Este documento fornece uma lista de plugins de segurança recomendados para WordPress, juntamente com dicas sobre como melhorar a segurança de um site WordPress. A lista inclui plugins como Limit Login Attempts, Limit Login Countries e Wordfence Security. O documento também dá conselhos como manter WordPress atualizado, limitar tentativas de login e fazer backups regulares.
3. Sobre o Autor
Tales Augusto, Analista de Sistemas, se especializando
em Comunicação em Mídias Digitais e Gerenciamento
de Projetos. Diretor da Empresa Portal de Design em
Fortaleza. Fã da Metodologia 8ps! Certificado Gestor de
Marketing Digital por Olímpio Araújo.
4. Sobre o Livro
Este mini-Ebook é uma listagem de plugins que conheço
e indico.
Todos eles vão auxiliar na segurança do seu site
diminuindo aquela dor de cabeça com as falhas que
podem ocorrer por conta de servidor ou até invasão.
5. O que eu posso fazer com este livro?
Estudar,
Compartilhar como você desejar
O que eu não posso fazer?
Vender
Mudar conteúdo
Remover algum link
6. Top Plugins de Segurança
para WordPress
Limit Login Attempts
Ele é usado Limitar o número de tentativas de
login possível tanto através de login normal, bem
como o uso de cookies de autenticação. Por
padrão WordPress permite tentativas de login
ilimitadas ou através da página de login ou
através do envio de cookies especiais. Isso
permite que as senhas (ou hashes) possam ser
quebradas com facilidade O plugin bloqueia um
endereço de internet de fazer novas tentativas
após um determinado limite de erros, dificultando
e até mesmo impossibilitando quebrar a senha.
Link Para
Baixar: http://boo-box.link/20TD3
Limit Login Countries
Este plugin dá-lhe a capacidade de limitar logins
de administração do WordPress com base no país
o endereço IP do visitante é localizado em.
7. Ele usa banco de dados de GeoIP de MaxMind que vem
em uma versão lite gratuita.
Link: http://boo-box.link/20TD7
Rename wp-login.php (unmaintained)
Plugin muito leve que permite que você facilmente e
com segurança mudar wp-login.php para qualquer coisa
que você quiser. Não literalmente mudar o nome ou
alterar arquivos no núcleo, nem adicionar regras de
reescrita.
Ele simplesmente intercepta solicitações de página e
funciona. A página de diretório e wp-login.php wp-admin
se torna inacessível, então você deve se lembrar do
marcador ou a url que você cadastrar.
Desativando este plugin tudo retorna ao normal.
Link: http://boo-box.link/20TDE
8. Login No Captcha reCAPTCHA
Adiciona uma caixa de verificação Google não CAPTCHA
ReCaptcha para a tela de login do WordPress. Nega o
acesso a scripts automatizados enquanto tornando mais
fácil para os seres humanos para fazer login no
marcando uma caixa.
Lihnk: http://boo-box.link/20TDH
Captcha on Login
Hoje em dia, é comum os hackers que tentam obter
acesso ao seu blog, por isso, é muito importante que
você faça algumas ações para prevenir o seu blog. Ele
irá proteger o seu blog de logon ataques de força bruta
que adicionam um captcha na página de login. Esse
plugin também bloqueia IPS após um determinado
número de tentativas de login falhou, note que na
página opções do plugin você pode definir esses
números.
Link: http://boo-box.link/20TDL
9. OBERVAÇÃO IMPORTANTE
TODOS OS PLUGINS QUE INDICO NESTE SÃO SÃO DE
RESPONSABILIDADES DOS SEUS RESPECTIVOS
AUTORES.
ANTES DE INSTALAR EM UM SITE, RECOMENDO QUE
REALIZE TESTES ANTES.
EU NÃO ME RESPONSABILIZO POR QUALQUER DANO
QUE UM DESSES PLUGINS VENHAM CAUSAR A SEU SITE.
10. Sucuri Security - Auditing, Malware Scanner and
Security Hardening
O plugin Sucuri Segurança WordPress segurança é
gratuito para todos os usuários do WordPress. É uma
suíte de segurança destina-se a complementar a
segurança do seu site. Ele oferece aos usuários quatro
elementos de segurança fundamentais para seu site,
cada um projetado para ter um efeito positivo sobre a
sua postura de segurança:
Security Activity Auditing
File Integrity Monitoring
Remote Malware Scanning
Blacklist Monitoring
Effective Security Hardening
Post-Hack Security
Actions Security Notifications
Website Firewall (add on)
Link: http://boo-box.link/20TFI
11. Dropbox Backup & Restore
Dropbox Backup & Restore Plugin para criar Dropbox
backup completo (+ arquivos de banco de dados) ou
restaurar, duplicar, clone ou migrar da sua página web
Link: http://boo-box.link/20TEA
BackWPup Free - WordPress Backup Plugin
O plugin de backup pode ser usado para salvar a sua
instalação completa, incluindo / wp-content / e envia-los
para um serviço de backup externo, como o Dropbox,
S3, FTP e muitos mais.
Link: http://boo-box.link/20TED
Backup Guard
Uma das maneiras mais fáceis de fazer backup e
restaurar o seu site baseado WordPress ou blog. Você
pode fazer backup de seus arquivos, banco de dados ou
ambos.
Link: http://boo-box.link/20TEG
12. Wordfence Security
O plugin começa por verificar se o seu site já está
infectado. Nós fazemos uma varredura do lado do
servidor profundo de seu código-fonte comparando-a
com o repositório oficial para WordPress núcleo, temas
e plugins. Além de Wordfence proteger seu site ainda
fazemos com que ele seja até 50 vezes mais rápido.
Link: http://boo-box.link/20TER
All In One WP Security & Firewall
Um abrangente, fácil de usar, tudo em um WordPress
segurança e firewall plugin para o seu site.
Link: http://boo-box.link/20TEU
13. WordPress File Monitor Plus
Monitora sua instalação do WordPress para quando for
adicionado ,excluído ou modificado os arquivos. Quando
uma mudança é detectada um alerta de e-mail pode ser
enviado para um endereço especificado.
Link: http://boo-box.link/20TEX
15. 1. Esteja sempre atualizado
Como muitos dos mais modernos pacotes de software, o
WordPress é atualizado regularmente para evitar e
resolver novas ameaças que possam surgir. Por isso é
importante manter a sua instalação sempre atualizada
com a versão mais recente do WordPress. Deixar uma
instalação desatualizada é deixar-se disponível para
ataques.
2. Não divulgue a versão do seu WordPress
Por padrão, os temas do WP utilizam uma metatag no
código que divulga, para fins de estatística, a versão
que está sendo utilizada. Em termos práticos, esta
informação para um usuário ou para o administrador do
site é inútil e deixar estas informações públicas não é
aconselhável. Em varreduras feitas para localizar sites
vulneráveis esta informação de versão é utilizada para
definir a forma de ataque e explorar brechas de
segurança.
16. Esta informação fica localizadas no arquivo header.php
de seu tema. Para desabilitar, remova a linha a seguir:
Link:http://boo-box.link/20TF2
Esta linha força a remoção da informação de forma
dinâmica.
3. Restrição de acessos
Dê apenas as permissões de acesso necessárias para
quem for realizar o trabalho e nada mais. Remover os
acessos ao fim do trabalho também pode ser uma boa
opção. Essa prática vale para o WordPress, FTP, bancos
de dados e qualquer outro acesso.
A permissão padrão de pastas no FTP é 755 e de
arquivos 644, e qualquer arquivo ou pasta com
permissão 777 se torna uma vulnerabilidade. Por
exemplo, clientes da empresa onde trabalho, a
KingHost, conseguem manter o acesso FTP desabilitado
no painel de controle enquanto não estiverem
utilizando.
17. Para desabilitar o acesso FTP, no painel 1 selecione o
domínio no canto direito superior e clicar no botão de
Ok ao lado do domínio. Após, na área central, clique em
gerenciar FTP e em segurança FTP há a opção de
manter desabilitado o acesso ao FTP, além de limitá-lo
para acesso nacional ou apenas alguns IPs específicos.
4. Não use o login padrão do Admin do WordPress
Ao realizar a instalação de um novo site ou blog por
padrão é criado um usuário chamado admin. Este
usuário tem poderes de administrador no blog e é o
primeiro login a ser utilizado em uma tentativa de
acesso não autorizado. Removê-lo ou renomeá-lo já vai
minimamente fazer com que o atacante tenha mais
trabalho para tentar descobrir outro nome de usuário.
5. Senhas do WordPress
Utilize letras e números para o acesso ao banco de
dados e para o admin do WordPress.
18. Além de poder substituir letras por números e utilizar
uma frase de senha, isso facilita a memorização e
dificulta o trabalho dos invasores. Por exemplo: a=4
e=3 i=1 o=0 u=U Minha senha é segura =
M1nh4s3nh43hs3gUr4 Nunca use uma senha igual a de
outro site ou das redes sociais, pois se algum dia o site
for hackeado, a sua senha estará nas mãos de nvasores.
Nunca salve a sua senha em lugares públicos, como lan
houses.
6. Limite o número de tentativas de login
Os usuários não autorizados podem tentar fazer o login
para o seu site usando uma variedade de combinações
de nomes de usuário e senhas, utilizando programas
próprios para essa tarefa. Para evitar mais essa forma
de ataque instale o plugin WP Login Lockdown para
limitar a criação de uma quota no número de tentativas
de login que um único usuário pode fazer.
Ultrapassando esse número, o usuário será bloqueado.
19. 7. Desabilite a opção “qualquer pessoa pode se
registrar”
Vá até a seção Geral e desmarque a opção Qualquer
pessoa pode se registrar, ou simplesmente delete o
arquivo wp-register.php. Ao fazer isso você impede que
qualquer um tenha acesso ao painel de administração
do site.
8. Sempre faça backup do seu banco de dados
Caso seu site for invadido, você ainda tem a
possibilidade de restaurar tudo a partir de um backup.
Defina o horário, dia da semana para realização do
backup, e o mais importante: o local. Isto pode ajudar a
estar novamente online muito mais rápido caso haja um
problema. O aconselhado é manter um backup do FTP
desde a ultima atualização e realizar backups periódicos
apenas da pasta uploads.
20. Artigos Interessantes
8 dicas importantes para a segurança do WordPress
Link: http://boo-box.link/20TF2
Blindando o WordPress
Link: http://boo-box.link/20TF8
PROTEJA SEU WORDPRESS COM ESSAS INCRÍVEIS DICAS
DE SEGURANÇA
http://boo-box.link/20TFA
Dicas de segurança para WordPress
Link: http://boo-box.link/20TFB
32 DICAS DE SEGURANÇA PARA WORDPRESS
Link: http://boo-box.link/20TFD
21. Curso em Vídeo Aulas
Grátis
Estou publicando em meu canal no youtube um mini-
Curso de Segurança para WordPress.
Pretendo todas as semanas postar uma aula nova
dando dicas e ensinando sobre os
plugins mencionados nesse e-book entre outros.
Para Realizar a Sua Inscrição em Meu Canal no Youtube.
Acesse
https://www.youtube.com/c/TalesAugusto