Apesar do WordPress, quando usado de maneira profissional, ser uma plataforma muito segura, o Plugin All in One WP Security vai adicionar mais Segurança e Firewall ao seu site.
Além de melhorar o nível de segurança, verifica vulnerabilidades, impondo práticas e técnicas de segurança recomendadas pelas versões mais recentes do WordPress.
Esse Plugin usa um sistema de classificação de pontos para medir o quão bem você está protegendo o seu site com base nos recursos ativo.
O plugin All In One do WordPress Security não diminui a velocidade do seu site e é 100% gratuito.
Configurando o All In One Security do WordPress
Configuração 1:
WP Security > Configurações > WP Meta Info
[su_spoiler title=”CLIQUE AQUI”]
Por padrão o WP mostra no código fonte a sua versão.
Hackers sabem disso e fazem buscas automatizadas por essa informação.
Essa prática é para tentar encontrar sites com a instalação desatualizada que facilite sua invasão.
Marcando esta opção, não será mais mostrado essa informação no código do seu site.
[/su_spoiler]
Configuração 2:
WP Security > Contas de Usuário
[su_spoiler title=”CLIQUE AQUI”]
Segurança do usuário administrador
Por padrão, o WordPress define o nome do usuário administrador para “admin” no momento da instalação.
Hackers tentam tirar proveito desta informação, fazendo tentativas de ataques tentando adivinhar a senha usando “admin” como o nome de usuário.
Numa perspectiva de segurança, alterar o nome de usuário padrão “admin” é uma das primeiras e mais inteligentes operações que devemos fazer.
Este recurso permitirá que você altere seu nome de usuário “admin” padrão para um nome mais seguro de sua escolha.
Segurança do nome de exibição
Quando você envia uma mensagem ou responde a um comentário, o WordPress normalmente exibirá o seu “apelido”.
Por padrão, o apelido é definido para o nome de login (ou usuário) da sua conta.
Deixar o apelido com o mesmo nome de usuário é uma prática ruim, porque dá a um hacker, pelo menos metade das credenciais de login da sua conta.
Portanto, o apelido e nome de exibição devem ser diferentes do nome de usuário.
Ferramenta de senha
Seleção de senha pobres é um dos pontos fracos mais comuns de muitos sites.
Com certeza, é a primeira coisa que um hacker vai tentar explorar ao tentar entrar no seu site.
Muitas pessoas caem na armadilha de usar uma palavra simples ou uma série de números como sua senha.
Uma senha tão previsível e simples permitirá que um hacker competente, em apenas minutos, encontre sua senha.
Hackers se utilizam de um script simples, que percorre as combinações mais comuns e fácil.
Quanto mais longo e complexo sua senha, mais difícil é para os hackers.
Procure mesclar Letras maiúsculas, minúsculas, números e caracteres especiais.
Esta seção contém uma ferramenta de “força de senha útil” que você pode usar para verificar se sua senha é suficientemente forte.
[/su_spoiler]
Configuração 3:
WP Security > Login de Usuário
[su_spoiler title=”CLIQUE AQUI”]
Uma das maneiras que hackers tentam comprometer sites é através de um Ataque de Login de Força Bruta.
Isto é onde os atacantes usam tentativas de login repetidos até eles adivinhar a senha.
Além de escolher senhas fortes, monitore e bloqueie os endereços IP que estão envolvidos em falhas de login repetidos em um curto período de tempo.
Essa é uma maneira muito eficaz de parar esses tipos de ataques.
Abaixo, temos uma guia que exibe as tentativas de login em seu site.
Na guia “Registros de falhas de login”, temos as informações que podem ser útil se você precisar fazer investigações de segurança,
Nesse espaço temos o intervalo de IP, nome de usuário e ID (se aplicável) e a hora/data da falha de tentativa de login.
Força Saída define um período de expiração para a sessão de administração do WordPress.
É uma maneira simples que o protege contra o acesso não autorizado ao seu site a partir do seu computador.
Este recurso permite que você especifique um período de tempo em minutos.
Após esse período, a sessão de administração irá expirar e o usuário será forçado a voltar a iniciar sessão.
Abaixo, temos a guia que exibe a atividade de contas registradas em seu site.
Aqui temos as informações completas de acesso ao painel administrativo do WordPress.
As informações abaixo podem ser útil se você precisa fazer investigações de segurança.
Essa página vai lhe mostrar os últimas 50 recentes login (eventos por nome de usuário, endereço IP e data / hora).
Usuários Conectados, como o próprio nome diz, é o guia que exibe todos os usuários que estão atualmente conectados em seu site.
Se você suspeitar que há um ou mais usuários que estão conectados que não deve ser, você pode bloqueá-los.
Inspecione os endereços IP e a partir desses dados, adicioná-los à sua lista negra.
Você também pode imediatamente desconecta-los clicando no link “Forçar Saída”.
Para aparecer essa opção, basta passar o mouse sobre a linha na coluna Id do usuário.
[/su_spoiler]
Configuração 4:
WP Security > Registro de Usuário
[su_spoiler title=”CLIQUE AQUI”]
Você permite que em seu site as pessoas criem suas próprias contas?
Então minimize os SPAM ou registros falsos, aprovando manualmente cada registro.
Este recurso irá definir automaticamente uma conta recém registrada para “pendente” até que o administrador a ative.
Portanto, inscritos indesejáveis não serão capazes de entrar sem a sua autorização expressa.
Você pode ver todas as contas que foram recentemente registradas através da tabela abaixo, bem como executar tarefas de ativação / desativação / exclusão em massa em cada conta.
Adicione um formulário “captcha” na página de registro WordPress.
Assim, para que os usuários possam se registrar, precisarão digitar a resposta a uma simples questão de matemática.
Portanto, adicionar um formulário “captcha” na página de registro é uma ótima técnica de prevenção de SPAM.
HoneyPot (Pote de Mel) é uma ferramenta que tem a função de propositalmente simular falhas de segurança de um sistema e colher informações sobre o invasor.
É um espécie de armadilha para invasores.
O HoneyPot não oferece nenhum tipo de proteção.
Como os robôs geralmente preenchem todos os campos de entrada de um registro, dessa forma, eles também enviarão um valor para o campo honeypot oculto.
[/su_spoiler]
Fonte: Oswaldo Lirolla
Ótimo trabalho!
Após perder muito tempo na internet encontrei esse blog
que tinha o que tanto procurava.
Parabéns pelo texto e conteúdo, temos que ter mais
artigos deste tipo na internet.
Gostei muito.
Meu muito obrigado!!!
Adorei seu conteúdo Parabéns, bem completo e dinâmico.
Era exatamente o que eu estava buscando na internet e
todas as minhas dúvidas foram tiradas aqui. Muito sucesso e
gratidão!
Fico feliz em poder ter ajudado!
Obrigada pelo conteúdo. Estou criando um canal e precisava
dessas dicas. Agora sei o que fazer. Bjos