Security Blog
Posted By Gregory

Como proteger o WordPress de forma eficaz: uma lista de tarefas essenciais

English version: How to protect WordPress effectively: a must-do list


Uma lista de tarefas essenciais para obter alta segurança e proteção duradoura para o seu site.

Para tirar o máximo proveito dos algoritmos de segurança do WP Cerber, você deve configurar todas as opções abaixo. Faça isso com cuidado, pois algumas configurações podem entrar em conflito com outros plugins ou com as configurações do seu servidor web. Em caso de qualquer problema, verifique o registro de atividades para eventos relacionados, como solicitações negadas ou endereços IP bloqueados. Observe que alguns dos recursos descritos abaixo estão disponíveis apenas na versão profissional .

1. Ative as atualizações automáticas

As atualizações regulares do WP Cerber são cruciais para uma segurança robusta do WordPress, pois aprimoramos continuamente seus algoritmos, implementamos proteção contra ameaças emergentes e corrigimos bugs de software. Você pode ativá-las com apenas alguns cliques: Como ativar as atualizações automáticas do WP Cerber .

2. Verifique as configurações principais

  1. Acesse a página "Configurações principais".

  2. Defina " Carregar mecanismo de segurança" para "Modo padrão".

  3. Configure o "URL de login personalizado"

  4. Defina "Processamento de solicitações de autenticação wp-login.php" como "Bloquear acesso a wp-login.php" ou, para uma opção mais avançada, como "Negar autenticação por meio de wp-login.php".

  5. Ative a opção "Bloquear imediatamente o IP ao tentar iniciar sessão com um nome de utilizador inexistente".

  6. Ative a opção "Desativar redirecionamento do painel"

  7. Opcionalmente, habilite "Bloquear imediatamente o IP após qualquer solicitação para wp-login.php".

3. Ative as políticas de segurança na guia Reforço de Segurança.

O conjunto mínimo de configurações que você precisa ativar na seção "Reforço da Segurança do WordPress" é o seguinte:

  1. "Parar enumeração de usuários"

  2. "Impedir a descoberta do nome de usuário via oEmbed"

  3. "Impedir a descoberta de nomes de usuário por meio de sitemaps XML de usuários"

  4. "Bloquear o acesso às páginas dos usuários por meio de seus nomes de usuário"

  5. "Bloquear a execução de scripts PHP na pasta de mídia do WordPress"

  6. "Desativar a exibição de erros do PHP"

  7. "Desativar XML-RPC"

Recomenda-se ativar as seguintes configurações na seção Acesso à API REST do WordPress :

  1. "Interromper a enumeração de usuários / Bloquear o acesso aos dados do usuário via API REST"

  2. "Desativar API REST"

  3. "Permitir API REST para usuários autenticados"

Saiba mais: Restringir o acesso à API REST

4. Ative o firewall Traffic Inspector.

  1. Defina "Ativar inspeção de tráfego" para "Segurança máxima".

  2. Defina "Ativar proteção contra erros" como "Segurança máxima".

5. Ative as verificações agendadas de malware e a remoção automática de malware.

Na guia Configurações , as seguintes configurações devem estar ativadas.

  1. "Escanear diretório temporário"

  2. "Diretório de sessões de digitalização"

Na aba Limpeza :

  1. Você precisa habilitar: "Excluir arquivos não verificados", "Recuperar arquivos do WordPress" e "Recuperar arquivos de plugins".

  2. Todas as caixas de seleção nas configurações de "Arquivos na pasta de uploads" devem estar marcadas.

6. Ative a proteção anti-spam mesmo que você ache que não precisa dela.

Na aba "Mecanismo antispam" , recomendamos que você habilite as seguintes configurações:

  1. "Formulário de comentários (Proteja o formulário de comentários com um mecanismo de detecção de bots)"

  2. "Formulário de inscrição (Proteja o formulário de inscrição com um mecanismo de detecção de bots)"

  3. "Outros formulários (Proteja todos os formulários do site com um mecanismo de detecção de bots)"

7. Use regras GEO: bloqueie países com os quais você não pretende negociar.

Na página de administração das Regras de Segurança , configure as políticas GEO para os países que têm permissão para interagir com o seu site: enviar formulários, fazer login ou se cadastrar, etc. Essas configurações não impedem que os mecanismos de busca indexem o site.

8. Renomeie a pasta de plugins do WordPress.

Alterar o nome da pasta de plugins é uma das maneiras mais subestimadas de fortalecer a proteção do seu WordPress. E, no entanto, é grátis e fácil.

Saiba mais: Como renomear a pasta de plugins do WordPress

9. Ativar a autenticação de dois fatores

Para proteger as contas de usuário, habilite a autenticação de dois fatores (2FA). Ela fornece uma camada adicional de segurança, exigindo um segundo fator de identificação além do nome de usuário e da senha.

Saiba mais: Como ativar a autenticação de dois fatores no WordPress

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.