Lançar seu próprio site WordPress hoje em dia é muito fácil. Infelizmente, não demorará muito para que os hackers comecem a segmentar seu site.

A melhor maneira de tornar um site WordPress seguro é entender todos os pontos de vulnerabilidade decorrentes da execução de um site WordPress . Em seguida, instale a segurança apropriada para bloquear hackers em cada um desses pontos.

Neste artigo, você aprenderá como proteger melhor seu domínio, seu login do WordPress e as ferramentas e plugins disponíveis para proteger seu site WordPress .

Criar um domínio privado

Hoje em dia é muito fácil encontrar um domínio disponível^{(find an available domain)} e comprá-lo a um preço muito barato. A maioria das pessoas nunca compra nenhum complemento de domínio para seu domínio. No entanto, um complemento que você deve sempre considerar é a Proteção de Privacidade^{(Privacy Protection)} .

Existem três níveis básicos de proteção de privacidade com o GoDaddy , mas eles também correspondem às ofertas da maioria dos provedores de domínio.

• Básico^(Basic) : Oculte seu nome e informações de contato do diretório WHOIS . Isso só está disponível se o seu governo permitir que você oculte as informações de contato do domínio.
• Completo^(Full) : Substitua suas próprias informações por um endereço de e-mail alternativo e informações de contato para ocultar sua identidade real.
• Ultimate : segurança adicional que bloqueia a verificação de domínio maliciosa e inclui monitoramento de segurança do site para o seu site real.

Normalmente, atualizar seu domínio para um desses níveis de segurança requer apenas optar por atualizar em um menu suspenso na página de listagem de domínios.

A proteção básica de^(Basic) domínio é bastante barata (geralmente em torno de US$ 9,99/ano), e níveis mais altos de segurança não são muito mais caros.

Essa é uma excelente maneira de impedir que os spammers extraiam suas informações de contato do banco de dados WHOIS ou outras pessoas mal-intencionadas que desejam obter acesso às suas informações de contato.

Ocultar^(Hide) arquivos wp-config.php e .htaccess

Ao instalar o WordPress^{(install WordPress)} pela primeira vez , você precisará incluir o ID administrativo e a senha do banco de dados SQL do WordPress^{(WordPress SQL)} no arquivo wp-config.php. 

Esses dados são criptografados após a instalação, mas você também deseja impedir que hackers editem esse arquivo e quebrem seu site. Para fazer isso, localize e edite o arquivo .htaccess na pasta raiz do seu site e adicione o seguinte código na parte inferior do arquivo.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

Para evitar alterações no próprio .htaccess, adicione o seguinte ao final do arquivo também.

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

Salve o arquivo e saia do editor de arquivos.

Você também pode considerar clicar com o botão direito do mouse em cada arquivo e alterar as permissões para remover totalmente o acesso de gravação para todos.^(Write)

Ao fazer isso no arquivo wp-config.php não deve causar nenhum problema, fazê-lo em .htaccess pode causar problemas. Especialmente se você estiver executando algum plugin de segurança do WordPress que precise editar o arquivo .htaccess para você.

Se você receber algum erro do WordPress , você sempre poderá atualizar as permissões para permitir o acesso de gravação^(Write) no arquivo .htaccess novamente.

Alterar seu URL de login do WordPress

Como a página de login padrão para cada site WordPress é seudominio/wp-admin.php, os hackers usarão essa URL para tentar invadir seu site.

Eles farão isso por meio do que é conhecido como ataques de “força bruta”, onde enviarão variações de nomes de usuário e senhas típicos que muitas pessoas costumam usar. Os hackers esperam que tenham sorte e consigam a combinação certa.

Você pode interromper totalmente esses ataques alterando sua URL de login do WordPress^{(WordPress login URL)} para algo fora do padrão.

Existem muitos plugins do WordPress para ajudá-lo a fazer isso. ^(WordPress)Um dos mais comuns é o WPS Hide Login .

Este plugin adiciona uma seção à guia Geral em ^(General)Configurações^(Settings) no WordPress.

Lá, você pode digitar qualquer URL^(URL) de login que desejar e selecionar Salvar alterações^{(Save Changes)} para ativá-lo. Da próxima vez que você quiser fazer login no seu site WordPress , use este novo URL .

Se alguém tentar acessar seu antigo URL wp-admin , será redirecionado para a página 404 do seu site.

Nota^(Note) : Se você usar um plug-in de cache, certifique-se de adicionar seu novo URL de login à lista de sites que não^(not) devem ser armazenados em cache. Em seguida, certifique-se de limpar o cache antes de fazer login novamente no seu site WordPress .

Instale um plug-in de segurança do WordPress

Existem muitos plugins de segurança do WordPress^{(WordPress security plugins)} para escolher. De todos eles, o Wordfence é o mais baixado, por um bom motivo.

A versão gratuita do Wordfence inclui um poderoso mecanismo de varredura que procura por ameaças de backdoor, código malicioso em seus plugins^{(malicious code in your plugins)} ou em seu site, ameaças de injeção MySQL e muito mais. ^(MySQL)Também inclui um firewall para bloquear ameaças ativas como ataques DDOS . 

Ele também permitirá que você interrompa os ataques de força bruta, limitando as tentativas de login e bloqueando os usuários que fazem muitas tentativas incorretas de login.

Existem algumas configurações disponíveis na versão gratuita. Mais do que suficiente para proteger sites pequenos e médios da maioria dos ataques.

Há também uma página de painel útil que você pode revisar para monitorar ameaças e ataques recentes que foram bloqueados.

Use o gerador de senhas do WordPress^{(WordPress Password Generator)} e 2FA

A última coisa que você quer é que os hackers adivinhem facilmente sua senha. Infelizmente, muitas pessoas usam senhas muito simples e fáceis de adivinhar. Alguns exemplos incluem usar o nome do site ou o próprio nome do usuário como parte da senha ou não usar nenhum caractere especial.

Se você atualizou para a versão mais recente do WordPress , você tem acesso a poderosas ferramentas de segurança de senha para proteger seu site WordPress . 

A primeira etapa para melhorar a segurança de sua senha é acessar cada usuário do seu site, rolar para baixo até a seção Gerenciamento de conta^{(Account Management)} e selecionar o botão Gerar senha^{(Generate Password)} .

Isso gerará uma senha longa e muito segura que inclui letras, números e caracteres especiais. Salve essa senha em algum lugar seguro, de preferência em um documento em uma unidade externa que você possa desconectar do computador enquanto estiver online.

Selecione Sair em qualquer outro lugar^{(Log Out Everywhere Else)} para garantir que todas as sessões ativas sejam fechadas.

Por fim, se você instalou o plug-in de segurança Wordfence , verá um botão Ativar 2FA^{(Activate 2FA)} . Selecione isso para habilitar a autenticação de dois fatores para seus logins de usuário.

Se você não estiver usando o Wordfence , precisará instalar qualquer um desses plugins 2FA populares.

• Autenticador do Google^{(Google Authenticator)}
• Autenticação de dois fatores^{(Two Factor Authentication)}
• Autenticação de dois fatores Rublon^{(Rublon Two-Factor Authentication)}
• Autenticação de dois fatores Duo^{(Duo Two-Factor Authentication)}

Outras Considerações Importantes de Segurança^{(Important Security Considerations)}

Há mais algumas coisas que você pode fazer para proteger totalmente seu site WordPress .

Tanto os plugins do WordPress^{(WordPress plugins)} quanto a versão do próprio WordPress devem ser atualizados o tempo todo. Hackers geralmente tentam explorar vulnerabilidades em versões mais antigas de código em seu site. Se você não atualizar ambos, estará deixando seu site em risco.

1. Selecione regularmente Plugins e Plugins Instalados^{(Installed Plugins)} no painel de administração do WordPress . Revise^(Review) todos os plugins para um status que diz que uma nova versão está disponível.

Quando vir um que está desatualizado, selecione atualizar agora^{(update now)} . Você também pode selecionar Habilitar atualizações automáticas para seus plugins. 

No entanto, algumas pessoas desconfiam de fazer isso, pois as atualizações do plug-in às vezes podem quebrar seu site ou tema. Portanto, é sempre uma boa ideia testar as atualizações do plug-in em um site de teste local do WordPress^{(local WordPress test site)} antes de ativá-las em seu site ao vivo.

2. Ao fazer login no painel do WordPress , você verá uma notificação de que o WordPress está desatualizado se estiver executando uma versão mais antiga.

Novamente, faça backup do site e carregue-o em um site de teste local em seu próprio PC para testar se a atualização do WordPress não interrompe seu site antes de atualizá-lo em seu site ativo.

3. Aproveite os recursos de segurança gratuitos do seu host. A maioria dos hosts da web oferece uma variedade de serviços de segurança gratuitos para os sites que você hospeda lá. Eles fazem isso porque não apenas protege seu site, mas mantém todo o servidor seguro. Isso é especialmente importante quando você está em uma conta de hospedagem compartilhada onde outros clientes têm sites no mesmo servidor.

Isso geralmente inclui instalações de segurança SSL gratuitas^{(free SSL security)} para seu site, backups gratuitos^{(free backups)} , a capacidade de bloquear endereços IP maliciosos e até mesmo um verificador de site gratuito que verifica regularmente seu site em busca de qualquer código malicioso ou vulnerabilidades.

Administrar um site nunca é tão simples quanto instalar o WordPress e apenas postar conteúdo. É importante tornar seu site WordPress o mais seguro possível. Todas as dicas acima podem ajudá-lo a fazer isso sem muito esforço.

How to Make a WordPress Site Secure

Launching your own WordPress site these days is pretty easy. Unfortunately, it won’t take long for hackers to start targeting your site.

The best way to make a WordPress site secure is to understand every point of vulnerability that comes from running a WordPress site. Then install the appropriate security to block hackers at each of those points.

In this article you’ll learn how to better secure your domain, your WordPress login, and the tools and plugins available to secure your WordPress site.

Create a Private Domain

It’s all too easy these days to find an available domain and purchase it at a very cheap price. Most people never purchase any domain addons for their domain. However, one add-on you should always consider is Privacy Protection.

There are three basic levels of privacy protection with GoDaddy, but these also match offerings of most domain providers.

• Basic: Hide your name and contact info from the WHOIS directory. This is only available if your government allows you to hide domain contact information.
• Full: Replace your own information with an alternative email address and contact info to cloak your actual identity.
• Ultimate: Additional security that blocks malicious domain scanning, and includes website security monitoring for your actual site.

Usually, upgrading your domain to one of these security levels just requires choosing to upgrade from a dropdown on your domain listing page.

Basic domain protection is fairly cheap (usually around $9.99/yr), and higher levels of security aren’t much more expensive.

This is an excellent way to stop spammers from scraping your contact info off of the WHOIS database, or others with malicious intent who want to get access to your contact information.

Hide wp-config.php and .htaccess Files

When you first install WordPress, you’ll need to include the administrative ID and password for your WordPress SQL database in the wp-config.php file. 

That data gets encrypted after installation, but you also want to block hackers from being able to edit this file and break your website. To do this, find and edit the .htaccess file on the root folder of your site and add the following code at the bottom of the file.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

To prevent changes to .htaccess itself, add the following to the bottom of the file as well.

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

Save the file and exit the file editor.

You might also consider right-clicking each file and changing the permissions to remove Write access entirely for everyone.

While doing this on the wp-config.php file shouldn’t cause any issues, doing it on .htaccess could cause issues. Especially if you’re running any security WordPress plugins that may need to edit the .htaccess file for you.

If you do receive any errors from WordPress, you can always update permissions to allow Write access on the .htaccess file again.

Change Your WordPress Login URL

Since the default login page for every WordPress site is yourdomain/wp-admin.php, hackers will use this URL to try and hack into your site.

They will do this through what’s known as “brute force” attacks where they’ll send variations of typical usernames and passwords many people commonly use. Hackers hope that they’ll get lucky and land the right combination.

You can stop these attacks entirely by changing your WordPress login URL to something non-standard.

There are lots of WordPress plugins to help you do this. One of the most common is WPS Hide Login.

This plugin adds a section to the General tab under Settings in WordPress.

There, you can type in any login URL you want and select Save Changes to activate it. Next time you want to log into your WordPress site, use this new URL.

If anyone tries to access your old wp-admin URL, they’ll get redirected to your site’s 404 page.

Note: If you use a cache plugin, make sure to add your new login URL to the list of sites not to cache. Then make sure to purge the cache before you log back into your WordPress site again.

Install a WordPress Security Plugin

There are a lot of WordPress security plugins to choose from. Of all of them, Wordfence is the most commonly downloaded one, for good reason.

The free version of Wordfence includes a powerful scan engine that looks for backdoor threats, malicious code in your plugins or on your site, MySQL injection threats, and more. It also includes a firewall to block active threats like DDOS attacks. 

It will also let you stop brute force attacks by limiting login attempts and locking out users who make too many incorrect login attempts.

There are quite a few settings available in the free version. More than enough to protect small to medium websites from most attacks.

There is also a useful dashboard page you can review to monitor recent threats and attacks that have been blocked.

Use the WordPress Password Generator and 2FA

The last thing you want is for hackers to easily guess your password. Unfortunately, too many people use very simple passwords that are easy to guess. Some examples include using the website name or the user’s own name as part of the password, or not using any special characters.

If you’ve upgraded to the latest version of WordPress, you have access to powerful password security tools to secure your WordPress site. 

The first step to improve your password security is to go to each user for your site, scroll down to the Account Management section, and select the Generate Password button.

This will generate a long, very secure password that includes letters, numbers, and special characters. Save this password somewhere safe, preferably in a document on an external drive that you can disconnect from your computer while you’re online.

Select Log Out Everywhere Else to make sure all active sessions are closed.

Finally, if you’ve installed the Wordfence security plugin, you’ll see an Activate 2FA button. Select this to enable two-factor authentication for your user logins.

If you aren’t using Wordfence, you’ll need to install any of these popular 2FA plugins.

• Google Authenticator
• Two Factor Authentication
• Rublon Two-Factor Authentication
• Duo Two-Factor Authentication

Other Important Security Considerations

There are a few more things you can do to fully secure your WordPress site.

Both the WordPress plugins and the version of WordPress itself should be updated at all times. Hackers often try to exploit vulnerabilities in older versions of code on your site. If you don’t update both of these, you’re leaving your site at risk.

1. Regularly select Plugins and Installed Plugins in your WordPress admin panel. Review all plugins for a status that says a new version is available.

When you do see one that’s out of date, select update now. You may also consider selecting Enable auto-updates for your plugins. 

However, some people are wary of doing this since plugin updates can sometimes break your site or theme. So it’s always a good idea to test plugin updates on a local WordPress test site before enabling them on your live site.

2. When you log into your WordPress dashboard, you’ll see a notification that WordPress is out of date if you’re running an older version.

Again, backup the site and load it to a local test site on your own PC to test that the WordPress update doesn’t break your site before you update it on your live website.

3. Take advantage of your web host’s free security features. Most web hosts offer a variety of free security services for the sites you host there. They do this because it not only protects your site, but it keeps the entire server safe. This is especially important when you’re on a shared hosting account where other clients have websites on the same server.

These often include free SSL security installs for your site, free backups, the ability to block malicious IP addresses, and even a free site scanner that’ll regularly scan your site for any malicious code or vulnerabilities.

Running a website is never just as simple as installing WordPress and just posting content. It’s important to make your WordPress website as secure as possible. All of the above tips can help you do so without too much effort.

Related posts

• 3 maneiras de criar a senha mais segura

• Seu aplicativo de mensagens é realmente seguro?

• 3 maneiras de tomar um Photo or Video em um Chromebook

• Como Detect Computer & Email Monitoring ou Spying Software

• Panel Display Technology Demystified Flat: TN, IPS, VA, OLED e mais

• Como dividir um Clip em Adobe Premiere Pro

• Como Download and Install Peacock em Firestick

• Não posso Schedule um Uber em Advance? Aqui está o que fazer

• Como desativar um Facebook Account em vez de excluindo

• Como enviar um Anonymous Text Message que podem não Be Traced Back to You

• O que Do BCC and CC Mean? Compreensão Basic Email Lingo

• Como verificar Your Hard Drive para erros

• Como usar VLOOKUP em folhas Google

• Como Post um artigo em Linkedin (e Best Times para Post)

• 8 Ways para crescer o seu Facebook Page Audience

• Como reembolsar um Game no Steam

• Como Fix Hulu Error Code RUNUNK13

• Como dividir o Screen em um Chromebook

• Como Find Birthdays em Facebook

• Como Download Twitch Videos