Como você sabe se o seu site é seguro? Você gostaria de realizar uma auditoria de segurança completa para descobrir isso?
O WordPress é muito seguro logo que sai da caixa. Entretanto, se você suspeitar que algo não está certo, uma auditoria de segurança poderá ajudá-lo a identificar os problemas que precisam ser resolvidos.
Neste artigo, mostraremos como realizar facilmente uma auditoria de segurança do WordPress sem derrubar seu site.
O que é uma auditoria de segurança do WordPress?
Realizar uma auditoria de segurança em seu site WordPress significa verificar se há sinais de violação de segurança. Você pode executar uma verificação do WordPress para procurar atividades suspeitas, códigos maliciosos ou uma queda incomum no desempenho.
Mostraremos como realizar uma auditoria de segurança básica seguindo etapas simples que você pode executar manualmente. Também mostraremos como usar as ferramentas e os serviços de auditoria de segurança do WordPress para realizar as verificações de segurança automaticamente.
Se você encontrar algo suspeito, poderá isolar, remover e corrigir o problema.
Quando realizar uma auditoria de segurança do WordPress
Você deve realizar uma auditoria de segurança do WordPress pelo menos uma vez por trimestre. Isso permite que você fique por dentro de tudo e feche as brechas de segurança antes mesmo que elas causem algum problema.
No entanto, você deve realizar uma auditoria de segurança imediatamente se notar algo suspeito, como:
- Seu site ficou subitamente lento e lento.
- Você observa uma queda no tráfego do site.
- Há suspeitas de novas contas, solicitações de senhas esquecidas ou tentativas de login em seu site.
- Você vê links suspeitos aparecerem em seu site.
Dito isso, vamos dar uma olhada em como realizar facilmente uma auditoria de segurança do WordPress.
Realização de uma auditoria manual básica de segurança do WordPress
Aqui está uma lista de verificação de algumas etapas que você pode seguir para realizar uma auditoria manual básica de segurança do WordPress em seu site.
1. Atualize o núcleo, os plug-ins e os temas do WordPress
As atualizações do WordPress são realmente importantes para a segurança e a estabilidade de seu site. Elas corrigem vulnerabilidades de segurança, trazem novos recursos e melhoram o desempenho.
Certifique-se de que o software principal do WordPress, todos os plug-ins e temas estejam atualizados. Você pode fazer isso facilmente visitando a página Painel ” Atualizações na área de administração do WordPress.
O WordPress procurará se há atualizações disponíveis e as listará para que você as instale. Se precisar de mais ajuda, consulte nossos guias sobre como atualizar corretamente o WordPress e como atualizar corretamente os plug-ins do WordPress.
2. Verifique as contas de usuário e as senhas
Em seguida, você precisa revisar as contas de usuário do WordPress visitando a página Usuários ” Todos os usuários. Procure por contas de usuário suspeitas que não deveriam estar lá.
Se você tiver uma loja on-line, um site de associação ou vender cursos on-line, poderá ter contas de usuário para que seus clientes façam login.
No entanto, se você administra um blog ou um site comercial, deverá ver apenas as contas de usuário para si mesmo ou para qualquer outro usuário que tenha sido adicionado manualmente.
Se você vir contas de usuário suspeitas, precisará excluí-las.
Agora, se o seu site não exigir que os usuários criem uma conta, será necessário visitar a página Configurações ” Geral e certificar-se de que a caixa ao lado da opção “Qualquer pessoa pode se registrar” esteja desmarcada.
Como precaução extra, você precisa alterar sua senha de administrador do WordPress. É altamente recomendável adicionar a autenticação de dois fatores para reforçar a segurança da senha em seu site.
3. Execute uma verificação de segurança do WordPress
A próxima etapa é verificar se há vulnerabilidades de segurança em seu site. Felizmente, há vários scanners de segurança on-line que você pode usar para verificar se há malware.
Recomendamos usar o IsItWP Security Scanner, que verifica se há malware e outras vulnerabilidades de segurança em seu site.
Essas ferramentas são boas, mas só podem examinar as páginas públicas de seu site. Mostraremos a você como realizar auditorias mais profundas mais adiante neste artigo.
4. Verifique a análise de seu site
A análise do site ajuda a monitorar o tráfego do site. Elas também são um ótimo indicador da saúde de seu site.
Se o seu site tiver sido colocado na lista negra dos mecanismos de pesquisa, você verá uma queda repentina no tráfego do site. Se o seu site for lento ou não responder, as visualizações gerais da página cairão.
Recomendamos o uso do MonsterInsights para rastrear o tráfego do seu site. Ele não apenas mostra as visualizações gerais de página, mas também pode ser usado para rastrear usuários registrados, clientes do WooCommerce, conversões de formulários e muito mais.
5. Configurar e verificar backups do WordPress
Caso ainda não tenha feito isso, você precisa configurar imediatamente um plugin de backup do WordPress. Isso garante que você sempre tenha um backup do seu site, caso algo dê errado.
Muitos iniciantes se esquecem do plugin de backup do WordPress depois de configurá-lo. Às vezes, os plug-ins de backup podem parar de funcionar sem aviso prévio. É uma boa ideia certificar-se de que o plug-in de backup ainda esteja funcionando e salvando backups.
Realização de uma auditoria automática de segurança do WordPress
A lista de verificação acima permite que você passe pelos aspectos mais importantes de uma auditoria de segurança. Entretanto, esse não é um processo muito completo, o que significa que seu site ainda pode estar vulnerável.
Por exemplo, é difícil manter um registro manual de todas as atividades do usuário, diferenças de arquivos, códigos suspeitos e muito mais. É nesse ponto que você precisa de um plug-in para automatizar a auditoria de segurança e manter um registro de tudo.
Você pode automatizar esse processo com a ajuda de alguns plug-ins de segurança do WordPress.
1. Execução automática de uma auditoria de segurança com o registro de atividades do WP
OWP Activity Log é o melhor plug-in de monitoramento de atividades do WordPress no mercado.
Ele permite que você acompanhe todas as atividades dos usuários no seu site. Você pode visualizar todos os logins de usuários, endereços IP e o que eles fizeram em seu site.
Você pode rastrear usuários, editores, autores e outros membros do WooCommerce que tenham uma conta em seu site.
Você também pode ativar os eventos que deseja monitorar e desativar os eventos que não deseja monitorar.
O plug-in também mostra uma visualização ao vivo de todos os usuários conectados ao seu site. Se você vir uma conta suspeita, poderá encerrar a sessão imediatamente e bloqueá-la.
Você pode saber mais em nosso guia sobre como monitorar a atividade do usuário no WordPress usando o WP Activity Log.
2. Realização automática de uma auditoria de segurança com a Sucuri
O Sucuri é o melhor plug-in de firewall para WordPress do mercado e também é a melhor solução de segurança completa para WordPress que você pode obter para o seu site.
Ele oferece proteção em tempo real contra ataques DDoS, bloqueando atividades suspeitas antes mesmo que elas cheguem ao seu site. Isso remove a carga de seu servidor e melhora a velocidade/desempenho de seu site.
Ele vem com um plug-in de segurança integrado que verifica se há códigos suspeitos em seus arquivos do WordPress. Você também tem uma visão detalhada da atividade do usuário em seu site.
O mais importante é que a Sucuri oferece a remoção de malware gratuitamente em todos os seus planos pagos. Isso significa que, mesmo que o seu site já tenha sido afetado, os especialistas em segurança da empresa o limparão para você.
Guias especializados sobre segurança do WordPress
Agora que você sabe como realizar uma auditoria de segurança do WordPress, talvez queira ver outros guias relacionados à segurança do WordPress:
- Como forçar senhas fortes para usuários no WordPress
- Como proteger seu site WordPress contra ataques de força bruta
- Principais motivos pelos quais os sites WordPress são hackeados (e como evitá-los)
- Sinais de que seu site WordPress foi hackeado (dicas de especialistas)
- Como verificar se há código potencialmente malicioso em seu site WordPress
- Como encontrar um backdoor em um site WordPress invadido e corrigi-lo
Esperamos que este artigo tenha ajudado você a aprender como realizar uma auditoria de segurança do WordPress em seu site. Talvez você também queira ver nosso guia sobre como melhorar o SEO do WordPress ou nossas escolhas de especialistas para os melhores plug-ins de página de destino do WordPress.
Se você gostou deste artigo, inscreva-se em nosso canal do YouTube para receber tutoriais em vídeo sobre o WordPress. Você também pode nos encontrar no Twitter e no Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Eva says
1st step to fight daily brute force attacks attempts is to change the default login url.
WPBeginner Support says
Instead of changing the login url we would normally recommend using a plugin like limit login attempts as changing the login URL has a higher chance of causing problems for beginners.
Administrador
Eva says
Well, I do both! And many more. Security is my number one priority. I see what you mean, but most words are as easy to memorize as /wp-admin or /wp-login especially for beginners in my opinion.
WPBeginner Support says
It is less about remembering the login URL and more about if there are any errors when trying to change the URL, most beginners don’t have the tools to fix the login address.
Eva says
I see, good point! In many cases, just renaming the plugin directory by FTP is enough to disable it and access again through /wp-login. But I get it, it is not beginner-friendly!
DW says
Yeah, doing the login URI really doesn’t do much. It’s a technique known as “security by obscurity” – basically security by “hiding”.
If someone is determined to get into your website, using these “Security by obscurity” techniques would at best slow them down by a few minutes. It’s not really a substitute for properly securing your website.
You’re far better off securing your website properly. Techniques like plugins to prevent brute force attacks, enforcing strong passwords, enforcing multi-factor authentication for at the very least admin accounts, and if you have the luxury of having a Static IP address creating an .htaccess file that only allows access to the admin page from your IP address are all far better solutions.