Security Blog

Como proteger o WordPress de forma eficaz: uma lista de tarefas obrigatórias


English version: How to protect WordPress effectively: a must-do list


Uma lista obrigatória para obter proteção durável e de alta segurança para o seu site.

Para aproveitar ao máximo os algoritmos de segurança do WP Cerber, você deve definir todas as configurações abaixo. Faça isso com cuidado porque algumas configurações podem entrar em conflito com outro plugin ou com as configurações do seu servidor web. Em caso de qualquer problema, verifique o log de atividades para eventos relacionados, como solicitações negadas ou endereços IP bloqueados. Observe que alguns dos recursos descritos abaixo estão disponíveis apenas na versão profissional .

1. Habilite atualizações automáticas

Atualizações regulares do WP Cerber são cruciais para uma segurança forte do WordPress, à medida que aprimoramos continuamente seus algoritmos, implementamos proteção contra ameaças emergentes e corrigimos bugs de software. Você pode habilitá-los com apenas alguns cliques: Como habilitar atualizações automáticas para WP Cerber .

2. Verifique as configurações principais

  1. Vá para a página "Configurações principais"
  2. Defina " Carregar mecanismo de segurança" para "Modo padrão"
  3. Configurar "URL de login personalizado"
  4. Defina "Processando solicitações de autenticação wp-login.php" para "Bloquear acesso a wp-login.php" ou, o que é mais avançado, para "Negar autenticação através de wp-login.php"
  5. Habilite "Bloquear IP imediatamente ao tentar fazer login com um nome de usuário inexistente"
  6. Ative "Desativar redirecionamento do painel"
  7. Opcionalmente, habilite "Bloquear IP imediatamente após qualquer solicitação para wp-login.php"

3. Ative as políticas de segurança na guia Hardening

O conjunto mínimo de configurações que você deve ativar na seção Hardening WordPress :

  1. "Parar enumeração de usuários"
  2. "Impedir a descoberta de nome de usuário via oEmbed"
  3. "Impedir a descoberta de nome de usuário por meio de mapas de sites XML do usuário"
  4. "Bloquear o acesso às páginas dos usuários por meio de seus nomes de usuário"
  5. "Bloquear a execução de scripts PHP na pasta de mídia do WordPress"
  6. "Desativar exibição de erro do PHP"
  7. "Desativar XML-RPC"

Recomenda-se que as seguintes configurações sejam habilitadas na seção Acesso à API REST do WordPress :

  1. "Parar a enumeração de usuários/Bloquear o acesso aos dados do usuário por meio da API REST"
  2. "Desativar API REST"
  3. "Permitir API REST para usuários logados"

Leia mais: Restringir o acesso à API REST

4. Habilite o firewall do Traffic Inspector

  1. Defina "Ativar inspeção de tráfego" como "Segurança máxima"
  2. Defina "Ativar proteção contra erros" como "Segurança máxima"

5. Ative verificações agendadas de malware e remoção automática de malware

Na guia Configurações , as seguintes configurações devem estar habilitadas

  1. "Verificar diretório temporário"
  2. "Verificar diretório de sessão"

Na guia Limpeza :

  1. Você deve ativar: "Excluir arquivos autônomos", "Recuperar arquivos WordPress", "Recuperar arquivos de plugins"
  2. Todas as caixas de seleção nas configurações de "Arquivos na pasta de uploads" devem estar marcadas

6. Ative a proteção anti-spam mesmo se você achar que não precisa dela

Na aba do mecanismo Antispam , aconselhamos ativar as seguintes configurações:

  1. "Formulário de comentários (proteja o formulário de comentários com mecanismo de detecção de bot)"
  2. "Formulário de registro (formulário de registro protegido com mecanismo de detecção de bot)"
  3. "Outros formulários (proteja todos os formulários do site com mecanismo de detecção de bot)"

7. Use regras GEO: bloqueie países com os quais você não terá acordo

Na página de administração das Regras de Segurança , configure as políticas GEO para os países que têm permissão para interagir com o seu site: enviar formulários, poder fazer login ou registrar-se, etc.

8. Renomeie a pasta de plug-ins do WordPress

Alterar o nome da pasta de plugins é uma das formas mais subestimadas de fortalecer a proteção do WordPress. E ainda assim é grátis e fácil.

Leia mais: Como renomear a pasta de plugins do WordPress

9. Habilite a autenticação de dois fatores

Para proteger as contas dos usuários, habilite a autenticação de dois fatores (2FA). Ele fornece uma camada adicional de segurança que exige um segundo fator de identificação além de apenas um nome de usuário e uma senha.

Leia mais: Como habilitar a autenticação de dois fatores para WordPress


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.