Como blindar o seu Wordpress contra invasões, evitando perder posições no Google - Passo a Passo

Isai

Jul 22, 20197 min de leitura
Como blindar o seu Wordpress contra invasões, evitando perder posições no Google - Passo a Passo

Um terror chamado “site invadido’, onde tudo o que era alegria vira frustração.

Depois de muito tempo investido em aprender e executar as melhores práticas SEO, conseguindo assim bons resultados, tudo o que ninguém quer é perder posições no Google.

Se você constrói um lindo castelo, sua primeira preocupação deveria ser protege-lo.

Porém, existe uma realidade nada animadora. Quase todos profissionais SEO só se preocupam em construir um site seguro, depois que o seu é invadido ou infectado pelas pragas da internet.

Mas, aí já terá sido muito tarde, pois o algoritmo do Google identifica se o seu site está infectado e, com isso, está prejudicando ou colocando em risco quem o acessa. E se o seu site coloca usuários em risco, o Google não vai querer apresenta-lo nas primeiras posições. Pelo contrário, ele vai querer “esconde-lo” nas buscas.

Um estudo da Sucuri, empresa referência no segmento de segurança web,  afirma: "De todos os sites CMS hackeados em 2018, 90% eram WordPress."

Ranking de Infecções de CMSGráfico do Ranking de Infecções de CMS, 2018

Mas, diante de um cenário tão desfavorável para o maior CMS do mundo, o Wordpress, o que devemos fazer? 

(A) Abandonar o Wordpress e escolher outro CMS;

(B) Contratar um especialista em segurança web, toda vez que o site for invadido;

(C) Aprender a dificultar a vida do hacker.

Se você respondeu a opção “A”, saiba que é sim uma alternativa. Existem outros CMS excelentes no mercado. Mas, de nada adiantará mudar de CMS, se você não tem conhecimento para protege-lo de ataques. Além disso, abandonar o Wordpress significa virar as costas para a melhor plataforma para SEO.

Caso tenha respondido a opção “B”, fique ciente que existem excelentes empresas que protegem o seu site. Além disso, elas possuem especialistas para remoção de malware, caso o seu site tenha sido infectado. Essa é uma opção, porém tenha em mente que isso terá um custo mensal para o seu projeto. 

Mas, se você respondeu a opção “C”, então você está no lugar certo e na hora certa, pois eu vou lhe ensinar, passo a passo, a como blindar o seu Wordpress contra invasões, evitando assim perder posições no Google.

Invista seu tempo agora, aprendendo aqui, e durma mais tranquilo, hoje.

Vamos ao que interessa?

Importante: Antes de dar início a essa operação, faça o backup completo do seus arquivos e banco de dados.

Passo 1: Instale o plugin "All In One WP Security" e ative-o. Ele é gratuito e pode ser encontrado por dentro da seção de plugins, do Wordpress, pelo painel adm do seu site. 

Print tela de Instalação do plugin All In One WP SecurityPrint tela de Instalação do plugin All In One WP Security

Passo 2: Acesse o painel do plugin e siga o passo a passo das configurações.

Acesse o painel do plugin All in One WP SecurityPainel do plugin All in One WP Security

Passo 3: Acesse "Configurações" e faça o backup dos 3 itens: banco de dados, wp-config e .htaccess (Esse último item, .htaccess,  serve somente para quem está hospedando o site em um servidor Apache)

Acesse o Backup do All In One WP SecurityTela do Backup All In One WP Security

Ainda em Configurações, vá para "Wp Version Info" e marque a opção 'Remover gerador de informações de meta Wp", conforme Print. Selecione "Salvar".

Wp Version Info - All in One WP SecurityWp Version Info - All in One WP Security

Passo 4: Acesse "Contas de Usuários" e altere o seu nome de login, se esse estiver como: "admin"> Escolha qualquer outro nome, que não o Admin. Selecione "Salvar".

Contas de Usuários - All in One WP SecurityContas de Usuários - All in One WP Security

Passo 5: Acesse "Login de Usuário" e marque as opções "Habilitar Recurso de bloqueio de login", "Permitir desbloquear Pedidos", "Tentativas de Login máximo = 3", "Período de tempo (min) para fazer login novamente = 5", "Tempo de duração do bloqueio = 360" e "Bloquear instantaneamente nome de usuário inválido", conforme o print. Selecione "Salvar".

Login de Usuário - All in One WP SecurityLogin de Usuário - All in One WP Security

Ainda nessa mesma tela, continue a configuração, conforme o print. PORÉM, vamos alterar o IP para o seu, conforme instruções abaixo.

Alterar o IP - All in One WP SecurityAlterar o IP - All in One WP Security

Você vai entrar em contato com o seu provedor de internet e vai fazer a seguinte pergunta: "Qual é o IP Range do meu provedor?" Isso significa que você precisa saber, com exatidão, qual é a faixa de IPs que o seu provedor trabalha, para poder fazer a configuração de segurança, para o seu site, onde somente os IPs do seu provedor terão permissão para acessar o painel adm do seu site.

Então, se o seu provedor responder assim: "Nosso IP Range é de 138.0.0.1 até 140.0.0.1", significa que você vai configurar a opção do plugin com 138.*.*.* , 139.*.*.* e 140.*.*.* (Uma faixa de IP por linha e sem a virgula.) Selecione "Salvar", na tela do plugin.

IP Range - All in One WP SecurityIP Range - All in One WP Security

Passo 6: Acesse "Registro de Usuário" e marque "Habilitar aprovação Manual de novos registos', conforme o print. Selecione "Salvar". Fique atento, pois você deverá acessar essa página, para aprovar novos usuários para o site.

Registro de Usuário - All in One WP SecurityRegistro de Usuário - All in One WP Security

Ainda nessa mesma tela, acesse "Captcha em registro" e marque a opção, vide print. Selecione "Salvar".

Captcha em registro - All in One WP SecurityCaptcha em registro - All in One WP Security

Continue em Registro de Usuário, marque "Enable Honeypot On Registration page", de acordo com o print. Selecione "Salvar".

Honeypot - All in One WP SecurityHoneypot - All in One WP Security

Passo 7: Altere o prefixo das tabelas do seu banco de dados, escolhendo até 6 caracteres. (Vide print) Selecione "Salvar".

Prefixo tabelas banco de dados - All in One WP SecurityPrefixo tabelas banco de dados - All in One WP Security

Ainda no passo 7, programe o backup automático do seu banco de dados, para enviar por e-mail. Note, o tempo de backup pode variar de acordo com a periodicidade que você atualiza seu site. Se atualiza diariamente, programe o backup diariamente. Selecione "Salvar".

Backup automático banco de dados - All in One WP SecurityBackup automático banco de dados - All in One WP Security

Passo 8: Em Segurança de Arquivos>Permissões de arquivos, verifique se está conforme o print. Diretórios são 755 e arquivos 644 (salvo em raras exceções, de plugins). Então, se não estiver 755 e 644, um botão será mostrado, para que você mude as permissões com 1 click. Se nenhum botão for mostrado, significa que já está tudo ok.

Permissões de arquivos - All in One WP SecurityPermissões de arquivos - All in One WP Security

Ainda no passo 8, acesse "Edição de arquivo PHP" e marque a opção: "Desativar a capacidade para editar arquivos PHP", vide print. Selecione "Salvar".

Edição de arquivo PHP - All in One WP SecurityEdição de arquivo PHP - All in One WP Security

Continuando no passo 8, acesse: "Acesso ao arquivo WP" e marque a opção, "Impedir o acesso a arquivos de instalação padrão do WP", vide print. Selecione "Salvar".

Acesso ao arquivo WP- All in One WP SecurityAcesso ao arquivo WP- All in One WP Security

Passo 9: Acesse "Firewall" e promova as configurações, marcando as opções: "Habilitar Proteção de Firewall Básico", "Complete Block to XMRPC", "Disable PingBack from XMRPC" e "Block Access to Debug File", conforme o print.  Selecione "Salvar".

Firewall- All in One WP SecurityFirewall- All in One WP Security

Continuando no passo 9, Acesse "Configurações do firewall>Regras do firewall de lista negra 6G" e marque "Habilitar Proteção do Firewall 6G" e "Habilitar Proteção do Firewall 5G", conforme print. Selecione "Salvar".

Lista negra 6G - All in One WP SecurityLista negra 6G - All in One WP Security

Na sequência, e ainda no passo 9, vamos configurar o bloqueio aos falsos robôs de busca, marcando a opção "Bloquear GoogleBots Falsos", conforme print. Selecione "Salvar".
Atenção: Desative essa função, caso perceba qualquer problema de rastreamento de Sitemap

Bloqueio aos falsos robôs de busca - All in One WP SecurityBloqueio aos falsos robôs de busca - All in One WP Security

Selecione Impedir hotlink e marque a opção. Selecione "Salvar".

Impedir hotlink - All in One WP SecurityImpedir hotlink - All in One WP Security

Selecione Detecção 404 e marque a opção. Selecione "Salvar".

Detecção 404 - All in One WP SecurityDetecção 404 - All in One WP Security

Passo 10: Força Bruta>Renomear página de login

Atenção a essa opção! Você vai renomear a página de login do seu Wordpress. Normalmente, por padrão, você acessa a área adm do seu site em seusite . com / wp-admin. Porém, você escolherá o que irá substituir o "wp-admin", para ter acesso ao seu painel de adm. Ex.: seusite. com /login 

Força Bruta - All in One WP SecurityForça Bruta - All in One WP Security

Na sequência, Captcha Login. Marque todas as opções e salve.

Captcha Login - All in One WP SecurityCaptcha Login - All in One WP Security

Atenção a esse passo!Você vai entrar em contato com o seu provedor de internet e vai fazer a seguinte pergunta: "Qual é o IP Range do meu provedor?" Isso significa que você precisa saber, com exatidão, qual é a faixa de IPs que o seu provedor trabalha, para poder fazer a configuração de segurança para o seu site, onde somente os IPs do seu provedor terão permissão para acessar o painel adm do seu site.  Selecione "Salvar".

IP Range do seu provedor - All in One WP SecurityIP Range do seu provedor - All in One WP Security

Configure o "Pote de mel", marcando a opção e salvando, conforme print.

Pote de mel - All in One WP SecurityPote de mel - All in One WP Security

Passo 11: Configurar Proteção Contra Spam de Comentário.

Proteção Contra Spam de Comentário - All in One WP SecurityProteção Contra Spam de Comentário - All in One WP Security

Monitoramento de IP SPAM de comentário

Monitoramento de IP SPAM de comentário - All in One WP SecurityMonitoramento de IP SPAM de comentário - All in One WP Security

Passo 12: Diversos> Enumeração de Usuários

Enumeração de Usuários - All in One WP SecurityEnumeração de Usuários - All in One WP Security

Passo 13:  Adicione o seu site na CloudFare.

Se você estiver sob ataque, ative imediatamente a opção Under Attack Mode.

Under Attack Mode - CloudflareUnder Attack Mode - Cloudflare

Passo 14: Com frequência, faça um escaneamento do seu site, para verificar a existência de malwares , backdoors e outras pragas da internet. Para isso, use o plugin>:"Wordfence Security"

WordfenceWordfence

Conclusões finais:Essas são as regras básicas que irão proteger bastante o seu website. Se tiver feito todo o passo a passo, sua pontuação final será de 420. Veja a pontuação em:  seusite . com .br /wp-admin/admin.php?page=aiowpsec

Pontuação - All in One WP SecurityPontuação - All in One WP Security

Existem outras regras que podem ser aplicadas, mas que são de nível avançado e  aplicadas no servidor VPS. Em nova oportunidade, explicarei-as.

Por enquanto, esse passo a passo será o suficiente para blindar o seu site e deixar o hacker frustrado.

Espero ter ajudado.

Por favor, deixe suas considerações e dúvidas nos comentários.
 

Youtube video thumbnail

Inscreva-se para o Wébinar "Além da segmentação - Como criar relevância sem ser invasivo"

Compartilhar
Author Photo
Professional Digital Marketing Specialist and T.I., with 15 years of experience in the market, with skills in Live Mkt, Mkt Digital (Social Media, Customer Success, Web Content Production, Outbound Marketing & Sales, Inbound Marketing, Marketing Advanced Content, SEO, E-mail Mkt) Front-End Development, Graphic Design, Web Design, Project Management, CRM, Workflow Management and Innovations. Penguin Power Lover (Linux), open source technologies (FOSS) and involved in innovative projects.