No último artigo, ensinei boas práticas que você pode ter para manter seu site mais seguro. Lembre-se que nenhum site é uma fortaleza impenetrável, e o importante é se prevenir com um backup. Agora, vou explicar as finalidades mais comuns dos plugins de segurança e comparar alguns dos mais famosos, para você definir qual quer no seu site.
Precisamos começar lembrando que, a menos que você tenha feito algo muito sério para incomodar um hacker, não é uma pessoa que está tentando invadir seu site. É um robô. Ele vai entrar no “endereço do seu site/wp-admin”, e tentar combinações de usuários e senhas. Então, as funcionalidades a seguir trabalham para bloquear as tentativas desenfreadas de robôs, chamadas “ataques de força bruta”. Pensando nisso, para se proteger, você pode instalar plugins com:
Scanner de malware
Malware é “malicious software”, ou um programa malicioso. É a categoria geral que inclui vírus; worms, ou vermes, que são os vírus que se reproduzem; cavalos de troia; spyware, ou programas espiões; ramsomware, os programas que sequestram arquivos e só devolvem com pagamento de um resgate; adware, programas que instalam anúncios irritantes de pop-up. Plugins de segurança com scanner de malware verificam o código do seu site periodicamente procurando por qualquer uma dessas pestes. O problema é que isso exige um pouco do seu servidor e pode atrapalhar a velocidade de carregamento do site.
Firewall
Assim como uma porta corta-fogo, que deixa você entrar e sair (geralmente de escadas de emergência) mas bloqueia incêndios, as firewalls são bloqueios de invasões, mas no caso de plugins, são feitas com códigos.
Autenticação de dois fatores, ou em duas etapas
No seu login, além de colocar a senha, você precisa fazer uma segunda etapa, como colocar um código enviado para seu e-mail ou responder a uma pergunta de segurança. Algo que diminua as chances de não ser você tentando fazer login.
Troca da URL de login
Já falei sobre evitar padrões na hora de criar nome de usuário, base de dados e senhas. Você sabe que não pode ter nome de usuário “admin”, não sabe? Trocar o link padrão para fazer login de “seusite.com/wp-admin” para “seusite.com/qualquer-outra-coisa” segue a mesma linha de raciocínio: não entregar o caminho do seu painel ao robô.
Limite de tentativas de login
A gente sabe que brasileiro não desiste nunca, mas todo ser humano tem o bom senso de admitir que esqueceu a senha depois de algumas tentativas. Robôs, não. Mas o padrão do WordPress é dar chances infinitas de combinações de nome de usuário e senha. Tem plugins de segurança que fazem a tela de login ser como a de celular – depois de X tentativas erradas, aquele endereço de IP não pode tentar fazer login por um tempo determinado, ou até para sempre.
Se seu site impede que tentem combinações de nomes de usuário e senhas depois de algumas tentativas, e você não tem o nome de usuário padrão “admin” nem uma senha fácil (duas dicas que dei no episódio sobre boas práticas), quais são as chances de acertarem no chute?
Três dos plugins de segurança mais famosos
Sucuri
É a primeira vez em que sucuri é algo bom de ter por perto. A Sucuri, na verdade, é uma empresa de segurança online, e um dos serviços que eles oferecem é o plugin para WordPress. Na versão gratuita, o plugin:
- tem opções para endurecer a segurança do site;
- avisa quando tem software desatualizado;
- procura por erros no código;
- avisa se seu site entrou para a lista negra dos motores de busca;
- scanner de malware. Como eles filtram de um servidor remoto, não pesa tanto no seu servidor, mas também não é tão preciso, porque eles só conseguem pescar o que estiver no front-end do site (se você não lembra o que é front-end, releia o artigo sobre front-end e back-end).
Infelizmente, firewall, só em uma das versões pagas.
Wordfence
O Wordfence foi feito para rodar no WordPress, e a empresa se especializa nisso. Eles oferecem:
- firewall para bloquear ataques maliciosos;
- scanner de malware
- autenticação de dois fatores
- acompanhamento em tempo real do tráfego no site
- limita tentativas de login
All-in-One
O nome, “Todos em um”, já denuncia: esse plugin de segurança tenta ser o mais completo possível. Ele só tem versão gratuita, que tem:
- níveis de configuração de firewall dependendo do nível de conhecimento do usuário;
- vários aspectos de segurança no login, como limitar o número de tentativas;
- maneiras de filtrar robôs na criação de usuários, caso o seu site tenha contas de usuários, como alunos em um curso;
- a opção de banir usuários que adicionam muitos comentários de spam;
- medidas para prevenir ataques de força bruta, como trocar a URL de login
São tantas medidas que eu nem sabia como filtrar o que entraria nesse artigo.
Se eu não falei de algo importante sobre plugins de segurança, ou você tem algum plugin preferido que não mencionei, deixe nos comentários! E se você está se perguntando como você vai escolher o plugin para usar no seu site, tenho algumas sugestões: você pode pesquisar críticas desses plugins na internet, testar com qual você melhor se dá, ou ver qual impacta menos a velocidade do seu site.
Essa última parte você vai entender melhor com os próximos artigos, nos quais eu vou falar sobre otimização do seu site. Por enquanto, você já sabe: compartilhe esse conteúdo, pode ser no formato de artigo ou no vídeo que está no canal de YouTube do WordPress sem Código:
E não se esqueça de seguir o WordPress sem Código nas redes sociais!
Pingback: Page builder da SiteOrigin: vale a pena? Como funciona? – WordPress sem Código