Security Blog

Como proteger WordPress de forma eficaz: a lista de must-do


English version: How to protect WordPress effectively: a must-do list


Uma lista obrigatória que fornece proteção de alta segurança e durável para o seu site.

Queremos que você aproveite ao máximo nossos algoritmos de segurança. É por isso que incentivamos você a definir todas as configurações abaixo. Faça isso pensativamente porque algumas configurações podem entrar em conflito com outro plug-in ou com as configurações do servidor da web. Em caso de problemas, verifique o log de atividades para eventos relacionados, como solicitações negadas ou endereços IP bloqueados.

1. Verifique as configurações principais

  1. Defina " Carregar mecanismo de segurança" para "modo padrão"
  2. Configure "Custom login URL" e ative "Disable wp-login.php"
  3. Ative "Bloqueio Imediato de IP ao tentar efetuar login com um nome de usuário inexistente"
  4. Ativar "Desativar redirecionamento do painel"
  5. Ativar "Imediatamente bloquear IP após qualquer solicitação para wp-login.php"

2. Ativar políticas de segurança na guia Hardening

O conjunto mínimo de configurações que você precisa ativar na seção Hardening WordPress :

  1. "Interromper a enumeração de usuários"
  2. "Bloquear a execução de scripts PHP na pasta de mídia do WordPress"
  3. "Desativar XML-RPC"
  4. "Desativar exibição de erro do PHP"

As seguintes configurações são recomendadas para serem ativadas na seção Access to WordPress REST API :

  1. "Parar a enumeração do usuário / Bloquear o acesso aos dados do usuário por meio da API REST"
  2. "Desativar API REST"
  3. "Permitir API REST para usuários logados"

Leia mais: Restringir o acesso à API REST

3. Ativar as configurações do firewall do Inspetor de Tráfego

  1. Defina "Ativar inspeção de tráfego" para "Segurança máxima"
  2. Defina "Ativar proteção contra erros" para "Segurança máxima"

4. Habilite verificações agendadas de malware e remoção automática de malware

Na guia Configurações , as seguintes configurações devem estar ativadas

  1. "Verificar diretório temporário"
  2. "Scan session directory"

Na guia Limpeza :

  1. A configuração "Arquivos autônomos" deve estar ativada
  2. Todas as caixas de seleção nas configurações "Arquivos na pasta de uploads" estão marcadas

5. Habilite a proteção anti-spam mesmo se você achar que não precisa

Na guia Mecanismo Antispam , as seguintes configurações são recomendadas para serem ativadas:

  1. "Formulário de comentário (Proteger formulário de comentários com mecanismo de detecção de bot)"
  2. "Formulário de registro (Proteger formulário de registro com mecanismo de detecção de bot)"
  3. "Outras formas (Proteja todos os formulários no site com o mecanismo de detecção de bots)"

6. Use as regras do GEO: bloqueie países com os quais você não vai ter um acordo

Na página de administração Regras de segurança , configure políticas GEO para países que têm permissão para interagir com seu site: enviando formulários, podendo fazer login ou registro, etc. Essas configurações não impedem que os mecanismos de pesquisa indexem o site.

7. Renomeie a pasta de plugins

Alterar o nome da pasta de plugins é uma das formas mais subestimadas que fortalecem a proteção do WordPress. E ainda é grátis e fácil.

Leia mais: Como renomear a pasta de plugins do WordPress


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.

Leave a Reply to Anonymous
Cancel Reply