Todo proprietário de site WordPress que conhecemos já teve aquele momento de pânico ao perceber que seu site poderia estar vulnerável a hackers. Aprendemos essa lição da maneira mais difícil no início de nossa jornada, quando vimos o que violações de segurança poderiam fazer com os negócios.
É por isso que, ao longo dos anos, mantivemos o WPBeginner seguro contra ataques repetidos usando os melhores plugins de segurança e seguindo as melhores práticas de segurança do WordPress.
A segurança do WordPress não precisa ser complicada ou cara. A maioria dos proprietários de sites pensa que precisa contratar especialistas ou gastar milhares em ferramentas de segurança, mas isso simplesmente não é verdade. Com a abordagem certa e estratégias comprovadas, você pode proteger seu site assim como nós protegemos o nosso.
Passamos anos testando plugins de segurança, implementando as melhores práticas e ajudando milhares de usuários do WordPress a proteger seus sites. Neste guia, vamos guiá-lo por cada etapa que usamos para manter nosso site seguro, para que você possa dormir tranquilamente sabendo que seu site WordPress está protegido.
Embora o software principal do WordPress seja muito seguro e auditado regularmente por centenas de desenvolvedores, ainda há muito a ser feito para manter seu site seguro.
Na WPBeginner, acreditamos que a segurança não é apenas sobre eliminação de riscos. É também sobre redução de riscos. Como proprietário de um site, há muito que você pode fazer para melhorar a segurança do seu WordPress, mesmo que você não seja um expert em tecnologia.
É por isso que montamos uma lista de verificação de segurança do WordPress com etapas acionáveis que você pode tomar para proteger seu site contra vulnerabilidades de segurança.
Para facilitar, criamos um índice para ajudá-lo a navegar facilmente pelo nosso guia definitivo de segurança do WordPress.
Índice
Noções básicas de segurança do WordPress
- Por que a segurança do WordPress é importante
- Mantenha o WordPress atualizado
- Use Senhas Fortes e Permissões de Usuário
- Entenda o Papel da Hospedagem WordPress
Segurança do WordPress em Passos Simples (Sem Código)
- Instale uma Solução de Backup do WordPress
- Instale um Plugin de Segurança WordPress Reputável
- Habilite um Firewall de Aplicação Web (WAF)
- Mova seu Site WordPress para SSL/HTTPS
Segurança do WordPress para Usuários DIY
- Altere o Nome de Usuário Padrão do Administrador
- Desabilite a Edição de Arquivos
- Desabilite a Execução de Arquivos PHP em Certos Diretórios do WordPress
- Limite as Tentativas de Login
- Adicione Autenticação de Dois Fatores (2FA)
- Altere o Prefixo do Banco de Dados do WordPress
- Proteja com Senha a Página de Administração e Login do WordPress
- Desabilite a Indexação e Navegação de Diretórios
- Desabilite o XML-RPC no WordPress
- Deslogar Automaticamente Usuários Inativos no WordPress
- Adicionar Perguntas de Segurança ao Login do WordPress
- Escanear WordPress em Busca de Malware e Vulnerabilidades
- Corrigir um Site WordPress Invadido
Pronto? Vamos começar.
Por Que a Segurança do Site é Importante
Um site WordPress invadido pode causar sérios danos à receita e à reputação do seu negócio. Hackers podem roubar informações e senhas de usuários, instalar software malicioso e até distribuir malware para seus usuários.
Pior ainda, você pode acabar pagando ransomware aos hackers apenas para recuperar o acesso ao seu site.
Todos os dias, o Google alerta 12-14 milhões de usuários que um site que eles estão tentando visitar pode conter malware ou roubar informações.
Além disso, o Google coloca em lista negra mais de 10.000 sites por dia por malware ou phishing.
Assim como proprietários de negócios com um local físico são responsáveis por proteger suas propriedades, proprietários de negócios online precisam prestar atenção extra à segurança do WordPress.
Mantenha o WordPress atualizado
O WordPress é um software de código aberto e é regularmente mantido e atualizado. Por padrão, o WordPress instala automaticamente atualizações menores.
Para lançamentos importantes, você precisa iniciar manualmente a atualização.
O WordPress também vem com milhares de plugins e temas que você pode instalar em seu site. Esses plugins e temas são mantidos por desenvolvedores terceirizados, que também lançam atualizações regularmente.
Estas atualizações do WordPress são cruciais para a segurança e estabilidade do seu site WordPress. Você precisa garantir que o core, plugins e tema do WordPress estejam atualizados.
Use Senhas Fortes e Permissões de Usuário
As tentativas mais comuns de hacking do WordPress usam senhas roubadas. No entanto, você pode dificultar isso usando senhas mais fortes e exclusivas para o seu site.
Não estamos falando apenas da área de administração do WordPress. Lembre-se de criar senhas fortes para suas contas FTP, bancos de dados, contas de hospedagem WordPress e endereços de e-mail personalizados que usam o nome de domínio do seu site.
Muitos iniciantes não gostam de usar senhas fortes porque são difíceis de lembrar. A boa notícia é que você não precisa mais se lembrar de senhas, pois pode simplesmente usar um gerenciador de senhas.
Veja nosso guia sobre como gerenciar senhas do WordPress para mais informações.
Outra maneira de reduzir o risco é não dar a ninguém acesso à sua conta de administrador do WordPress, a menos que você realmente precise.
Se você tem uma equipe grande ou autores convidados, certifique-se de entender as funções e permissões de usuário no WordPress antes de adicionar novas contas de usuário e autores ao seu site WordPress.
Entenda o Papel da Hospedagem WordPress
Seu serviço de hospedagem WordPress desempenha o papel mais importante na segurança do seu site WordPress. Um bom provedor de hospedagem compartilhada como Hostinger, Bluehost ou SiteGround toma medidas extras para proteger seus servidores contra ameaças comuns.
Aqui estão apenas algumas maneiras pelas quais boas empresas de hospedagem web trabalham nos bastidores para proteger seus sites e dados:
- Eles monitoram continuamente sua rede em busca de atividades suspeitas.
- Todas as boas empresas de hospedagem possuem ferramentas para prevenir ataques DDoS em larga escala.
- Elas mantêm o software do servidor, as versões do PHP e o hardware atualizados para impedir que hackers explorem uma vulnerabilidade de segurança conhecida em uma versão antiga.
- Elas possuem planos de recuperação de desastres e planos de acidentes prontos para serem implementados, que permitem proteger seus dados em caso de um grande acidente.
Em um plano de hospedagem compartilhada, você divide os recursos do servidor com muitos outros clientes. Existe o risco de contaminação entre sites, onde um hacker pode usar um site vizinho para atacar o seu site.
Em contraste, usar um serviço de hospedagem WordPress gerenciada oferece uma plataforma mais segura para o seu site. Empresas de hospedagem WordPress gerenciada oferecem backups automáticos, atualizações automáticas do WordPress e configurações de segurança mais avançadas para proteger seu site.
Recomendamos o SiteGround como nosso provedor preferencial de hospedagem WordPress gerenciada. Eles têm suporte responsivo, servidores rápidos e excelente confiabilidade.
Certifique-se de obter o melhor negócio usando nosso cupom SiteGround especial.
Segurança do WordPress em Poucos Passos Fáceis (Sem Codificação)
Sabemos que melhorar a segurança do WordPress pode ser um pensamento assustador para iniciantes, especialmente se você não é técnico. Adivinhe – você não está sozinho.
Ajudamos milhares de usuários do WordPress a fortalecer a segurança de seus sites WordPress.
Mostraremos como você pode melhorar a segurança do seu WordPress com apenas alguns cliques (sem necessidade de codificação).
Se você consegue clicar e apontar, você consegue fazer isso!
1. Instale uma Solução de Backup do WordPress
Backups são sua primeira defesa contra qualquer ataque ao WordPress. Lembre-se, nada é 100% seguro. Se sites governamentais podem ser hackeados, o seu também pode.
Backups permitem que você restaure rapidamente seu site WordPress caso algo ruim aconteça.
Existem muitos plugins de backup do WordPress gratuitos e pagos que você pode usar. A coisa mais importante que você precisa saber sobre backups é que você deve salvar regularmente backups completos do site em um local remoto (não em sua conta de hospedagem).
Recomendamos armazená-lo em um serviço de nuvem como Amazon, Dropbox ou nuvens privadas como Stash.
Com base na frequência com que você atualiza seu site, a configuração ideal pode ser backups diários ou em tempo real.
Felizmente, isso pode ser facilmente feito usando plugins como Duplicator, UpdraftPlus ou BlogVault. Ambos são confiáveis e, o mais importante, fáceis de usar (sem necessidade de codificação).
Para mais detalhes, veja nosso guia sobre como fazer backup do seu site WordPress.
Instale um Plugin de Segurança WordPress Reputável
Após os backups, a próxima coisa que precisamos fazer é configurar um sistema de auditoria e monitoramento que acompanhe tudo o que acontece em seu site.
Isso inclui monitoramento de integridade de arquivos, tentativas de login com falha, varredura de malware e muito mais.
Felizmente, você pode resolver isso facilmente instalando um dos melhores plugins de segurança WordPress, como o Sucuri.
Você precisa instalar e ativar o plugin gratuito Sucuri Security. Para mais detalhes, consulte nosso guia passo a passo sobre como instalar um plugin WordPress.
Agora, você pode ir para Sucuri Security » Dashboard para ver se o plugin encontrou algum problema imediato com o código do seu WordPress.
A próxima coisa que você precisa fazer é navegar até a página Sucuri Security » Settings e clicar na aba ‘Hardening’.
As configurações padrão funcionam bem para a maioria dos sites, então você pode ativá-las clicando no botão ‘Apply Hardening’ para cada opção.
Isso ajuda a proteger as áreas-chave que os hackers costumam usar em seus ataques.
Dica: Cobriremos outras maneiras de proteger seu site mais adiante neste artigo, como alterar o prefixo do banco de dados e o nome de usuário do administrador. No entanto, estes são mais técnicos e podem exigir conhecimento de codificação.
Após a parte de hardening, as outras configurações padrão do plugin são boas o suficiente para a maioria dos sites e não precisam de nenhuma alteração.
A única coisa que recomendamos personalizar são os alertas por e-mail, que podem ser encontrados na aba ‘Alerts’ da página de configurações.
Por padrão, você receberá muitos alertas por e-mail que podem sobrecarregar sua caixa de entrada.
Recomendamos habilitar alertas apenas para ações importantes sobre as quais você deseja ser notificado, como alterações de plugins e registros de novos usuários.
Este plugin de segurança do WordPress é muito poderoso, então navegue por todas as abas e configurações para ver tudo o que ele faz, como varredura de malware, logs de auditoria, rastreamento de tentativas de login falhas e muito mais.
Para mais informações, você pode ver nossa análise detalhada da Sucuri.
Habilite um Firewall de Aplicação Web (WAF)
Usar um firewall de aplicativo web (WAF) é a maneira mais fácil de proteger seu site e ter confiança na segurança do seu WordPress.
Um firewall de site bloqueia todo o tráfego malicioso antes mesmo que ele chegue ao seu site.
- Um firewall de site em nível de DNS roteia o tráfego do seu site através de seus servidores proxy na nuvem. Isso permite que ele envie apenas tráfego genuíno para o seu servidor web.
- Um firewall em nível de aplicativo examina o tráfego assim que ele chega ao seu servidor, mas antes de carregar a maioria dos scripts do WordPress. Este método não é tão eficiente quanto o firewall em nível de DNS na redução da carga do servidor.
Para saber mais, veja nossa lista dos melhores plugins de firewall para WordPress.
Usamos a Sucuri no WPBeginner por muitos anos e ainda a recomendamos como um dos melhores firewalls de aplicação web para WordPress. Recentemente, mudamos da Sucuri para a Cloudflare porque precisávamos de uma rede CDN maior com recursos mais focados em clientes corporativos.
Você pode ler sobre como a Sucuri nos ajudou a bloquear 450.000 ataques ao WordPress em um mês.
A melhor parte do firewall da Sucuri é que ele também vem com uma garantia de limpeza de malware e remoção de listas negras. Isso significa que, se você fosse hackeado sob a vigilância deles, eles garantem consertar seu site, não importa quantas páginas você tenha.
Esta é uma garantia bastante forte porque reparar sites hackeados é caro. Especialistas em segurança normalmente cobram mais de US$ 250 por hora, enquanto você pode obter todo o pacote de segurança da Sucuri por US$ 199 por um ano inteiro.
Dito isso, a Sucuri não é o único provedor de firewall em nível de DNS disponível. O outro concorrente popular é a Cloudflare. Veja nossa comparação de Sucuri vs. Cloudflare (Prós e Contras).
Mova seu Site WordPress para SSL/HTTPS
SSL (Secure Sockets Layer) é um protocolo que criptografa a transferência de dados entre seu site e o navegador do usuário. Essa criptografia dificulta que alguém espione e roube informações.
Assim que você ativar o SSL, o endereço do seu site usará HTTPS em vez de HTTP. Você também verá um cadeado ou um ícone semelhante ao lado do endereço do seu site no navegador.
Certificados SSL são tipicamente emitidos por autoridades certificadoras, e seus preços começam em US$ 80 e chegam a centenas de dólares por ano. Devido ao custo adicional, a maioria dos proprietários de sites no passado optou por continuar usando o protocolo inseguro.
Para resolver isso, uma organização sem fins lucrativos chamada Let’s Encrypt decidiu oferecer Certificados SSL gratuitos para proprietários de sites. Seu projeto é apoiado pelo Google Chrome, Facebook, Mozilla e muitas outras empresas.
É mais fácil do que nunca começar a usar SSL para todos os seus sites WordPress. Muitas empresas de hospedagem agora oferecem um certificado SSL gratuito para o seu site WordPress.
Se a sua empresa de hospedagem não oferecer um, você pode comprar um certificado SSL da Domain.com. Eles têm as melhores e mais confiáveis ofertas de SSL do mercado. O certificado vem com uma garantia de segurança de US$ 10.000 e um selo de segurança TrustLogo.
Segurança do WordPress para Usuários DIY
Se você fizer tudo o que mencionamos até agora, então você estará em uma boa situação.
Mas, como sempre, há mais que você pode fazer para fortalecer a segurança do seu WordPress.
Lembre-se de que alguns desses passos podem exigir conhecimento de codificação.
Altere o Nome de Usuário Padrão do Administrador
Antigamente, o nome de usuário padrão do administrador do WordPress era ‘admin’. Como os nomes de usuário compõem metade das credenciais de login, isso facilitava para os hackers realizarem ataques de força bruta.
Felizmente, o WordPress mudou isso desde então e agora exige que você selecione um nome de usuário personalizado no momento da instalação do WordPress.
No entanto, alguns instaladores do WordPress de 1 clique ainda definem o nome de usuário padrão do administrador como ‘admin’. Se você notar que esse é o caso, então provavelmente é uma boa ideia trocar sua hospedagem web.
Como o WordPress não permite alterar nomes de usuário por padrão, existem três métodos que você pode usar para alterar o nome de usuário.
- Crie um novo nome de usuário administrador e exclua o antigo.
- Use o plugin Username Changer
- Atualize o nome de usuário do phpMyAdmin
Cobrimos todos esses três métodos em nosso guia detalhado sobre como alterar corretamente seu nome de usuário do WordPress.
Observação: Apenas para deixar claro, estamos falando sobre alterar o nome de usuário chamado ‘admin’, não a função de usuário administrador, que também é às vezes chamada de ‘admin’.
Desabilite a Edição de Arquivos
O WordPress vem com um editor de código integrado que permite editar seus arquivos de tema e plugin diretamente da sua área de administração do WordPress.
Nas mãos erradas, este recurso pode ser um risco de segurança, e é por isso que recomendamos desativá-lo.
Você pode fazer isso facilmente adicionando o seguinte código ao seu arquivo wp-config.php ou com um plugin de trecho de código como o WPCode (recomendado):
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
Mostramos como fazer isso passo a passo em nosso guia sobre como desativar os editores de tema e plugin do painel de administração do WordPress.
Alternativamente, você pode fazer isso com 1 clique usando o recurso de Endurecimento (Hardening) no plugin gratuito Sucuri mencionado acima.
Desabilite a Execução de Arquivos PHP em Certos Diretórios do WordPress
Outra maneira de endurecer a segurança do seu WordPress é desativando a execução de arquivos PHP em diretórios onde não é necessária, como /wp-content/uploads/.
Você pode fazer isso abrindo um editor de texto como o Bloco de Notas e colando este código:
<Files *.php>
deny from all
</Files>
Em seguida, você precisa salvar este arquivo como .htaccess e carregá-lo na pasta /wp-content/uploads/ do seu site usando um cliente FTP.
Para uma explicação mais detalhada, consulte nosso guia sobre como desativar a execução de PHP em determinados diretórios do WordPress.
Alternativamente, você pode fazer isso com um clique usando o recurso de Fortalecimento (Hardening) no plugin gratuito Sucuri que mencionamos acima.
Limite as Tentativas de Login
Por padrão, o WordPress permite que os usuários tentem fazer login quantas vezes quiserem. Isso deixa seu site WordPress vulnerável a ataques de força bruta. É aqui que os hackers tentam quebrar senhas tentando fazer login com diferentes combinações.
Isso pode ser facilmente corrigido limitando as tentativas de login falhas que um usuário pode fazer. Se você estiver usando o firewall de aplicativo web mencionado anteriormente, isso será tratado automaticamente.
No entanto, se você não tiver o firewall configurado, poderá prosseguir usando as etapas abaixo.
Primeiro, você precisa instalar e ativar o plugin gratuito Limit Login Attempts Reloaded. Para mais detalhes, consulte nosso guia passo a passo sobre como instalar um plugin WordPress.
Após a ativação, o plugin começará a limitar o número de tentativas de login que os usuários podem fazer.
As configurações padrão funcionarão para a maioria dos sites. No entanto, você pode personalizá-las visitando a página Configurações » Limit Login Attempts e clicando na guia 'Configurações' no topo. Por exemplo, para cumprir as leis de GDPR, você pode marcar a caixa de seleção 'Conformidade com GDPR'.
Para instruções detalhadas, dê uma olhada em nosso guia sobre como e por que limitar as tentativas de login no WordPress.
Adicione Autenticação de Dois Fatores (2FA)
O método de autenticação de dois fatores requer 2 etapas diferentes para os usuários fazerem login:
- A primeira etapa é o nome de usuário e a senha.
- A segunda etapa exige que você use um código de um dispositivo ou aplicativo em sua posse que os hackers não possam acessar, como seu smartphone.
A maioria dos principais sites online, como Google, Facebook e Twitter, permite que você ative isso para suas contas. Você também pode adicionar a mesma funcionalidade ao seu site WordPress.
Primeiro, você precisa instalar e ativar o plugin WP 2FA – Autenticação de dois fatores. Para mais detalhes, veja nosso guia passo a passo sobre como instalar um plugin do WordPress.
Um assistente fácil de usar ajudará você a configurar o plugin e, em seguida, será apresentado um código QR.
Você precisará escanear o código QR usando um aplicativo autenticador em seu telefone, como Google Authenticator, Authy ou LastPass Authenticator.
Recomendamos o uso do LastPass Authenticator ou Authy porque eles permitem que você faça backup de suas contas na nuvem. Isso é muito útil caso seu telefone seja perdido, redefinido ou você compre um novo telefone. Todos os seus logins de conta serão facilmente restaurados.
A maioria desses aplicativos funciona de maneira semelhante e, se você estiver usando o Authy, basta clicar no botão '+' ou 'Adicionar conta' no aplicativo autenticador.
Isso permitirá que você escaneie o código QR em seu computador usando a câmera do seu telefone. Talvez você precise primeiro dar permissão ao aplicativo para acessar a câmera.
Após dar um nome à conta, você pode salvá-la.
Na próxima vez que você fizer login em seu site, será solicitado o código de autenticação de dois fatores após inserir sua senha.
Simplesmente abra o aplicativo autenticador em seu telefone e você verá um código de uso único.
Você pode então inserir o código em seu site para finalizar o login.
Altere o Prefixo do Banco de Dados do WordPress
Por padrão, o WordPress usa wp_ como prefixo para todas as tabelas em seu banco de dados WordPress.
Se o seu site WordPress estiver usando o prefixo de banco de dados padrão, isso facilitará para os hackers adivinharem qual é o nome da sua tabela. É por isso que recomendamos alterá-lo.
Você pode alterar o prefixo do seu banco de dados seguindo nosso tutorial passo a passo sobre como alterar o prefixo do banco de dados do WordPress para melhorar a segurança.
Observação: Alterar o prefixo do banco de dados pode quebrar seu site se não for feito corretamente. Faça isso apenas se você se sentir confortável com suas habilidades de codificação.
Proteja com Senha a Página de Administração e Login do WordPress
Normalmente, hackers podem solicitar sua pasta wp-admin e página de login sem quaisquer restrições. Isso permite que eles tentem seus truques de hacking ou executem ataques DDoS.
Você pode adicionar proteção adicional por senha em um nível de servidor, o que bloqueará efetivamente essas solicitações.
Basta seguir nossas instruções passo a passo sobre como proteger com senha o diretório de administração do WordPress (wp-admin).
Desabilite a Indexação e Navegação de Diretórios
Quando você digita o endereço de uma das pastas do seu site em um navegador da web, a página da web chamada index.html será exibida se ela existir. Se não existir, uma lista de arquivos nessa pasta será exibida em vez disso. Isso é conhecido como navegação de diretório.
A navegação de diretório pode ser usada por hackers para descobrir se você tem arquivos com vulnerabilidades conhecidas, para que eles possam tirar proveito desses arquivos para obter acesso.
A navegação de diretório também pode ser usada por outras pessoas para examinar seus arquivos, copiar imagens, descobrir a estrutura do seu diretório e outras informações. É por isso que é altamente recomendável desativar a indexação e a navegação de diretório.
Você precisa se conectar ao seu site usando FTP ou o gerenciador de arquivos do seu provedor de hospedagem. Em seguida, localize o arquivo .htaccess no diretório raiz do seu site. Se você não conseguir encontrá-lo lá, consulte nosso guia sobre por que você não consegue ver o arquivo .htaccess no WordPress.
Depois disso, você precisa adicionar a seguinte linha ao final do arquivo .htaccess:
Options -Indexes
Não se esqueça de salvar e fazer o upload do arquivo .htaccess de volta para o seu site.
Para mais informações sobre este tópico, veja nosso artigo sobre como desativar a navegação de diretórios no WordPress.
Desabilite o XML-RPC no WordPress
XML-RPC é uma API principal do WordPress que ajuda a conectar seu site WordPress com aplicativos web e aplicativos móveis. Ele está ativado por padrão desde o WordPress 3.5.
No entanto, devido à sua natureza poderosa, o XML-RPC pode amplificar significativamente ataques de força bruta.
Por exemplo, se um hacker tradicionalmente quisesse tentar 500 senhas diferentes em seu site, ele teria que fazer 500 tentativas de login separadas. O plugin Limit Login Attempts Reloaded pode detectar e bloquear isso.
Mas com o XML-RPC, um hacker pode usar a função system.multicall para tentar milhares de senhas com, digamos, 20 ou 50 requisições.
É por isso que, se você não estiver usando XML-RPC, recomendamos que você o desative.
Existem 3 maneiras de desativar o XML-RPC no WordPress, e cobrimos todas elas em nosso tutorial passo a passo sobre como desativar o XML-RPC no WordPress.
Dica: O método .htaccess é o melhor porque consome menos recursos. Os outros métodos são mais fáceis para iniciantes.
Alternativamente, isso é tratado automaticamente se você estiver usando um firewall de aplicativo web (WAF), como mencionamos anteriormente.
Deslogar Automaticamente Usuários Inativos no WordPress
Usuários logados às vezes podem se afastar da tela, e isso representa um risco de segurança. Alguém pode sequestrar a sessão deles, alterar senhas ou fazer alterações em suas contas.
É por isso que muitos sites bancários e financeiros desconectam automaticamente um usuário inativo. Você também pode configurar funcionalidades semelhantes em seu site WordPress.
Você precisará instalar e ativar o plugin Inactive Logout. Após a ativação, visite a página Configurações » Inactive Logout para personalizar as configurações de logout.
Basta definir a duração do tempo e adicionar uma mensagem de logout. Em seguida, não se esqueça de clicar no botão ‘Salvar Alterações’ na parte inferior da página para armazenar suas configurações.
Para obter instruções passo a passo, consulte nosso guia sobre como desconectar automaticamente usuários inativos no WordPress.
Adicionar Perguntas de Segurança à Tela de Login do WordPress
Adicionar uma pergunta de segurança à sua tela de login do WordPress torna ainda mais difícil para alguém obter acesso não autorizado.
Você pode adicionar perguntas de segurança instalando o plugin Autenticação de dois fatores. Após a ativação, você precisará visitar a página Autenticação multifator » Dois fatores para configurar as definições do plugin.
Isso permitirá que você adicione vários tipos de autenticação de dois fatores ao seu site, incluindo perguntas de segurança.
Para instruções mais detalhadas, consulte nosso tutorial sobre como adicionar perguntas de segurança à tela de login do WordPress.
Escanear WordPress em Busca de Malware e Vulnerabilidades
Se você tiver um plugin de segurança do WordPress instalado, ele verificará rotineiramente se há malware e sinais de violações de segurança.
No entanto, se você notar uma queda repentina no tráfego do site ou nas classificações de busca, talvez você queira verificar manualmente a existência de malware. Você pode fazer isso usando seu plugin de segurança do WordPress ou um dos melhores scanners de malware e segurança.
Executar essas varreduras online é bastante simples. Você apenas insere o URL do seu site, e os rastreadores deles percorrem seu site para procurar por malware e código malicioso conhecidos.
Agora, tenha em mente que a maioria dos scanners de segurança do WordPress só pode avisá-lo se o seu site contiver malware. Eles não podem remover o malware ou limpar um site WordPress hackeado.
Isso nos leva à próxima seção, a limpeza de sites WordPress com malware e hackeados.
Corrigir um Site WordPress Invadido
Muitos usuários do WordPress não percebem a importância de backups e segurança do site até que seu site seja hackeado.
Hackers instalam backdoors em sites afetados e, se esses backdoors não forem corrigidos adequadamente, seu site provavelmente será hackeado novamente.
Para usuários aventureiros e que gostam de fazer você mesmo, compilamos um guia passo a passo sobre como corrigir um site WordPress hackeado.
No entanto, limpar um site WordPress pode ser muito difícil e demorado. Nosso conselho seria deixar um profissional cuidar disso.
Se você está pagando para usar o plugin de segurança Sucuri que mencionamos acima, então o reparo de site invadido está incluído no preço.
Caso contrário, você pode conferir nossas recomendações das melhores agências de suporte WordPress para encontrar profissionais que possam consertar seu site invadido para você.
Perguntas Frequentes sobre Segurança do WordPress
Como a segurança do WordPress é tão importante, recebemos perguntas frequentes sobre o assunto. Aqui estão as respostas para perguntas frequentes sobre como manter sites WordPress seguros contra ataques.
O WordPress é Seguro para Usar?
O WordPress foi projetado para ser seguro, especialmente se você o mantiver atualizado regularmente. No entanto, por ser tão popular, hackers frequentemente visam sites WordPress.
Não se preocupe, porém. Seguindo dicas de segurança simples como as deste artigo, você pode reduzir drasticamente as chances de alguém invadir seu site.
O que Pode Colocar Meu Site WordPress em Risco?
Existem diferentes maneiras pelas quais os hackers tentam obter acesso a sites. Algumas ameaças comuns incluem adivinhar senhas, instalar software malicioso (malware) e encontrar falhas no código do seu site para roubar informações ou assumir o controle.
Com que Frequência Devo Atualizar Meu Site WordPress?
Manter seu site WordPress, temas e plugins atualizados é muito importante. Novas atualizações frequentemente incluem correções para problemas de segurança. Tente usar atualizações automáticas ou verifique por atualizações você mesmo pelo menos uma vez por semana e instale-as rapidamente.
Preciso de um Plugin Especial para Segurança?
Você não precisa usar um plugin de segurança, mas eles podem tornar seu site muito mais seguro. Plugins de segurança agem como guardas extras para o seu site, protegendo você contra hackers e malware.
Como Saber Se Alguém Hackeou Meu Site?
Se você notar coisas estranhas acontecendo em seu site, pode ser um sinal de que você foi hackeado. Isso pode incluir ver novos usuários ou arquivos que você não criou, seu site enviando visitantes para outros sites, seu site rodando lentamente ou recebendo avisos do Google ou do seu provedor de hospedagem.
O Que Devo Fazer Se Meu Site For Hackeado?
Se você acha que seu site foi hackeado, não entre em pânico, mas aja rapidamente. Você pode entrar em contato com sua empresa de hospedagem e pedir ajuda. Você também pode usar um plugin de segurança ou pedir a um especialista em segurança para limpar seu site.
Se você tem um backup do seu site, restaure-o a partir desse backup. Certifique-se de alterar todas as suas senhas, incluindo as da sua área de administração do WordPress, banco de dados e FTP.
Esperamos que este artigo tenha ajudado você a aprender as melhores práticas para proteger seu site e nossa lista de verificação de segurança recomendada para WordPress. Você também pode querer ver nossa lista de os principais motivos pelos quais sites WordPress são hackeados e nossas escolhas de especialistas dos melhores plugins de segurança para WordPress.
Se você gostou deste artigo, por favor, inscreva-se em nosso Canal do YouTube para tutoriais em vídeo do WordPress. Você também pode nos encontrar no Twitter e no Facebook.
Fred Laxton
Guia muito bom e abrangente, obrigado!
Eu adicionaria que é uma boa ideia mudar a URL de login do WP, usando um plugin como:
WPS Hide Login
Eu uso um login personalizado para cada site WP que construo usando este plugin. Isso ajuda muito (juntamente com limitadores de taxa de login como você mencionou, etc.) a bloquear tentativas de hacking.
WPBeginner Support
Changing your login URL is not a security measure, it is more for customizing the login experience. For changing the login URL we would recommend taking a look at our article below
https://www.wpbeginner.com/plugins/how-to-add-custom-login-url-in-wordpress/
Admin
Olaf
Uau, este é realmente um guia incrivelmente completo para a segurança do WordPress. Eu priorizo a segurança do site acima de tudo, mas honestamente, mesmo eu provavelmente nunca implementei tantas medidas diferentes para tornar o WordPress mais difícil de invadir. Ouso dizer que se alguém aplicar mesmo 50% das soluções e técnicas que você listou, o site deles será praticamente à prova de balas.
Moinuddin Waheed
Para a segurança do site wordpress, gostaria de chamar a atenção para o uso de plugins de firewall.
Usar o plugin certo como cloudflare cdn ou sucuri pode proteger o site de todos os tipos de ataques, pois ele filtra acessos maliciosos.
Eu uso o cloudflare há muito tempo e posso testemunhar sua usabilidade para segurança e desempenho.
Oyatogun Oluwaseun Samuel
Isso é muito perspicaz. Eu também acrescentaria que proteger o acesso à sua estação de trabalho ou laboratório de informática também é muito importante, porque hoje em dia, como parte da segurança, usamos senhas fortes para acessar nossos sites WordPress, que não são fáceis de lembrar, forçando-nos a armazená-las no navegador da web usado para acessar nossos sites WordPress. Qualquer pessoa que tenha acesso ao seu computador e a esses navegadores poderia facilmente usar o nome de usuário e a senha armazenados para fazer login no seu site WordPress e causar estragos. Em segundo lugar, acho que é realmente melhor se proteger contra ransomware, pois recuperar o acesso ao seu site WordPress não é garantido, mesmo após pagar o resgate. Por favor, posso perguntar como alguém pode saber se o Google colocou algum site na lista negra como resultado de malware e phishing?
WPBeginner Support
Você vai querer usar nosso guia abaixo se estiver preocupado com seu site após um ataque de malware ou phishing para ajudar a encontrar e se recuperar de uma penalidade.
https://www.wpbeginner.com/beginners-guide/how-to-recover-a-wordpress-site-from-a-google-search-penalty/
Admin
Oyatogun Oluwaseun Samuel
Obrigado pela sua resposta, seguirei o link e adquirirei mais conhecimento. Fico feliz com esta resposta.
uzoma ichetaonye
Uau.. este é um artigo bastante completo sobre maneiras de proteger seu site contra hackers.
MAS DEIXE-ME DAR ESTA DICA: Ao navegar na internet, NÃO, repito, NÃO clique em nenhum link aleatório que pareça muito suspeito e spam ou baixe quaisquer arquivos que apareçam inesperadamente na sua tela ou em qualquer lugar sem solicitação. Sempre opte por software genuíno em vez de um nulo.
É através deste meio que hackers obtêm acesso aos seus detalhes de login e usam esses detalhes para obter acesso ao seu site.
Cometi o erro de clicar aleatoriamente em um link específico para baixar um link específico e meu site foi hackeado, mas finalmente recuperei o controle novamente.
Portanto, apenas fique longe de acessar links não autorizados e suspeitos que prometem oferecer ofertas especiais para atraí-lo.
APENAS SEJA CUIDADOSO E SEGURO.
Dayo Olobayo
Obrigado Uzoma por compartilhar sua experiência. Este é um ótimo lembrete de que hackers podem ser sorrateiros. Você está absolutamente certo sobre evitar links e downloads suspeitos. É um passo super importante para a segurança do site. Que bom que você recuperou seu site!
Jiří Vaněk
Este é geralmente o problema com todos os plugins nulled. Muitas pessoas, pensando que estão economizando muito dinheiro em software original, optam por uma versão nulled baixada de fontes não oficiais. A parte complicada é que o plugin funciona e faz o que deveria fazer. O que é ótimo para essas pessoas é que é gratuito e elas economizaram potencialmente centenas de dólares. Mas o plugin não faz apenas o que deveria fazer - ele também faz o que o hacker quer que ele faça. Após algum tempo, esses proprietários de sites percebem que perderam o controle, e restaurar o site ao seu estado original pode custar mais do que se tivessem pago pelo plugin de uma fonte oficial. Às vezes, reparar o site pode até ser impossível. Eu vi vários sites onde, no final, todos os dados tiveram que ser excluídos, e tudo teve que começar de novo, corretamente, com plugins pagos, não nulled.
Moinuddin Waheed
Eu não poderia concordar mais com este fato de que links maliciosos são portais para ameaças de segurança.
Spammers usam links duvidosos e tentam obter acesso ao site por qualquer meio.
Portanto, não se pode enfatizar o suficiente que clique apenas no que você tem certeza e nunca clique em links aleatórios.
Mrteesurez
Nenhum negócio sério subestimará o poder da segurança em relação a sites, especificamente o WordPress. Sua popularidade o torna um centro de atenção para hackers.
Aconselho sites WordPress recém-instalados a implementar primeiro a maioria dessas medidas de segurança antes de lançar ou iniciar as operações.
Kushal Phalak
Ótimo artigo! No ano passado meu site foi hackeado (redirecionando para outro site suspeito), então acho que é essencial usar medidas de segurança. No meu caso, tive que excluir meu site e tive sorte que meu provedor de hospedagem tinha o recurso de backup. Desde então, usei o Wordfence para proteger meus sites, mas mudei para o Sucuri, pois ele forneceu serviços como proteção contra DDoS e CDN também.
Moinuddin Waheed
Eu já passei por uma situação semelhante onde eu estava trabalhando para o site de um instituto renomado.
Depois de finalizar tudo, o diretor me perguntou a data para que ele pudesse agendar um comunicado de imprensa.
Eu sugeri confiantemente uma data específica e antes da data agendada,
meu site foi corrompido e infelizmente eu não tinha nenhum plano de backup pronto.
Eu estava completamente ferrado e trabalhei o dia todo tentando restaurar para a condição de funcionamento anterior.
Acho que é necessário darmos atenção a cada detalhe relacionado à segurança.
Ayanda Temitayo
Por favor, quero perguntar se é seguro do ponto de vista de segurança mudar a URL da página de login padrão para outra URL personalizada. Como de seusite.com/wp-login para seuseite.com/outroNome-login
Uma vez usei um plugin para mudar minha URL de login para outra URL onde ninguém poderia facilmente acessar minha página de login. Então, um dos meus caras de SEO disse que seria fácil para hackers invadirem meu site se o plugin fosse vulnerável e eu perderia tudo no meu site se continuasse usando uma rota personalizada para a página de login.
Qual sua opinião sobre mudar a rota de login padrão?
WPBeginner Support
Mudar sua URL de login é uma preferência pessoal e não especificamente para segurança.
Admin
al amin Sheikh
Duas coisas importantes em um site – Performance e Segurança.
Explicou bem como podemos proteger nosso site de hackers. Obrigado, WPB.
WPBeginner Support
You’re welcome
Admin
Moinuddin Waheed
Dito corretamente sobre as duas coisas mais importantes de qualquer site.
segurança e performance.
Acho que no caso do WordPress, essas duas coisas, em grande parte, podem ser alcançadas através de um bom provedor de hospedagem e com o uso de bons temas e plugins.
Na maioria das vezes, um plugin errado pode causar uma falha de segurança sem que você perceba.
Claro, outros aspectos são igualmente importantes a serem considerados.
mohadese esmaeeli
Olá, obrigado por este excelente artigo. Também quero adicionar alguns itens a esta lista, como usar o plugin Google reCAPTCHA, empregar hardware de segurança relacionado ao servidor, examinar ferramentas de segurança dentro do ambiente de hospedagem, como Imunify360, e trocar senhas regularmente em curtos intervalos.
WPBeginner Support
Thank you for your recommendations, hosts do have different tools so it would be best to check with the hosting provider for any security tools they offer
Admin
Fajri
Uau, o método para Desativar XML-RPC no WordPress é totalmente novo para mim.
Vou tentar aplicá-lo para adicionar mais segurança aos meus sites. Obrigado por esta informação, equipe!
WPBeginner Support
Glad you found our article helpful
Admin
Murad Prodhan
WPbeginner é um dos melhores sites para nossa comunidade. Este artigo é muito útil para mim. Obrigado WPbeginner.
WPBeginner Support
You’re welcome, glad the guide was helpful
Admin
Jiří Vaněk
Este é um ótimo artigo. Há muitas coisas aqui que nunca me ocorreram, mesmo que eu tenha tentado proteger o WordPress o máximo possível. Acabei de copiar um trecho para ocultar mensagens de erro ao fazer login no WordPress e vou aplicá-lo ao meu site. Provavelmente não vai parar apenas nisso. Este artigo é realmente uma lista fantástica de ótimas dicas. Obrigado por aumentar a conscientização sobre segurança. Ótimo trabalho.
WPBeginner Support
You’re welcome, glad our guide was helpful
Admin
Etop Udoekene
Muito obrigado. Esta informação chegou para mim na hora certa, pois estou no processo de configurar meu site novamente depois de ter meu antigo laptop e celular Android roubados.
Sou muito grato.
WPBeginner Support
De nada, espero que as coisas melhorem e esperamos que nosso guia ajude você a manter seu site seguro depois disso.
Admin
Mark Ellsworth
Obrigado – muito bem organizado e abrangente! Isso definitivamente ajudará com o que é um problema contínuo e desafiador com instalações do WordPress.
WPBeginner Support
Glad you found our security guide helpful
Admin
Ifakayode Femi
Adorei este artigo e estou marcando esta página para o futuro, pois posso não me lembrar dos nomes da maioria dos plugins listados aqui, mas sinceramente este artigo ajuda muito.
Obrigado por dedicar seu tempo para compor isto
Muito obrigado
WPBeginner Support
Glad you found our guide and recommendations helpful!
Admin
Nikhil
obrigado senhor, a informação é muito importante, muito obrigado senhor
WPBeginner Support
De nada, fico feliz em saber que nosso artigo foi útil!
Admin
Yasin
Sou muito grato por este artigo, todos os créditos para wpbeginner.com.
WPBeginner Support
De nada, fico feliz que você achou nosso guia útil!
Admin
Belinda Viret
Obrigado pelas ótimas dicas!
WPBeginner Support
De nada!
Admin
Marko Kozlica
Uau! Artigo extenso e completo para iniciantes e usuários experientes do WordPress. Continuem o bom trabalho!
WPBeginner Support
Ficamos felizes que você achou nosso artigo útil!
Admin
Federico
Guia muito bom, muito útil!
WPBeginner Support
Fico feliz que você pense assim!
Admin
Claudio Lopes
Seguindo as dicas e sentindo que meu site está mais seguro.
WPBeginner Support
Que bom saber que nosso guia pôde te ajudar!
Admin
Bob De Maria
Olá,
Eu sou novato nisso e este foi meu primeiro e-mail e fico muito feliz por ter me inscrito. Você tocou em uma das minhas preocupações que está bem no topo da minha lista.
Não tenho palavras para agradecer por um tutorial muito bem escrito e muito apreciado.
Atenciosamente,
Bob De Maria
WPBeginner Support
Que bom saber que nosso guia foi útil!
Admin
Kimberly
Para sua informação: Problema de segurança no plugin WP Security Questions. Ele foi removido do wordpress.org.
WPBeginner Support
Thank you for letting us know, we will be sure to look for an alternative we would recommend
Admin
MS
Olá pessoal! Muito obrigado por esses recursos úteis. 1 pergunta, algo disso afetará o tempo de carregamento do meu site/páginas???
WPBeginner Support
Isso não deve causar uma grande mudança na velocidade do seu site.
Admin
john
Belo artigo,
Usar reCAPTCHA em formulários é útil para a segurança?
WPBeginner Support
O reCAPTCHA é mais para prevenir spam do que para segurança.
Admin
tim jackz
Olá equipe,
Se eu instalar dois plugins de segurança no meu site WordPress, haverá alguma desvantagem para o meu site?
WPBeginner Support
Você deve verificar com o suporte dos plugins que pretende usar, alguns funcionam juntos, mas outros tentam fazer as mesmas tarefas, o que pode causar conflitos.
Admin
Diego
Meu site Wordpress está rodando WordPress 5.1.8, que faz parte do branch 5.1, atualizado pela última vez em novembro de 2020. A versão atual do Wordpress é 5.6.2.
Eu não entendo bem todos esses ramos diferentes do WP.
Eu ainda preciso fazer o upgrade?
WPBeginner Support
Em vez de atualizar, você precisa atualizar seu site. Você pode dar uma olhada em nosso guia abaixo para saber como atualizar seu site com segurança:
https://www.wpbeginner.com/beginners-guide/ultimate-guide-to-upgrade-wordpress-for-beginners-infograph/
Admin
Julia
Então eu pago premium e os plugins gratuitos são apenas para negócios, há alguma maneira de contornar isso. Eles não nos deixam pagar por plugins. Premium e inferiores não têm permissão para usá-los.
WPBeginner Support
Essa seria uma limitação do WordPress.com. Para a diferença entre WordPress.com e WordPress.org, recomendamos dar uma olhada em nosso artigo abaixo:
https://www.wpbeginner.com/beginners-guide/self-hosted-wordpress-org-vs-free-wordpress-com-infograph/
Admin
Trisha
Ótimo tutorial, obrigado! Ao verificar meus logs de erro 404, vejo muitos bots acessando plugins inexistentes em minha pasta /plugins…. Não estou muito preocupado, pois os plugins que eles procuram não existem (daí o 404), MAS existe uma maneira de proteger minha pasta /plugins que não interfira nas operações normais dos plugins? Isso é aconselhável? Eu deveria me preocupar?
WPBeginner Support
Normalmente, isso não deveria ser algo com que você deva se preocupar, a menos que o plugin esteja em seu site, caso em que você pode querer garantir que o plugin esteja atualizado, caso o bot estivesse procurando por um plugin com uma vulnerabilidade de segurança.
Admin
Ish
Eu assumi um site wordpress, como eu saberia se meu site tem uma conta de backup em nuvem antes de mim?
WPBeginner Support
Você precisaria verificar seus plugins ativos e entrar em contato com seu provedor de hospedagem para ver o que está ativo em seu site.
Admin
Lu
Como você pode descobrir se seu site usa XML-RPC? Muito útil como sempre. Obrigado.
WPBeginner Support
Se sua versão do WordPress estiver atualizada, ela normalmente deverá estar ativa em seu site.
Admin
Julie Taylor
Informação muito útil. Gostaria de saber sua opinião sobre o seguinte: se eu implementasse todas essas situações de segurança, particularmente aquelas que envolvem código, etc., isso afetaria a capacidade do Google de encontrar o site e o SEO funcionar de forma eficaz?
WPBeginner Support
As recomendações de segurança não devem afetar o SEO do seu site
Admin
MooN Minhas
Obrigado por compartilhar informações interessantes.
WPBeginner Support
Glad you found it helpful
Admin
Samuel
este guia também se aplica a usuários do WordPress.com?
WPBeginner Support
No, our guides are for WordPress.org sites, you would want to reach out to WordPress.com for the hardening steps they allow
Admin
Leanne
Este é um dos melhores sites de tutoriais (sobre qualquer assunto) que já encontrei. Obrigado, indicarei o wpbeginner para outras pessoas – site incrível!
WPBeginner Support
You’re welcome and glad you’ve found our content helpful
Admin
Daniel
Vocês sabem que existem caras cobrando mais de US$ 50 ou US$ 100 para ensinar como fazer tudo isso, e vocês deram de graça! Muito obrigado, pessoal!
WPBeginner Support
You’re welcome
Admin
Poder
Obrigado pelo artigo, é muito útil
WPBeginner Support
You’re welcome
Admin
Mydas
Isso foi super útil. Tenho as habilidades de codificação para implementar tudo isso, e agora posso cuidar muito melhor das minhas e das instalações do WordPress dos meus clientes. Obrigado pelas informações, é tão completo que não acredito que seja de graça xD
WPBeginner Support
You’re welcome, glad our guide was helpful
Admin
Splendor Edesiri
Por favor, preciso de uma VPN para acessar meu site WordPress do backend como parte da segurança do meu site WordPress?
WPBeginner Support
Não, isso não é necessário
Admin
uzoma ichetaonye
Não acho que você precise de nenhuma VPN para acessar seu site pelo backend.
VPNs são usadas para disfarçar ou ajudar sua identidade ou acessar um site que foi bloqueado de sua localização.
Kam
Obrigado por este artigo. É uma leitura essencial!
Se você tem um host como o Bluehost, é essencial ter backup com um plugin como o Updraft plus + armazenamento remoto? Afinal, os provedores de hospedagem devem fornecer backup?
WPBeginner Support
Embora alguns hosts ofereçam backups, ainda recomendamos criar seus próprios backups por segurança
Admin
Kyle B.
Alterar o prefixo do banco de dados não fará diferença. Fora isso, não é um artigo ruim.
WPBeginner Support
Thanks for sharing your opinion and glad you liked our article
Admin
kalmoa
Apenas para informação, com o Nginx não há um arquivo de configuração de nível de diretório como o .htaccess do Apache. Toda a configuração tem que ser feita no nível do servidor por um administrador, e o WordPress não pode modificar a configuração, como pode com o Apache. Portanto, a parte sobre 'Desabilitar Execução de Arquivos PHP' não pode ser concluída por instalações do WordPress rodando em Nginx. Isso me inclui, que estou rodando minha instalação do WordPress no Vultr. A instalação de WordPress de um clique deles é implantada no Nginx (ubuntu 18.04)
WPBeginner Support
Obrigado por compartilhar isso para os usuários que usam especificamente o Nginx em seus sites.
Admin
Tom
Qual é o melhor método para atualizar plugins se eu tiver vários que precisam de atualização? Atualizar um de cada vez e ver se o plugin atualizado quebra alguma funcionalidade do site?
WPBeginner Support
Se você está preocupado que uma atualização possa quebrar seu site, recomendamos testar a atualização seguindo nosso guia sobre como criar um ambiente de staging abaixo:
https://www.wpbeginner.com/wp-tutorials/how-to-create-staging-environment-for-a-wordpress-site/
Admin
Kartik Satija
Artigo incrível, muito bem articulado e documentado.
Muito obrigado a todos por isso.
Mais força para vocês, continuem o bom trabalho.
Abraços,
Kartik.
WPBeginner Support
Glad you found our guide helpful
Admin
MIMIFTAH
Conteúdo muito informativo. Obrigado
WPBeginner Support
You’re welcome
Admin
Liz
Ótimo artigo. Tenho uma pergunta sobre as opções de hardening. Li que habilitar o hardening em todas as opções pode fazer com que alguns plugins ou o tema quebrem/não funcionem corretamente. Se isso acontecer, quão difícil é consertar? Parece que há mais do que apenas reverter a opção de hardening. Qualquer insight que você pudesse oferecer seria muito apreciado. Obrigado!
WPBeginner Support
Dependeria da recomendação específica de hardening, do plugin e da mensagem de erro para a dificuldade, caso um erro aparecesse. Caso contrário, a maioria dos plugins não deve ter problemas
Admin
Gary Starling
Sugestões muito úteis e bem explicadas do básico ao complexo
Obrigado pelas suas explicações
WPBeginner Support
You’re welcome, glad our article could be helpful
Admin
Andrei
Oi pessoal,
Após a primeira enumeração de usuários, um plugin de força bruta de segurança bloqueará esse endereço IP.
Se você proteger o diretório wp-admin com senha, o plugin não poderá mais bloquear esse IP.
Essa é uma avaliação correta?
WPBeginner Support
Correto, haveria uma carga semelhante a um IP bloqueado, mas se você precisar que muitos usuários novos acessem seu site, limitar as tentativas de login seria melhor do que proteger seu wp-admin com senha.
Admin
Andrei
Ok, finalmente entendi como isso funciona e estou compartilhando aqui para todos. Proteger o wp-admin com senha é feito no nível do servidor (Apache/Nginx). Se uma enumeração de usuários, força bruta não conseguir contornar o nível do servidor, ela não conseguirá tocar em PHP/MySQL. Assim, proteger o wp-admin com senha não sobrecarrega o banco de dados.
Peter
Muito informativo e útil, configurei todos os procedimentos de hardening que você mencionou, muito obrigado.
WPBeginner Support
You’re welcome, glad our guide was helpful
Admin