Como conduzir uma auditoria de segurança do WordPress

por | 12 nov, 21 | Business | 0 Comentários

Proteger seu site WordPress não é uma tarefa única. Não importa o quanto você confia em seu plug-in de segurança ou quão minucioso você foi com o reforço de sites, um site seguro hoje não significa um site seguro amanhã. Para manter os hackers afastados, você deve realizar auditorias de segurança do WordPress regularmente e preencher as lacunas de segurança que encontrar.

As táticas de invasão de sites estão sempre progredindo, e com elas também estão as medidas preventivas para manter seu site seguro. Pense nisso como um ciclo. Quanto mais seguro é um site, mais criativos os hackers precisam ser para entrar nele, o que significa que seu site precisa ficar ainda mais seguro e assim por diante.

Procure realizar uma auditoria de segurança do WordPress a cada três meses, pelo menos. Cada mês é melhor, e cada semana (ou mesmo diariamente, dependendo de quão sensível é o seu site) é melhor. E, claro, se você sentir que há algo errado com seu site, faça uma auditoria de segurança imediatamente. Qualquer um dos itens a seguir deve levantar uma bandeira vermelha:

  • Seu site ficou lento e lento de repente.
  • Há uma grande queda no tráfego do site sem motivo aparente.
  • Existem novas contas, tentativas de login ou pedidos de “esquecimento de senha”.
  • Novos links que você não adicionou estão em seu site.

As etapas a seguir são essenciais para manter seu site em excelente forma, em termos de segurança. Com uma lista de verificação em mãos, você tornará suas auditorias simplificadas em vez de opressivas.

Uma visão geral da auditoria de segurança do WordPress

Em um ponto ou outro, quase todo site WordPress vai encontrar algum tipo de problema de segurança. Um plug-in ou tema comum é afetado por uma vulnerabilidade, permitindo que hackers acessem seu site. Depois que seu site é hackeado, várias coisas podem acontecer:

  • Dados pessoais dos clientes roubados
  • Anúncios ilegais e conteúdo exibido
  • Tráfego desviado para outro lugar
  • Dados do WordPress criptografados, excluídos ou vendidos

Isso é muito mais do que uma dor de cabeça ou um site abatido por algumas horas. Hackers podem guardar seus dados como resgate. As informações do seu site podem ser vendidas na Dark Web. O Google pode colocar seu site na lista negra para exibição de spam em páginas da web. Os clientes podem processá-lo se as informações do cartão de crédito forem roubadas. Outros sites podem ser infectados assim que os hackers obtiverem acesso ao seu.

As auditorias de segurança do WordPress identificam essas vulnerabilidades para que você possa corrigi-las imediatamente – antes que um hacker encontre seu caminho. Você se certificará de que as etapas de segurança que está executando atualmente ainda estão funcionando e também descobrirá onde precisam de mais proteção.

Avalie o plug-in de segurança que você está usando

Seu plugin de segurança do WordPress é uma das ferramentas mais importantes para proteger o seu site. Certifique-se de que seu plug-in de segurança ainda esteja funcionando das seguintes maneiras:

  • Log de atividades: rastreia os usuários do seu site, incluindo quem fez login e quando, tentativas de login malsucedidas e alterações no site.
  • Firewall: bloqueará bots, hackers e endereços IP que estão tentando entrar em seu site.
  • Tentativas de login: Plug-ins de segurança de qualidade reforçam senhas fortes, exigem autenticação de dois fatores e limitam as tentativas de login.
  • Proteção de login: bloqueia ataques de força bruta, que ocorre quando os hackers tentam diferentes combinações de nome de usuário e senha para efetuar login.
  • Verificações e limpezas de malware: devem ser executadas diariamente, examinando profundamente o banco de dados, arquivos e pastas do seu site em busca de malware e limpando tudo o que encontrar.
  • Alertas em tempo real: O plugin deve notificá-lo imediatamente se houver algo suspeito acontecendo com o seu site.

Ainda não tem um plugin de segurança? Considere escolher um para ser sua etapa preliminar em sua auditoria de segurança do WordPress. Reunimos os 6 melhores plugins de segurança do WordPress para você escolher.

Teste sua solução de backup de site

Se algo der errado em seu site que é impossível ou muito complexo para consertar, ter um backup do WordPress significa que você pode restaurar seu site ao estado anterior de antes de o problema ocorrer. No entanto, se o backup falhar, você não terá nada para restaurar, o que significa que pode ficar preso a um site infectado ou com defeito. O ideal é que você use uma solução de backup (seja fornecida por seu host ou um plug-in que você usa) que permite testar seus backups, como o BlogVault . Você também pode querer ler nosso artigo com os 6 melhores plug-ins de backup do WordPress .

Revise o seu administrador do WordPress e a configuração do FTP

Com o WordPress, você pode ter várias pessoas fazendo login para trabalhar em vários projetos, mas isso não significa que cada pessoa com um login deve ter acesso total ao seu site. E quando se trata de seu cliente FTP , permitir o acesso de várias pessoas significa que elas podem fazer alterações em seu site … bem, tudo.

Ao adicionar um novo usuário no WordPress, você atribui uma função a ele (e pode editar o perfil para alterar a função também):

auditoria de segurança wordpress

Diferentes funções têm diferentes recursos. Por exemplo, um administrador pode acessar todas as ferramentas de administração do site (como alterar o tema ou instalar um plug-in), mas um colaborador só pode escrever e gerenciar suas próprias postagens. Aqui está uma análise abrangente das diferentes funções e suas capacidades .

Para sua auditoria de segurança do WordPress, faça o seguinte:

  • Veja quais usuários do WordPress têm acesso de nível de administrador.
  • Decida se todos esses usuários precisam desse nível de acesso (e se outros com acesso limitado devem ser administradores).
  • Reduza as permissões e restrinja o acesso atualizando as funções do usuário para esses indivíduos.
  • Se você não reconhecer os usuários no painel, exclua-os – eles podem ser contas criadas por um hacker.
  • Algum nome de usuário é simplesmente “admin”? Este é um nome de usuário muito comum e que os hackers costumam tentar usar para acessar seu site. Crie uma nova conta de usuário para a pessoa e exclua a conta antiga.
  • Exclua as contas de FTP para usuários que não precisam de um nível de acesso tão alto.

Por último, se o seu site permite membros, você deseja ter certeza de que eles realmente têm que criar uma conta ao se inscrever e que sua função padrão não permite acesso de administrador. Vá para Configurações > Geral . Desmarque a caixa ao lado de Qualquer pessoa pode se registrar . Em seguida, selecione a opção apropriada em Nova função padrão do usuário .

Certifique-se de que o WordPress está atualizado

Você pode fazer com que ele seja executado automaticamente, mas ainda vale a pena verificar se o WordPress está atualizado para sua versão mais recente. As atualizações não apenas corrigem falhas de segurança – também melhoram o desempenho e adicionam recursos. Vá para Painel > Atualizações para ver se um está pronto.

auditoria de segurança wordpress

Limpe seus plug-ins e temas

Os plug-ins podem estender a capacidade do seu site, mas também são vulneráveis ​​a ataques, especialmente se não forem atualizados por muito tempo. Desenvolvedores confiáveis ​​ficarão atentos às vulnerabilidades de seus plugins e lançarão atualizações com patches. Durante a atualização de segurança do WordPress, acesse sua lista de plug-ins e faça o seguinte:

  • Desative e desinstale quaisquer plug-ins que não esteja mais usando ou que não reconheça.
  • Atualize todos os plug-ins restantes que tenham atualizações prontas.
  • Se você estiver usando um plug-in que não está recebendo atualizações do desenvolvedor, considere usar outro que tenha a mesma funcionalidade – um plug-in desatualizado é muito vulnerável a problemas de segurança.

Mesmo se você estiver fazendo sua auditoria de segurança do WordPress uma vez por mês ou mais, é uma boa ideia verificar seus plug-ins mais regularmente para atualizá-los conforme necessário. Além disso, remova todos os temas que você não está usando atualmente ou não espera precisar. Assim como os plug-ins, os temas representam o risco de vulnerabilidades de segurança, portanto, é melhor manter seu site o mais livre possível deles.

Fique seguro lá fora!

Você não para de trabalhar em outras partes do seu negócio – criando novos produtos ou serviços, fazendo marketing, vendas, etc. A segurança do seu site não deve ser diferente. Um pequeno problema pode levar rapidamente a um hack que ameaça os negócios se você não detectá-lo a tempo, mas sem saber onde estão as áreas problemáticas, você não saberá quais correções implementar.

Manter o seu site seguro é um processo contínuo e ter uma lista de verificação de auditoria de segurança do WordPress evita que você tenha o trabalho de se lembrar do que fazer todos os meses. Além disso, quanto mais você automatizar com um plugin de segurança, melhor. Sua lista de verificação de auditoria de segurança do WordPress pode ser muito menor se a maior parte do que você precisa fazer é verificar novamente se o plug-in ainda está funcionando corretamente. Temos visões gerais detalhadas de análises de dois plug-ins de segurança líderes, Sucuri e Wordfence .

Artigo original por Lindsay Pietroluongo.

Posts Relacionados

0 comentários

Enviar um comentário

O seu endereço de e-mail não será publicado.