Manter seu site WordPress seguro é um processo contínuo, como cuidar da sua saúde. Embora o WordPress seja projetado com a segurança em mente, problemas ainda podem surgir. Esses problemas podem ser causados por plugins desatualizados, senhas fracas ou até mesmo configurações em sua hospedagem web.
Na WPBeginner, consideramos as auditorias de segurança do WordPress como check-ups de sites. Elas ajudam você a encontrar e corrigir vulnerabilidades antes que alguém possa explorá-las. Elas mantêm seu site saudável e protegem as informações que ele contém.
Este artigo mostrará como verificar seu site WordPress em busca de problemas de segurança sem causar problemas ou interrupções.
O que é uma Auditoria de Segurança do WordPress?
Realizar uma auditoria de segurança em seu site WordPress significa verificar seu site em busca de sinais de uma violação de segurança. Você pode realizar uma verificação do WordPress para procurar atividades suspeitas, código malicioso ou uma queda incomum no desempenho.
Mostraremos como realizar uma auditoria de segurança básica seguindo passos simples que você pode executar manualmente. Também mostraremos como usar ferramentas e serviços de auditoria de segurança do WordPress para realizar as verificações de segurança automaticamente.
Se você encontrar algo suspeito, poderá isolá-lo, removê-lo e corrigi-lo.
Quando Realizar uma Auditoria de Segurança do WordPress
Você deve realizar uma auditoria de segurança do WordPress pelo menos uma vez por trimestre. Isso permite que você fique por dentro de tudo e feche brechas de segurança antes mesmo que elas causem qualquer problema.
No entanto, você deve realizar uma auditoria de segurança imediatamente se notar algo suspeito, como:
- Seu site está subitamente lento e com desempenho ruim.
- Você percebe uma queda no tráfego do site.
- Existem novas contas suspeitas, solicitações de redefinição de senha esquecida ou tentativas de login em seu site.
- Você vê links suspeitos aparecendo em seu site.
Dito isso, vamos dar uma olhada em como realizar facilmente uma auditoria de segurança do WordPress.
Realizando uma Auditoria Básica Manual de Segurança do WordPress
Aqui está uma lista de verificação com algumas etapas que você pode seguir para realizar uma auditoria básica manual de segurança do WordPress em seu site.
1. Atualize o Core, Plugins e Temas do WordPress
As atualizações do WordPress são realmente importantes para a segurança e estabilidade do seu site. Elas corrigem vulnerabilidades de segurança, trazem novos recursos e melhoram o desempenho.
Certifique-se de que o software principal do seu WordPress, todos os plugins e temas estejam atualizados. Você pode fazer isso facilmente visitando a página Painel » Atualizações dentro da área de administração do WordPress.
O WordPress verificará se há atualizações disponíveis e as listará para você instalar. Se precisar de mais ajuda, consulte nossos guias sobre como atualizar o WordPress corretamente e como atualizar plugins do WordPress corretamente.
2. Verifique Contas de Usuário e Senhas
Em seguida, você precisa revisar as contas de usuário do WordPress visitando a página Usuários » Todos os Usuários. Procure por contas de usuário suspeitas que não deveriam estar lá.
Se você administra uma loja online, um site de assinatura, ou vende cursos online, então você pode ter contas de usuário para seus clientes fazerem login.
No entanto, se você administra um blog ou um site de negócios, você só deve ver contas de usuário para você ou qualquer outro usuário que você adicionou manualmente.
Se você vir contas de usuário suspeitas, você precisará excluí-las.
Agora, se o seu site não exige que os usuários criem uma conta, você precisará visitar a página Configurações » Geral e garantir que a caixa ao lado da opção 'Qualquer pessoa pode se registrar' esteja desmarcada.
Como uma precaução extra, você precisa alterar sua senha de administrador do WordPress. Recomendamos fortemente adicionar a autenticação de dois fatores para fortalecer a segurança da senha em seu site.
3. Execute uma Verificação de Segurança do WordPress
O próximo passo é verificar seu site em busca de vulnerabilidades de segurança. Felizmente, existem vários scanners de segurança online que você pode usar para verificar a existência de malware.
Recomendamos o uso do IsItWP Security Scanner, que verifica seu site em busca de malware e outras vulnerabilidades de segurança.
Essas ferramentas são boas, mas só conseguem escanear as páginas públicas do seu site. Mostraremos como realizar auditorias mais profundas mais adiante neste artigo.
4. Verifique a Análise do Seu Site
A análise do site ajuda você a acompanhar o tráfego do seu site. Eles também são um bom indicador da saúde do seu site.
Se o seu site foi colocado em uma lista negra por mecanismos de busca, você verá uma queda repentina no tráfego do seu site. Se o seu site estiver lento ou não responsivo, suas visualizações gerais de página cairão.
Recomendamos o uso do MonsterInsights para rastrear o tráfego do seu site. Ele não apenas mostra suas visualizações gerais de página, mas você também pode usá-lo para rastrear usuários registrados, seus clientes WooCommerce, conversões de formulários e muito mais.
5. Configure e Verifique os Backups do WordPress
Se você ainda não o fez, precisa configurar imediatamente um plugin de backup do WordPress. Isso garante que você sempre tenha um backup do seu site caso algo dê errado.
Muitos iniciantes se esquecem do seu plugin de backup do WordPress após configurá-lo. Às vezes, os plugins de backup podem parar de funcionar sem aviso. É uma boa ideia garantir que seu plugin de backup ainda esteja funcionando e salvando backups.
Realizando uma Auditoria de Segurança Automática do WordPress
A lista de verificação acima permite que você revise os aspectos mais importantes de uma auditoria de segurança. No entanto, não é um processo muito completo, o que significa que seu site ainda pode estar vulnerável.
Por exemplo, é difícil manter um registro manual de toda a atividade do usuário, diferenças de arquivos, códigos suspeitos e muito mais. É aqui que você precisa de um plugin para automatizar a auditoria de segurança e manter um registro de tudo.
Você pode automatizar esse processo com a ajuda de alguns plugins de segurança do WordPress.
1. Realizando Automaticamente uma Auditoria de Segurança com WP Activity Log
WP Activity Log é o melhor plugin de monitoramento de atividade do WordPress do mercado.
Ele permite que você acompanhe toda a atividade do usuário em seu site. Você pode ver todos os logins de usuários, endereços IP e o que eles fizeram em seu site.
Você pode rastrear usuários do WooCommerce, editores, autores e outros membros que possuem uma conta em seu site.
Você também pode ativar quaisquer eventos que desejar rastrear e desativar os eventos que não deseja monitorar.
O plugin também mostra uma visualização em tempo real de todos os usuários logados em seu site. Se você vir uma conta suspeita, poderá encerrar a sessão dela imediatamente e bloqueá-la.
Você pode aprender mais em nosso guia sobre como monitorar a atividade do usuário no WordPress usando o WP Activity Log.
2. Realizando Automaticamente uma Auditoria de Segurança com Sucuri
Sucuri é o melhor plugin de firewall para WordPress do mercado, e também é a melhor solução de segurança completa para WordPress que você pode obter para o seu site.
Ele oferece proteção em tempo real contra ataques DDoS, bloqueando atividades suspeitas antes mesmo que elas cheguem ao seu site. Isso remove a carga do seu servidor e melhora a velocidade/desempenho do seu site.
Ele vem com um plugin de segurança integrado que verifica seus arquivos do WordPress em busca de código suspeito. Você também obtém uma visão detalhada da atividade do usuário em todo o seu site.
Mais importante ainda, Sucuri oferece remoção de malware gratuitamente com todos os seus planos pagos. Isso significa que, mesmo que seu site já esteja afetado, seus especialistas em segurança o limparão para você.
Guias de Especialistas sobre Segurança de WordPress
Esperamos que este artigo tenha ajudado você a aprender como realizar uma auditoria de segurança do WordPress em seu site. Você também pode querer ver outros guias relacionados à segurança do WordPress:
- Como Forçar Senhas Fortes para Usuários no WordPress
- Como Proteger Seu Site WordPress Contra Ataques de Força Bruta
- Principais Motivos Pelos Quais Sites WordPress São Hackeados (& Como Evitar)
- Sinais de que seu site WordPress foi hackeado (Dicas de Especialistas)
- Como Escanear Seu Site WordPress em Busca de Código Potencialmente Malicioso
- Como Encontrar um Backdoor em um Site WordPress Hackeado e Corrigi-lo
- Como Criar um Plano de Recuperação de Desastres para WordPress
Se você gostou deste artigo, por favor, inscreva-se em nosso Canal do YouTube para tutoriais em vídeo do WordPress. Você também pode nos encontrar no Twitter e no Facebook.
Dennis Muthomi
Você recomenda a Sucuri como uma solução de segurança WordPress tudo-em-um. Estou me perguntando se a Sucuri poderia substituir a necessidade de plugins separados como o WP Activity Log?
Quero evitar sobrecarregar meu site com muitos plugins se um puder fazer o trabalho.
WPBeginner Support
Dependeria da função do plugin que você está procurando substituir, mas a Sucuri tem uma opção de log de atividades.
Admin
Dennis Muthomi
Ótimo ponto que se a Sucuri atende às minhas necessidades depende da funcionalidade que estou procurando. OBRIGADO por responder!
Eva
O primeiro passo para combater as tentativas diárias de ataques de força bruta é alterar a URL de login padrão.
WPBeginner Support
Em vez de alterar a URL de login, normalmente recomendamos o uso de um plugin como o 'limit login attempts', pois alterar a URL de login tem uma chance maior de causar problemas para iniciantes.
Admin
Eva
Bem, eu faço os dois! E muito mais. A segurança é minha prioridade número um. Entendo o que você quer dizer, mas a maioria das palavras são fáceis de memorizar como /wp-admin ou /wp-login, especialmente para iniciantes, na minha opinião.
WPBeginner Support
Não se trata tanto de memorizar a URL de login, mas sim se há algum erro ao tentar alterar a URL; a maioria dos iniciantes não tem as ferramentas para corrigir o endereço de login.
Eva
Entendo, bom ponto! Em muitos casos, apenas renomear o diretório do plugin via FTP é suficiente para desativá-lo e acessá-lo novamente através de /wp-login. Mas entendo, não é amigável para iniciantes!
DW
Sim, usar a URI de login realmente não faz muita coisa. É uma técnica conhecida como "segurança por obscuridade" – basicamente segurança por "esconder".
Se alguém estiver determinado a invadir seu site, usar essas técnicas de "segurança por obscuridade" no máximo atrasaria essa pessoa por alguns minutos. Não é realmente um substituto para proteger adequadamente seu site.
É muito melhor proteger seu site adequadamente. Técnicas como plugins para prevenir ataques de força bruta, impor senhas fortes, impor autenticação multifator para pelo menos as contas de administrador e, se você tiver o luxo de ter um endereço IP estático, criar um arquivo .htaccess que permita o acesso à página de administração apenas do seu endereço IP são soluções muito melhores.