Security Blog
Posted By Gregory

Como proteger o WordPress de forma eficaz: uma lista de tarefas obrigatórias

English version: How to protect WordPress effectively: a must-do list


Uma lista de tarefas essenciais para obter proteção durável e de alta segurança para seu site.

Para aproveitar ao máximo os algoritmos de segurança do WP Cerber, você deve configurar todas as configurações abaixo. Faça isso com cuidado, pois algumas configurações podem entrar em conflito com outro plugin ou com as configurações do seu servidor web. Em caso de qualquer problema, verifique o log de atividades para eventos relacionados, como solicitações negadas ou endereços IP bloqueados. Observe que alguns dos recursos descritos abaixo estão disponíveis apenas na versão profissional .

1. Habilitar atualizações automáticas

Atualizações regulares do WP Cerber são cruciais para uma segurança forte do WordPress, pois aprimoramos continuamente seus algoritmos, implementamos proteção contra ameaças emergentes e corrigimos bugs de software. Você pode habilitá-los em alguns cliques: Como habilitar atualizações automáticas para o WP Cerber .

2. Verifique as configurações principais

  1. Vá para a página "Configurações principais"

  2. Defina " Carregar mecanismo de segurança" como "Modo padrão"

  3. Configurar "URL de login personalizado"

  4. Defina "Processando solicitações de autenticação wp-login.php" como "Bloquear acesso a wp-login.php" ou, o que for mais avançado, como "Negar autenticação por meio de wp-login.php"

  5. Habilitar "Bloquear IP imediatamente ao tentar efetuar login com um nome de usuário inexistente"

  6. Habilitar "Desabilitar redirecionamento do painel"

  7. Opcionalmente, habilite "Bloquear IP imediatamente após qualquer solicitação para wp-login.php"

3. Ative as políticas de segurança na guia Endurecimento

O conjunto mínimo de configurações que você precisa habilitar na seção Proteção do WordPress :

  1. "Parar enumeração de usuários"

  2. "Evitar descoberta de nome de usuário via oEmbed"

  3. "Evitar descoberta de nome de usuário por meio de mapas de sites XML de usuário"

  4. "Bloquear acesso às páginas dos usuários por meio de seus nomes de usuário"

  5. "Bloquear execução de scripts PHP na pasta de mídia do WordPress"

  6. "Desabilitar exibição de erro do PHP"

  7. "Desabilitar XML-RPC"

É recomendável habilitar as seguintes configurações na seção Acesso à API REST do WordPress :

  1. "Parar enumeração de usuários / Bloquear acesso aos dados do usuário via API REST"

  2. "Desabilitar API REST"

  3. "Permitir API REST para usuários logados"

Leia mais: Restringir acesso à API REST

4. Habilite o firewall do Traffic Inspector

  1. Defina "Habilitar inspeção de tráfego" como "Segurança máxima"

  2. Defina "Ativar blindagem de erros" como "Segurança máxima"

5. Habilite verificações programadas de malware e remoção automática de malware

Na guia Configurações , as seguintes configurações devem ser habilitadas

  1. "Verificar diretório temporário"

  2. "Diretório de sessão de digitalização"

Na aba Limpeza :

  1. Você precisa habilitar: "Excluir arquivos autônomos", "Recuperar arquivos do WordPress", "Recuperar arquivos de plugins"

  2. Todas as caixas de seleção nas configurações de "Arquivos na pasta de uploads" devem ser marcadas

6. Ative a proteção antispam mesmo que você ache que não precisa dela

Na aba do mecanismo Antispam , recomendamos que você habilite as seguintes configurações:

  1. "Formulário de comentários (Proteja o formulário de comentários com o mecanismo de detecção de bots)"

  2. "Formulário de registro (Proteger formulário de registro com mecanismo de detecção de bot)"

  3. "Outros formulários (Proteja todos os formulários no site com mecanismo de detecção de bot)"

7. Use as regras GEO: bloqueie países com os quais você não fará acordos

Na página de administração das Regras de Segurança , configure as políticas GEO para países que têm permissão para interagir com seu site: enviar formulários, poder fazer login ou registrar-se, etc. Essas configurações não impedem que os mecanismos de busca indexem o site.

8. Renomeie a pasta de plugins do WordPress

Alterar o nome da pasta de plugins é uma das maneiras mais subestimadas de tornar sua proteção WordPress mais forte. E ainda assim é grátis e fácil.

Leia mais: Como renomear a pasta de plugins do WordPress

9. Habilite a autenticação de dois fatores

Para proteger contas de usuários, habilite a autenticação de dois fatores (2FA). Ela fornece uma camada adicional de segurança que requer um segundo fator de identificação além de apenas um nome de usuário e senha.

Leia mais: Como habilitar a autenticação de dois fatores para WordPress

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.