil para hackers esconderem coisas. A maioria das pessoas nunca verifica sua pasta de uploads. Com um clique simples, este plugin tornará seu diretório de uploads não navegável e proibirá a execução de php. Ele faz o mesmo para o diretório wp-content e o diretório wp-includes. Com 1 clique, você também pode mover seu arquivo wp-config um diretório para cima. Com 1 clique, ele se livra do seu arquivo readme.html e outros.
No momento, não há como alterar o prefixo padrão do banco de dados com 1 clique, mas diz que estará disponível nas versões futuras. Enquanto isso, você pode usar nosso tutorial sobre Como Alterar o Prefixo do Banco de Dados do WordPress.
Por último, mas não menos importante, este plugin adiciona um firewall web que bloqueia spammers e lista negra seus IPs. Verificamos muitos dos IPs que estavam tentando acessar áreas que não deveriam ser IPs conhecidos em lista negra. Para usuários do WordPress, este plugin é a melhor coisa que já existiu.
4. Alertas
A parte mais importante sobre monitoramento são os alertas. A Sucuri permite que você configure alertas por e-mail, alertas no Twitter, alertas por IM, alertas por SMS e alertas RSS. Isso é ótimo porque, se houver um hack, você será o primeiro a saber.
Além do monitoramento de Malware e Blacklist, eles também têm monitoramento para alterações de DNS, alterações de whois, etc. Recentemente, muitos domínios populares foram roubados de seus webmasters, e esse tipo de monitoramento pode mantê-lo alerta.
5. Serviço de Limpeza de Malware
Mesmo que todas as razões acima justifiquem bem o custo, eles também oferecem serviço de limpeza de malware sem limites de páginas, juntamente com remoção de listas negras. Ainda não tivemos que usar esta parte do serviço, mas você consegue imaginar ter especialistas em segurança limpando seu site. Normalmente, alguns desses caras cobram US$ 250+/hora por consultoria. Digamos que se o seu site for invadido e você tiver o monitoramento deles, eles farão a limpeza para você. As chances são de que isso seja detectado antes que o Google e outros serviços o coloquem em lista negra. Mas se você for colocado em lista negra, eles o ajudarão com a remoção da lista negra.
Temos o plano Power, que custa US$ 189,99 por ano e cobre 5 sites. O custo mensal fica em cerca de US$ 3 por site. Preferiríamos muito pagar US$ 3 por site e mantê-lo seguro em vez de sermos invadidos e pagarmos a alguém $$$$ para limpar nosso site.
Conclusão
A web é um lugar realmente assustador. Dia após dia, ouvimos histórias de pessoas e sites sendo invadidos. Tendo ajudado inúmeras pessoas a limpar seus sites de malwares, podemos dizer honestamente que a Sucuri é, sem dúvida, o melhor e mais econômico serviço de segurança na indústria do WordPress. É muito melhor descobrir que seu site foi invadido por um serviço de monitoramento do que descobrir por seus usuários ou, melhor ainda, pelo Google quando eles colocarem seu site em lista negra.
Estamos usando a Sucuri e, se você se preocupa com a segurança do seu site, então você também deveria. Há uma razão pela qual grandes publicações como CNN, USAToday, PC World, TechCrunch, TheNextWeb e outras estão recomendando esses caras. Tendo conversado pessoalmente com um de seus co-fundadores, Dre Armeda, sabemos que estamos em boas mãos.
jesse
Tenho tido tempo de inatividade com o firewall da Sucuri... tive 48 horas de inatividade em 2 interrupções. O suporte técnico deles é realmente incompetente. NÃO recomendo o serviço deles.
Vinny
Quanto a Sucuri pagou para você colocá-los em sua lista? Não estou dizendo que eles são ruins, mas prefiro usar Wordfence ou até mesmo iThemes Security, ambos com 6x mais usuários ativos que a Sucuri.
Equipe Editorial
A Sucuri não nos pagou um único centavo. Na época em que escrevemos isto, o iThemes Security tinha um nome diferente e o WordFence era o único concorrente principal. O serviço de limpeza de malware e o monitoramento ativo da Sucuri deram a eles a vantagem. Estamos em processo de migração para o novo WAF deles, momento em que escreveremos uma atualização sobre isso.
O WAF da Sucuri é muito superior aos outros plugins que você mencionou porque é um firewall DNS ativo baseado em nuvem, não um hospedado para o seu site WP. Além disso, 6x mais usuários ativos é principalmente porque os outros são gratuitos.
Admin
butterkitten
Eu gosto da recomendação, mas não posso pagar pela Sucuri no momento. Existem outros plugins que você pode recomendar que sejam acessíveis?
Chris Bunting
Embora agora existam vários plugins de segurança, eu ainda prefiro o Securi! Eu gerencio um site onde o tráfego não é tanto o problema, mas sim as pessoas que o visitam.. Tentativas de invasão são algo diário para nós.. Mas o Securi tem as melhores notificações e configuração que eu já encontrei!
Proteger verdadeiramente seu site vai muito além de apenas um plugin.. Não se deixe enganar pelo marketing! Se você está usando um servidor dedicado / VPS, você tem que começar no nível do sistema operacional.. Se você está em uma conta de hospedagem compartilhada com scripts de auto-instalação, você deve pesquisar sobre como proteger seu site antes mesmo de pensar em proteger o WordPress..
Thomas Zickell
O Sucuri CloudProxy já foi lançado e eu o estou usando desde que saiu. Tenho que dizer que é uma das melhores ferramentas que já usei. A velocidade do site é mais rápida, você tem proteção real contra todos os ataques de força bruta, até mesmo proteção DDoS 7 integrada à oferta básica deles, com DDoS 3,4 e 7 completos na oferta profissional deles. É realmente uma ferramenta excepcional para quem não usa hospedagem WordPress gerenciada (eu uso tanto WordPress gerenciada quanto Terremark, FireHost, Linode e Digital Ocean), é uma ótima adição, especialmente para quem procura um servidor muito rápido, confiável e seguro, combinado com o Digital Ocean, você tem algo incrível.
Sean
Boa avaliação, estamos prestes a nos inscrever com eles. Quando você sofreu nas mãos de hackers e tantas pessoas recomendam esses caras, você sabe que é a coisa certa a fazer.
Thomas Zickell
Eu realmente gosto dos novos backups da Sucuri. Eles custam $5 por mês e você tem espaço ilimitado. Concordo que o VaultPress é um serviço excelente, no entanto, depois de comparar o VaultPress de $15 por mês com Sucuri e CodeGuard, eu escolho Sucuri. Tudo que você precisa é SFTP/FTP/MySQL, isso é preferível a um método apenas com plugin.
Eu especialmente por causa do serviço que você recebe da Sucuri, eles até te ajudam a restaurar o site para você e sim, você deve usar o chat que está disponível 24/7
Você pode enviar um e-mail para seu cliente todos os dias, semanas ou meses com um link de backup para download.
Quando você está fazendo otimização para mecanismos de busca, desenvolvimento web e criação de conteúdo como eu.
Clientes precisam ter um método para saber que você é uma pessoa honesta, então se você desaparecer, eles ainda terão o site deles, mesmo que esteja na sua plataforma de hospedagem.
Por essa razão, que sei que é estranho mencionar, mas é importante porque você não quer que seu cliente, que pode não ser tão experiente em web quanto você, mexa com plugins ou qualquer outra coisa se você for o webmaster.
A Sucuri realmente se superou, eu a uso há anos e é uma empresa fantástica.
Eu diria que o CodeGuard é ok
Eu preferiria gastar o dinheiro em backup da Sucuri e nunca me preocupar com espaço
Phil Alcock
Quando executei a verificação da Sucuri em nosso domínio, ela veio como limpa, mas na seção de versão da aplicação web havia um triângulo de aviso para
Caminho interno do WordPress: /home/dibdench/public_html/wp-content/themes/atahualpa3712/index.php
Sem indicação do que isso significa. Alguma ideia?
oj wickliffe
Olá,
Já passei por este site antes e, de fato, ele ajudou a descobrir alguns malwares.
Na verdade, tenho um problema para o qual preciso de uma recomendação. Meu site parece ter sido hackeado, pois há uma pasta lá que não fui eu quem criou. Mas toda vez que a excluo, ela volta do meu gerenciador de arquivos do cpanel.
O que posso fazer.
Obrigado.
WPBeginner Support
Uma pasta não significa necessariamente que seja devido a algum malware ou trojan em seu site. Muitos plugins do WordPress também criam pastas para armazenar dados. Para ter certeza de que não é um plugin criando essa pasta, primeiro desative todos os seus plugins e depois exclua a pasta. Veja se a pasta volta. Se voltar, então é provavelmente devido a um script malicioso ou malware. Se não voltar, isso significa que um dos plugins do seu site precisa dessa pasta para funcionar corretamente.
Admin
TOrben Heikel Vinther
Ótima análise! Hoje estou usando o plugin gratuito Better WP Security nos meus sites, mas quando li sobre a Sucuri, parece que é ainda melhor! Se eu comprar o plugin Sucuri, terei a mesma proteção (ou mais) do que com o Better WP Security?
Você recomenda outros plugins de segurança para trabalhar em conjunto com o Sucuri, por exemplo, Wordfence, ou isso seria muita sobreposição?
Equipe Editorial
O Sucuri é uma solução bastante abrangente, então você não deve precisar combiná-lo com o Wordfence e outros. Uma vantagem clara do Sucuri é a garantia de que eles consertarão seu site se algo der errado. Qualquer pessoa que conheça a dor de limpar um site invadido, comprará a assinatura em um piscar de olhos. Contratar um bom consultor de segurança custa centenas de dólares por hora. O Sucuri também tem varredura do lado do servidor que lhe dá avisos. Ele monitora alterações de arquivos e coisas do tipo.
Admin
Frithjof
Obrigado pela ótima análise! Antes de me inscrever, uma pergunta "bônus": a varredura do lado do servidor substitui a necessidade de monitoramento de tempo de atividade?
Equipe Editorial
Eles têm uma opção para receber alertas de tempo de atividade.
Admin
Maggie
Comecei meu blog no mês passado e ainda é um site muito pequeno, com no máximo 10 pessoas visitando todos os dias.
Isso significa que há menos chance de alguém hackear meu site?
Devo esperar até que meu site fique mais movimentado?
Eu levo meu blog muito a sério, mas não tenho certeza se vale a pena investir muito no início.
Mary
Olá,
Eu só queria responder a você porque estou sofrendo ataques de força bruta nos meus sites e todos eles são novos, com muito pouco tráfego.
"Login in security" é um plugin gratuito que está me dando essa informação e foi discutido neste site.
Atualizações e uma senha forte também são importantes.
Mas estou pesquisando sobre a Sucuri e comprarei através do link neste site porque esses caras são ótimos.
Boa sorte!
Maggie
Obrigado pela sua resposta, Mary. Parece assustador!
Acabei de instalar o "Limit Login Attempts" agora e vou reconsiderar sobre a Sucuri.
Mary
Olá, obrigado por este artigo
Eu não entendo todos os detalhes escritos aqui ou nos comentários
Então eu estava me perguntando isso. Se eu contratar o Sucuri, EU
1) tenho que decidir o que preciso do que eles oferecem (eu não saberia)
2) é difícil, é fácil de instalar para um NÃO ENTENDEDOR como eu
3) tem código? Já quebrei meu site antes adicionando código
4) e alguma outra medida de segurança será necessária?
Obrigado pelo seu site! Mary
Equipe Editorial
Olá Mary,
1. Não, você simplesmente compra o plano (é tudo incluído).
2. Bastante fácil de instalar. A equipe deles ajudará se você precisar.
3. Não. Nenhum código envolvido.
4. Usar uma senha forte é sempre necessário
Admin
Keith Davis
Oi Syed
Só pensei em te avisar que a Sucuri agora tem uma – clique na alteração do prefixo do banco de dados – incrível!
Equipe Editorial
Legal… Não sabia que eles adicionaram isso.
Admin
Keith Davis
Estou seriamente considerando a Sucuri para 5 a 8 sites.
Algum código de desconto?
Ahmed
Bem, acho que vou dar uma chance para esses caras!
Brad Dalton
Meu site foi hackeado hoje e o scan da Sucuri estava limpo antes de eu consertar.
O Wordfence detectou quando fiz o scan usando este plugin.
Equipe Editorial
Brad, você estava usando o scanner gratuito deles ou o scan pago do servidor? O scanner gratuito deles não verifica os arquivos no seu servidor. Ele apenas verifica códigos maliciosos que estão sendo exibidos publicamente.
Admin
Jason H
A avaliação positiva termina com esta linha:
“Não há razão para que grandes publicações como CNN, USAToday, PC World, TechCrunch, TheNextWeb e outras estejam recomendando esses caras.”
Equipe Editorial
Uau, total omissão do nosso lado. Deveria ter lido “há uma razão”. Obrigado por apontar.
Admin