Novas limpezas de cópias de segurança com um clique, eliminação automática e actualizações de versões do Duplicator
Joella Dunn
Joella Dunn
John Turner
John Turner
Todos os dias, os hackers lançam milhares de ataques contra sítios WordPress em todo o mundo.
O seu sítio pode ser o próximo. Não porque esteja a ser especificamente visado, mas porque os bots automatizados procuram constantemente na Internet sítios Web vulneráveis.
Quando encontram um, atacam sem hesitar.
Um sítio Web comprometido não é apenas um inconveniente. Significa perda de receitas, reputação prejudicada e inúmeras horas gastas na recuperação. Para os proprietários de pequenas empresas, pode ser devastador.
As boas notícias? A maioria dos ataques bem-sucedidos explora vulnerabilidades conhecidas que são surpreendentemente fáceis de corrigir. Com a abordagem correta, pode reforçar o seu site WordPress e fazer com que os hackers procurem alvos mais fáceis.
Vou orientá-lo através de estratégias comprovadas para proteger o seu site WordPress contra ameaças cibernéticas. Sem jargão técnico ou procedimentos complicados - apenas passos práticos que qualquer proprietário de site pode implementar hoje.
A segurança do seu sítio Web começa agora!
A melhor forma de proteger o seu sítio web dos hackers é criar cópias de segurança automáticas. Com um plugin de cópia de segurança como o Duplicator, os seus dados serão guardados de forma consistente na nuvem. Não se esqueça de definir um ponto de recuperação de desastres para que possa recuperar todo o seu site, mesmo que este seja corrompido.
Também terá de efetuar tarefas de manutenção regulares para aumentar a sua segurança. As actualizações, as verificações de malware e as limpezas de bases de dados podem muitas vezes manter os hackers afastados do seu sítio Web.
Antes de começar a proteger o seu sítio Web, é necessário compreender as tácticas do inimigo. Os sítios Web são frequentemente pirateados devido a software desatualizado, palavras-passe fracas, vulnerabilidades não corrigidas e más práticas de segurança.
Qualquer sítio Web pode ser vulnerável a um ataque informático. O WordPress é o sistema de gestão de conteúdos (CMS) mais popular, o que o torna um alvo popular para actividades maliciosas.
Eis as razões mais comuns para os hackers acederem ao seu sítio Web:
Se não corrigir estas vulnerabilidades de segurança, pode ser vítima de ataques de força bruta, injecções de SQL, engenharia social, XSS (cross-site scripting), ransomware e outras tentativas de pirataria informática. Como resultado, pode ter problemas de segurança como malware, código malicioso e violações de dados que vazam informações confidenciais.
Não há forma de garantir que o seu sítio Web nunca será pirateado. No entanto, é possível resolver muitas vulnerabilidades e reduzir significativamente o risco de um ataque informático bem sucedido.
Utilizando boas práticas de segurança, pode minimizar a possibilidade de uma violação e melhorar a segurança geral do seu sítio Web. Tornará o seu sítio Web num alvo incrivelmente difícil para os hackers.
Como proprietário de um sítio Web, é importante proteger o seu sítio Web dos piratas informáticos. No entanto, poderá não saber como o fazer. Para evitar que os seus dados sensíveis sejam divulgados, reunimos algumas dicas de segurança úteis!
Uma das melhores formas de proteger o seu sítio Web dos hackers é fazer regularmente cópias de segurança. Isto implica guardar uma cópia funcional dos seus ficheiros e base de dados do WordPress.
Se fizer cópias de segurança do seu sítio Web com frequência, poderá restaurar os seus dados após um ataque informático. Não terá de se preocupar com a remoção de malware, uma vez que o seu sítio Web voltará a ser o que era antes da pirataria.
Para começar, recomendamos a instalação de um plugin de cópia de segurança do WordPress. Uma ferramenta como o Duplicator permite-lhe criar facilmente cópias de segurança de todo o seu site e restaurá-las sempre que necessário.
Tudo o que precisa de fazer é criar uma nova cópia de segurança. Dê-lhe um nome único e certifique-se de que todos os seus ficheiros e tabelas de bases de dados estão incluídos.
Depois, pode descarregar a cópia de segurança. Guarde-a num local seguro para ter sempre à mão os seus ficheiros de cópia de segurança.
Se não quiser preocupar-se com cópias de segurança manuais, pode configurar cópias de segurança automáticas. Ao criar um novo agendamento, irá certificar-se de que é feita uma cópia de segurança do seu sítio Web a cada hora, dia, semana ou mês.
Para o caso de alguma vez ser pirateado, é necessário ter um plano de recuperação de desastres em vigor. Antes de ocorrer um incidente, pode definir uma cópia de segurança recente como ponto de recuperação de desastre.
No registo de cópias de segurança do Duplicator, clique no ícone azul de recuperação de desastres.
Em seguida, defina a recuperação de desastres.
Depois de o fazer, pode recuperar uma cópia de segurança de duas formas diferentes. Uma opção é copiar e guardar a ligação de recuperação de desastres. Se a colar numa janela do browser, o assistente de recuperação é imediatamente iniciado.
Também pode descarregar o lançador de recuperação. Guarde este ficheiro HTML e abra-o sempre que precisar de recuperar o seu sítio.
A recuperação de desastres pode ser uma boa opção para resolver hacks, especialmente se estiver bloqueado fora do seu painel de controlo do WordPress. Basta colar o link de recuperação ou utilizar o iniciador de recuperação para recuperar imediatamente o acesso.
Se ainda conseguir iniciar sessão no WordPress, pode restaurar o seu site original com um clique. Aceda à página Cópias de segurança, encontre uma cópia de segurança limpa e prima Restaurar.
Ao restaurar uma cópia de segurança, removerá automaticamente qualquer atividade maliciosa que tenha ocorrido após a criação da cópia de segurança. No entanto, continue a ler este guia para aumentar a sua segurança e evitar futuras tentativas de pirataria informática.
A atualização do software do seu sítio Web - incluindo temas, plugins e o núcleo do WordPress - é uma parte importante da segurança do sítio Web. Os piratas informáticos exploram frequentemente vulnerabilidades conhecidas em software desatualizado.
Ao manter tudo atualizado, elimina potenciais pontos de entrada para ciberataques. As actualizações de software vêm frequentemente acompanhadas de correcções de segurança, o que confere uma proteção adicional ao seu sítio Web.
Pode gerir as suas actualizações de software na página Actualizações do seu painel de controlo do WordPress. Verá todas as novas versões do núcleo, plug-ins e temas do WordPress.
Para além de manter o seu software atualizado, é importante eliminar todos os plugins e temas que não esteja a utilizar ativamente.
As vulnerabilidades em plug-ins desatualizados podem ser exploradas para comprometer a segurança do seu site. Isso pode levar a violações de dados, acesso não autorizado e até mesmo distribuição de malware.
Ao remover os plug-ins não utilizados, minimiza os potenciais riscos de segurança e cria uma melhor defesa contra as ameaças de cibersegurança.
A sua primeira linha de defesa contra os hackers é uma palavra-passe forte. Pode sentir-se tentado a escolher uma palavra-passe simples e curta porque é fácil de memorizar, mas isso pode deixar o seu sítio vulnerável.
O WordPress facilita a utilização de uma palavra-passe de administrador forte. Ao alterar a sua palavra-passe, o WordPress gera automaticamente uma com uma combinação única de letras, números e caracteres especiais.
Recomendamos a utilização de um gestor de palavras-passe para guardar as suas palavras-passe em segurança. Para garantir que mais ninguém conhece as suas credenciais de administrador, deve também atribuir aos membros da sua equipa as suas próprias funções e permissões de utilizador.
Não se esqueça de que também precisa de palavras-passe fortes para o painel de controlo do seu alojamento, para a conta FTP e para o endereço de correio eletrónico. Desta forma, os hackers não conseguirão entrar e explorar nenhuma das suas contas.
O WordPress costumava atribuir automaticamente "admin" como o seu nome de utilizador predefinido. Felizmente, agora permite-lhe escolher um nome de utilizador personalizado.
Se o seu site já existe há algum tempo, é possível que ainda esteja a iniciar sessão com "admin" como nome de utilizador. Isto pode facilitar aos hackers a exploração do seu sítio Web, uma vez que "admin" será uma das suas primeiras suposições.
Também pode ter um nome de utilizador "admin" se tiver utilizado a funcionalidade de instalação com um clique do seu alojamento web. Neste caso, deverá alterar o seu nome de utilizador do WordPress para proteger o seu sítio Web.
O seu fornecedor de alojamento web pode ser decisivo para o seu sítio web. Com a escolha errada, pode não ter precauções de segurança suficientes para proteger o seu sítio Web dos piratas informáticos.
Eis algumas caraterísticas de segurança essenciais que devem ser fornecidas pelo seu plano de alojamento WordPress:
Se acabou de criar um pequeno blogue, pode ter escolhido um plano de alojamento partilhado devido à sua acessibilidade. No entanto, irá partilhar recursos com muitos outros sítios Web. Isto significa que, se outro sítio no seu servidor for pirateado, os seus dados podem estar em risco.
Para aumentar a sua segurança, recomendamos a mudança para um novo alojamento web. Opções como Bluehost, SiteGround e Hostinger possuem recursos de segurança de alta qualidade para evitar invasões e outros ataques cibernéticos.
Também pode querer considerar um fornecedor de alojamento gerido como o WP Engine. Este fornece frequentemente uma plataforma mais segura com firewalls, certificados SSL, cópias de segurança automáticas e actualizações automáticas.
Para além de um bom alojamento web, é necessário instalar um plugin de segurança WordPress. Estas ferramentas de segurança de sítios Web podem detetar e impedir actividades maliciosas, fornecer proteção de firewall e até efetuar análises de malware.
Um dos melhores plugins de segurança disponíveis atualmente é o Sucuri Security. Existe uma versão gratuita que oferece verificação de malware, monitorização de listas de bloqueio, reforço de segurança e acções para depois de o seu site ser pirateado.
Depois de instalar o Sucuri, tudo o que precisa de fazer é abrir as definições e encontrar a opção Hardening. Aqui, pode percorrer a lista de funcionalidades de segurança e premir Aplicar endurecimento ao lado de cada uma.
Isto protegerá o seu sítio Web contra técnicas comuns de pirataria informática. No entanto, tenha em atenção que terá de atualizar para a versão premium para aceder à Web Application Firewall (WAF).
Uma Firewall de Aplicação Web (WAF) é uma poderosa ferramenta de segurança concebida para proteger os sítios Web de uma vasta gama de ameaças e ataques informáticos. Uma firewall filtra o tráfego de entrada e de saída, bloqueando pedidos maliciosos, tentativas de acesso não autorizado e actividades suspeitas.
Como mencionámos anteriormente, Sucuri é um plugin de segurança abrangente que vem com uma firewall. Este recurso de segurança é tão útil que ajudou o WPBeginner a bloquear 450.000 hacks em apenas 3 meses.
Aumente a segurança do seu WordPress com a firewall da Sucuri hoje mesmo!
O SSL (Secure Sockets Layer) é um tipo de encriptação que protege a transferência de dados entre o seu sítio Web e um navegador Web. Garante que os dados trocados entre estes dois pontos permanecem confidenciais e protegidos de partes não autorizadas, como os hackers.
Para um sítio Web WordPress, a encriptação SSL não é apenas um luxo; é uma necessidade.
Esta precaução de segurança torna quase impossível aos piratas informáticos interceptarem informações sensíveis como palavras-passe, detalhes de cartões de crédito e dados pessoais. É importante para os sítios Web que gerem registos de utilizadores, credenciais de início de sessão ou transacções de comércio eletrónico.
Depois de ativar a encriptação SSL, o seu sítio Web utilizará HTTPS em vez de HTTP. Verá também um cadeado junto ao seu endereço Web, indicando aos visitantes que o seu sítio é seguro.
Os preços dos certificados SSL costumavam variar entre 80 e centenas de dólares por ano. No entanto, uma organização sem fins lucrativos chamada Let's Encrypt começou a oferecer opções gratuitas. Isto levou a que as empresas de alojamento web incluíssem certificados SSL nos seus planos.
Se precisar de começar a utilizar SSL, verifique se o seu anfitrião oferece um gratuitamente. Caso contrário, pode comprar um em Domain.com.
Quando tiver um plug-in de segurança instalado, este verificará regularmente o seu sítio Web em busca de malware e enviar-lhe-á uma notificação se encontrar algum. No entanto, pode notar uma queda no tráfego orgânico ou na classificação SEO e querer verificar a existência de malware.
Normalmente, o seu plug-in de segurança permite-lhe iniciar uma nova verificação de malware. Em alternativa, pode utilizar um scanner de malware online.
Utilizando uma ferramenta como o scanner de malware da Sucuri, pode introduzir o URL do seu sítio web. Depois, a ferramenta informá-lo-á se detectou malware ou se foi colocado na lista negra dos motores de busca.
Isto permite-lhe verificar gratuitamente a segurança do seu WordPress em qualquer altura. Se a Sucuri detetar algum malware, pode começar a limpar o seu site ou restaurar uma cópia de segurança sem erros.
Outra coisa que pode fazer para proteger o seu sítio Web dos piratas informáticos é limitar as tentativas de início de sessão. Esta medida de segurança evitará ataques de força bruta, uma forma de pirataria informática em que um bot adivinha as palavras-passe até o seu sítio ser violado.
Por defeito, o WordPress permite tentativas de início de sessão ilimitadas. No entanto, pode definir facilmente um limite com o plugin Limit Login Attempts Reloaded. Esta ferramenta gratuita bloqueia todos os endereços IP que tentem iniciar sessão no seu sítio Web demasiadas vezes.
A autenticação de dois factores (2FA) adiciona uma camada extra de segurança aos logins do WordPress. Os utilizadores têm de fornecer uma segunda informação, como um código enviado para o telemóvel, para além da palavra-passe.
A forma mais fácil de configurar a 2FA é instalar um plugin como o WP 2FA. Pode utilizá-lo para ativar a autenticação de dois factores para todos os utilizadores que tentem entrar no seu sítio WordPress.
A maioria dos sítios Web WordPress utiliza um URL de início de sessão que termina com wp-admin ou wp-login. Uma vez que o WordPress é o CMS mais popular, os hackers saberão como ver a sua página de início de sessão e começarão a tentar entrar no seu sítio.
Para adicionar uma camada extra de segurança, pode ocultar a sua página de início de sessão do WordPress. Isto implica a utilização de um URL de início de sessão personalizado em vez das opções predefinidas.
Com o plugin WPS Hide Login, poderá atualizar facilmente o seu URL de início de sessão. Torna a sua página wp-login.php inacessível e redirecciona para o seu URL de login personalizado.
No seu painel de controlo do WordPress, verá editores de código incorporados para editar os seus ficheiros de temas e plugins. Se um hacker aceder à sua área de administração, poderá utilizar estes editores para danificar o seu sítio Web.
Para evitar que isto aconteça, considere a possibilidade de desativar esta funcionalidade. Tudo o que precisa de fazer é adicionar este código ao seu ficheiro wp-config.php:
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );Se instalou o Sucuri, também pode desativar a edição de ficheiros nas definições de reforço da segurança. Isto impedirá que qualquer utilizador não autorizado edite os ficheiros do seu site!
Uma forma de os hackers explorarem o seu sítio Web é adicionando um ficheiro a um diretório e executando o respetivo PHP. Uma vez que o WordPress permite a escrita em alguns diretórios, esta funcionalidade pode ser abusada por utilizadores maliciosos.
Felizmente, pode desativar a execução de ficheiros PHP para quaisquer diretórios que não necessite. Isso impede que qualquer arquivo PHP seja executado nesses diretórios específicos.
Para o fazer, abra um editor de texto e adicione este código:
<Files *.php>
deny from all
</Files>Guarde este ficheiro como.htaccess e carregue-o para a sua pasta de uploads.
Para obter um guia passo-a-passo completo sobre este processo, pode gostar deste post sobre como desativar a execução do PHP em determinados diretórios do WordPress.
Neste post, listámos várias dicas para manter o seu site protegido contra ataques informáticos. Se já passou por esta lista, aqui estão alguns passos adicionais que pode tomar:
Pode tornar o seu sítio Web mais seguro criando cópias de segurança regulares, efectuando actualizações, utilizando palavras-passe fortes e instalando plug-ins de segurança. Isto irá aumentar significativamente a segurança do seu sítio Web.
Sim, um site hackeado pode ser recuperado. Certifique-se de que instala um plug-in de cópia de segurança como o Duplicator Pro e cria cópias de segurança de rotina do seu site. Depois de definir a cópia de segurança sem erros mais recente como ponto de recuperação, cole o URL do ponto de recuperação numa janela do browser. Pode então utilizar o assistente de recuperação do Duplicator para repor o seu site.
Sugestão: Se não definiu um ponto de recuperação antes de ser pirateado, não se preocupe! Encontre os ficheiros de cópia de segurança mais recentes que descarregou para o seu computador ou guardou na nuvem. Depois, utilize um cliente FTP ou um gestor de ficheiros para voltar a carregar estes ficheiros no seu site.
O seu Web site pode ter sido pirateado se estiver a ver alterações invulgares ou não autorizadas, tais como novas páginas, código desconhecido, redireccionamentos inesperados ou anúncios indesejados. Também pode receber alertas do seu fornecedor de alojamento, do plug-in de segurança ou do Google.
Pode verificar a segurança do seu sítio Web efectuando uma verificação com um plug-in de segurança do WordPress. Em alternativa, um scanner de malware de terceiros pode ajudá-lo a identificar quaisquer ameaças à cibersegurança.
Neste momento, já sabe perfeitamente como proteger o seu sítio Web dos hackers!
Já que está aqui, talvez goste destes tutoriais extra sobre WordPress:
Está pronto para proteger o seu sítio Web contra futuras tentativas de pirataria? Descarregue Duplicator Pro para guardar cópias de segurança regulares e repor facilmente o seu site sempre que precisar!
Divulgação: O nosso conteúdo é apoiado pelos leitores. Isto significa que, se clicar em algumas das nossas hiperligações, podemos ganhar uma comissão. Apenas recomendamos produtos que acreditamos que acrescentam valor aos nossos leitores.
