fbpx

10 Melhores Práticas de Segurança para manter seu site seguro

Uma lista completa com as melhores práticas de Segurança para manter o seu site seguro. Confira e aplique em seu site.
scott-webb-yekGLpc3vro-unsplash
Compartilhar no whatsapp
Compartilhar no telegram
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no facebook
Compartilhar no pinterest
Compartilhar no email
Compartilhar no reddit

O seu site é um dos seus maiores ativos na internet. E ter um site seguro é essencial para a reputação da sua marca e transmitir autoridade para os seus visitantes e futuros clientes. Pensando nisso, é crucial manter e providenciar medidas para manter o site seguro e protegido de ameaças que possam afetar esta credibilidade.

Neste artigo, vou listar algumas das melhores práticas e ações de Segurança para manter o seu site seguro e minimizar as chances de ser hackeado.

As 10 melhores práticas de Segurança para seu site

Aqui estão as 10 melhores práticas que considero essenciais para proteger o seu site que você mesmo pode implementar para mantê-lo protegido.

1. Instale um certificado SSL

O Certificado SSL irá adicionar o famoso “cadeado verde” na barra de endereço do navegador. Mas a principal tarefa dele é encriptar os dados transacionados no seu site. Dessa forma, tornando os dados dos seus clientes mais seguros e também evitando que o Google identifique o site como perigoso, prejudicando a posição do site nas páginas de resultado de pesquisa (SERP).

2. Use uma Hospedagem segura

Garanta que seu site esteja seguro com uma hospedagem de confiança. Certifique-se de que os servidores da empresa tenham recursos para impedir ataques, como Firewall, Certificado SSL, Proteção contra DDoS, monitoramento de rede e também boas práticas como backups frequentes. Os protocolos da segurança da hospedagem é a primeira linha de defesa.

Aqui no Brasil recomendo o serviço de três empresas que contam com esses recursos citados acima:

3. Configure um WAF (Web Application Firewall)

Um WAF é um método seguro de impedir ataques maliciosos no site. Ele é uma camada a mais de proteção, além do firewall do servidor de sua hospedagem e do CDN (se estiver configurado).

O plugin da Sucuri oferece recurso de WAF, importante para manter o site seguro
O plugin da Sucuri oferece recurso de WAF

Ele trabalha monitorando e bloqueando automaticamente qualquer tipo de tráfego potencialmente malicioso. Dentro da esfera do WordPress, temos algumas alternativas pagas (como Sucuri e VirusDie) e gratuitas, como o Wordfence.

Configurar um Firewall no WordPress é uma prática super recomendada para garantir a segurança do site.

4. Escaneie seu site com frequência

É importante não se esquecer de escanear o seu site com frequência. Assim você pode facilmente identificar potenciais problemas em arquivos do seu site. Normalmente os plugins como Wordfence ou Sucuri também alertam sobre vulnerabilidades no seu site, então é importante tê-los ativos e notificando esse tipo de informação para você manter o seu site protegido.

Em nosso canal do Telegram você é avisado sempre que houver uma falha de segurança grave em algum plugin ou tema do WordPress.

5. Faça backup do seu site

Já expliquei aqui no meu blog os motivos de porquê você precisa fazer com frequência backups no WordPress. Principalmente depois de realizar procedimentos de escaneamento e remoção de malware e vírus do seu site, porque assim você mantém um snapshot do momento em que seu site está limpo e livre de ameaças para caso seja necessário restaurar o seu site após uma invasão. Tenha isso em mente sempre.

6. Implemente um bloqueio de login

Os hackers invasores sabem que as pessoas tem dificuldade de gravar senhas. Por conta dessa dificuldade essas mesmas pessoas acabam optando por utilizar senhas fracas e que são facilmente descobertas após algumas tentativas feitas por robôs construídos com esse objetivo.

LoginLockdown ajuda a manter o seu site seguro
LoginLockdown bloqueia tentativas sucessivas de login no site

Uma forma de impedir esta prática é limitar a quantidade de tentativas de login que um usuário (ou um robô) pode tentar. Eu costumo definir uma restrição de apenas três tentativas. Se a pessoa errar o login ou a senha nessas tentativas, o IP é automaticamente bloqueado.

Você pode configurar esse método através de plugins como Siteground Security e Login Lockdown.

7. Habilite o Múltiplo Fator de Autenticação (MFA) para os Administradores

O mais recomendado pensando em gestão de usuários no WordPress é ter apenas um único usuário Administrador para resolver problemas mais técnicos do site e os demais serem usuários Editores, para construção de páginas e publicação de Artigos. Mas em sites pequenos não costumamos fazer isso. Isso faz diferença pensando em ações para manter o site seguro.

Manter a segurança do usuário Administrador é importante porque ele tem poder total dentro do site. Uma boa técnica para garantir isso, além de usar uma senha forte, é habilitando o MFA (múltiplo fator de autenticação).

O MFA adiciona uma camada a mais de verificação na ação de autenticar (entrar) no site. Na maioria das vezes, através de um outro aparelho que você tem posse, como um aparelho celular.

Através de aplicativos como o Microsoft Authenticator ou o Authy da Twilio, você pode “parear” uma chave aleatória do seu site com o aplicativo. Para fazer isso será necessário usar um plugin de segurança no seu site WordPress, como o Wordfence ou o Siteground Security (que já citamos em alguns pontos acima).

8. Desabilite a Navegação e Indexação de Diretórios

O termo em inglês para esta ação de prevenção se chama “Directory Indexing” (ou “Directory Browsing”). Basicamente significa bloquear que os diretórios do seu site sejam acessados publicamente.

Faça um teste com seu site. Acesse a seguinte URL e veja se ele exibe uma pasta ou se ele mostra uma página 404:

https://seudominio.com.br/wp-includes/css/

Se ele apresentou uma página 404 significa que seu diretório está protegido de ser listado. Caso contrário, qualquer pessoa no mundo conseguirá ter acesso para visualizar os seus arquivos do WordPress. Você pode resolver isso rapidamente adicionando esse trecho no seu arquivo .htaccess:

Options -Indexes

9. Atualize o WordPress, Plugins e Temas

O motivo mais comum para um site WordPress ser hackeado são plugins ou temas desatualizados. As atualizações são feitas com frequência para manter o site seguro e corrigir vulnerabilidades importantes. Um site que não é atualizado é um “prato cheio” para que possam invadi-lo sem muitas dificuldades.

Por isso é comum vermos sites muito antigos fora do ar ou hackeados.

Então atualize sempre que houver uma atualização de segurança para garantir a proteção do seu site. Aqui no site eu já falei também sobre os cuidados que você precisa ter ao atualizar o WordPress.

10. Monitore e teste seu site

Tenha o hábito de acessar o seu site frequentemente como um visitante faria. A melhor maneira de perceber problemas no seu site é através da reprodução da experiência de usuário.

Problemas graves como redirecionamento para outros sites e conteúdos estranhos nas pesquisas do Google (SERP) só são percebidos executando estes procedimentos.

Conte com ajuda de um Especialista WordPress

Se você tem pouco tempo para gerenciar e cuidar do seu site o ideal é solicitar o apoio de um Especialista em WordPress. Assim você pode otimizar o seu tempo cuidando do seu negócio e mantém a certeza que tem um site seguro. Se você busca essa comodidade entre em contato comigo e vamos agendar uma conversa.

Caso você já tenha percebido um sinal de que seu site foi hackeado não existe em entrar em contato o mais rápido possível.

Imagem de Capa por Scott Webb

Fellipe Soares

Graduado em Análise e Desenvolvimentos de Sistemas, ajuda empresas e profissionais liberais na criação de soluções com WordPress desde 2011.

Facebook | Instagram | LinkedIn | Blog

Deixe um comentário

O seu endereço de e-mail não será publicado.