Um terror chamado “site invadido’, onde tudo o que era alegria vira frustração.
Depois de muito tempo investido em aprender e executar as melhores práticas SEO, conseguindo assim bons resultados, tudo o que ninguém quer é perder posições no Google.
Se você constrói um lindo castelo, sua primeira preocupação deveria ser protege-lo.
Porém, existe uma realidade nada animadora. Quase todos profissionais SEO só se preocupam em construir um site seguro, depois que o seu é invadido ou infectado pelas pragas da internet.
Mas, aí já terá sido muito tarde, pois o algoritmo do Google identifica se o seu site está infectado e, com isso, está prejudicando ou colocando em risco quem o acessa. E se o seu site coloca usuários em risco, o Google não vai querer apresenta-lo nas primeiras posições. Pelo contrário, ele vai querer “esconde-lo” nas buscas.
Um estudo da Sucuri, empresa referência no segmento de segurança web, afirma: "De todos os sites CMS hackeados em 2018, 90% eram WordPress."
Gráfico do Ranking de Infecções de CMS, 2018
Mas, diante de um cenário tão desfavorável para o maior CMS do mundo, o Wordpress, o que devemos fazer?
(A) Abandonar o Wordpress e escolher outro CMS;
(B) Contratar um especialista em segurança web, toda vez que o site for invadido;
(C) Aprender a dificultar a vida do hacker.
Se você respondeu a opção “A”, saiba que é sim uma alternativa. Existem outros CMS excelentes no mercado. Mas, de nada adiantará mudar de CMS, se você não tem conhecimento para protege-lo de ataques. Além disso, abandonar o Wordpress significa virar as costas para a melhor plataforma para SEO.
Caso tenha respondido a opção “B”, fique ciente que existem excelentes empresas que protegem o seu site. Além disso, elas possuem especialistas para remoção de malware, caso o seu site tenha sido infectado. Essa é uma opção, porém tenha em mente que isso terá um custo mensal para o seu projeto.
Mas, se você respondeu a opção “C”, então você está no lugar certo e na hora certa, pois eu vou lhe ensinar, passo a passo, a como blindar o seu Wordpress contra invasões, evitando assim perder posições no Google.
Invista seu tempo agora, aprendendo aqui, e durma mais tranquilo, hoje.
Vamos ao que interessa?
Importante: Antes de dar início a essa operação, faça o backup completo do seus arquivos e banco de dados.
Passo 1: Instale o plugin "All In One WP Security" e ative-o. Ele é gratuito e pode ser encontrado por dentro da seção de plugins, do Wordpress, pelo painel adm do seu site.
Print tela de Instalação do plugin All In One WP Security
Passo 2: Acesse o painel do plugin e siga o passo a passo das configurações.
Painel do plugin All in One WP Security
Passo 3: Acesse "Configurações" e faça o backup dos 3 itens: banco de dados, wp-config e .htaccess (Esse último item, .htaccess, serve somente para quem está hospedando o site em um servidor Apache)
Tela do Backup All In One WP Security
Ainda em Configurações, vá para "Wp Version Info" e marque a opção 'Remover gerador de informações de meta Wp", conforme Print. Selecione "Salvar".
Wp Version Info - All in One WP Security
Passo 4: Acesse "Contas de Usuários" e altere o seu nome de login, se esse estiver como: "admin"> Escolha qualquer outro nome, que não o Admin. Selecione "Salvar".
Contas de Usuários - All in One WP Security
Passo 5: Acesse "Login de Usuário" e marque as opções "Habilitar Recurso de bloqueio de login", "Permitir desbloquear Pedidos", "Tentativas de Login máximo = 3", "Período de tempo (min) para fazer login novamente = 5", "Tempo de duração do bloqueio = 360" e "Bloquear instantaneamente nome de usuário inválido", conforme o print. Selecione "Salvar".
Login de Usuário - All in One WP Security
Ainda nessa mesma tela, continue a configuração, conforme o print. PORÉM, vamos alterar o IP para o seu, conforme instruções abaixo.
Alterar o IP - All in One WP Security
Você vai entrar em contato com o seu provedor de internet e vai fazer a seguinte pergunta: "Qual é o IP Range do meu provedor?" Isso significa que você precisa saber, com exatidão, qual é a faixa de IPs que o seu provedor trabalha, para poder fazer a configuração de segurança, para o seu site, onde somente os IPs do seu provedor terão permissão para acessar o painel adm do seu site.
Então, se o seu provedor responder assim: "Nosso IP Range é de 138.0.0.1 até 140.0.0.1", significa que você vai configurar a opção do plugin com 138.*.*.* , 139.*.*.* e 140.*.*.* (Uma faixa de IP por linha e sem a virgula.) Selecione "Salvar", na tela do plugin.
IP Range - All in One WP Security
Passo 6: Acesse "Registro de Usuário" e marque "Habilitar aprovação Manual de novos registos', conforme o print. Selecione "Salvar". Fique atento, pois você deverá acessar essa página, para aprovar novos usuários para o site.
Registro de Usuário - All in One WP Security
Ainda nessa mesma tela, acesse "Captcha em registro" e marque a opção, vide print. Selecione "Salvar".
Captcha em registro - All in One WP Security
Continue em Registro de Usuário, marque "Enable Honeypot On Registration page", de acordo com o print. Selecione "Salvar".
Honeypot - All in One WP Security
Passo 7: Altere o prefixo das tabelas do seu banco de dados, escolhendo até 6 caracteres. (Vide print) Selecione "Salvar".
Prefixo tabelas banco de dados - All in One WP Security
Ainda no passo 7, programe o backup automático do seu banco de dados, para enviar por e-mail. Note, o tempo de backup pode variar de acordo com a periodicidade que você atualiza seu site. Se atualiza diariamente, programe o backup diariamente. Selecione "Salvar".
Backup automático banco de dados - All in One WP Security
Passo 8: Em Segurança de Arquivos>Permissões de arquivos, verifique se está conforme o print. Diretórios são 755 e arquivos 644 (salvo em raras exceções, de plugins). Então, se não estiver 755 e 644, um botão será mostrado, para que você mude as permissões com 1 click. Se nenhum botão for mostrado, significa que já está tudo ok.
Permissões de arquivos - All in One WP Security
Ainda no passo 8, acesse "Edição de arquivo PHP" e marque a opção: "Desativar a capacidade para editar arquivos PHP", vide print. Selecione "Salvar".
Edição de arquivo PHP - All in One WP Security
Continuando no passo 8, acesse: "Acesso ao arquivo WP" e marque a opção, "Impedir o acesso a arquivos de instalação padrão do WP", vide print. Selecione "Salvar".
Acesso ao arquivo WP- All in One WP Security
Passo 9: Acesse "Firewall" e promova as configurações, marcando as opções: "Habilitar Proteção de Firewall Básico", "Complete Block to XMRPC", "Disable PingBack from XMRPC" e "Block Access to Debug File", conforme o print. Selecione "Salvar".
Firewall- All in One WP Security
Continuando no passo 9, Acesse "Configurações do firewall>Regras do firewall de lista negra 6G" e marque "Habilitar Proteção do Firewall 6G" e "Habilitar Proteção do Firewall 5G", conforme print. Selecione "Salvar".
Lista negra 6G - All in One WP Security
Na sequência, e ainda no passo 9, vamos configurar o bloqueio aos falsos robôs de busca, marcando a opção "Bloquear GoogleBots Falsos", conforme print. Selecione "Salvar".
Atenção: Desative essa função, caso perceba qualquer problema de rastreamento de Sitemap
Bloqueio aos falsos robôs de busca - All in One WP Security
Selecione Impedir hotlink e marque a opção. Selecione "Salvar".
Impedir hotlink - All in One WP Security
Selecione Detecção 404 e marque a opção. Selecione "Salvar".
Detecção 404 - All in One WP Security
Passo 10: Força Bruta>Renomear página de login
Atenção a essa opção! Você vai renomear a página de login do seu Wordpress. Normalmente, por padrão, você acessa a área adm do seu site em seusite . com / wp-admin. Porém, você escolherá o que irá substituir o "wp-admin", para ter acesso ao seu painel de adm. Ex.: seusite. com /login
Força Bruta - All in One WP Security
Na sequência, Captcha Login. Marque todas as opções e salve.
Captcha Login - All in One WP Security
Atenção a esse passo!Você vai entrar em contato com o seu provedor de internet e vai fazer a seguinte pergunta: "Qual é o IP Range do meu provedor?" Isso significa que você precisa saber, com exatidão, qual é a faixa de IPs que o seu provedor trabalha, para poder fazer a configuração de segurança para o seu site, onde somente os IPs do seu provedor terão permissão para acessar o painel adm do seu site. Selecione "Salvar".
IP Range do seu provedor - All in One WP Security
Configure o "Pote de mel", marcando a opção e salvando, conforme print.
Pote de mel - All in One WP Security
Passo 11: Configurar Proteção Contra Spam de Comentário.
Proteção Contra Spam de Comentário - All in One WP Security
Monitoramento de IP SPAM de comentário
Monitoramento de IP SPAM de comentário - All in One WP Security
Passo 12: Diversos> Enumeração de Usuários
Enumeração de Usuários - All in One WP Security
Passo 13: Adicione o seu site na CloudFare.
Se você estiver sob ataque, ative imediatamente a opção Under Attack Mode.
Under Attack Mode - Cloudflare
Passo 14: Com frequência, faça um escaneamento do seu site, para verificar a existência de malwares , backdoors e outras pragas da internet. Para isso, use o plugin>:"Wordfence Security"
Wordfence
Conclusões finais:Essas são as regras básicas que irão proteger bastante o seu website. Se tiver feito todo o passo a passo, sua pontuação final será de 420. Veja a pontuação em: seusite . com .br /wp-admin/admin.php?page=aiowpsec
Pontuação - All in One WP Security
Existem outras regras que podem ser aplicadas, mas que são de nível avançado e aplicadas no servidor VPS. Em nova oportunidade, explicarei-as.
Por enquanto, esse passo a passo será o suficiente para blindar o seu site e deixar o hacker frustrado.
Espero ter ajudado.
Por favor, deixe suas considerações e dúvidas nos comentários.
Inscreva-se para o Wébinar "Além da segmentação - Como criar relevância sem ser invasivo"