Para a grande maior parte de sites criados com WordPress, dar pequenos passos para o proteger é suficiente para evitar que os sites sejam invadidos. Vivemos tempos atribulados onde os ataques cibernéticos têm tido um papel de destaque, portanto eu venho aqui explicar como proteger um Site WordPress de Hackers.

O WordPress é um alvo frequente de hackers. Os hackers apontam para o tema, os principais arquivos do WordPress, plugins e até a página de login.
Estas são as etapas a serem seguidas para tornar o seu site WordPress menos provável de ser invadido e conseguir recuperar mais facilmente caso isso acontecer.
Como os hackers atacam o WordPress?
Todos os sites na web estão sob ataque constante – seja um fórum phpBB ou um site WordPress – todos os sites estão a ser investigados por hackers. Não é incomum que um hacker analise milhares de páginas ou tente fazer login centenas de vezes por dia.
E isso é apenas um hacker. Lembre-se que os sites estão sob ataque de vários hackers ao mesmo tempo.
Normalmente não é uma pessoa que está a tentar hackear. Os hackers empregam software automatizado para analisar a web e investigar pontos fracos específicos no site.
Esses programas de software automatizados que analisam a web são chamados de bots. Não confundir com bots scraper (software utilizado para copiar conteúdo).
Proteja o seu site WordPress com uma firewall
Uma firewall é um programa de software que bloqueia um intruso. Na minha opinião, a melhor firewall do WordPress é um plugin chamado Wordfence.
O que o Wordfence faz é verificar se o comportamento de um visitante do site corresponde ao de um bot abusivo. Se o bot quebrar certas regras, como pedir muitas páginas da web num curto período de tempo, o Wordfence bloqueará automaticamente esse bot.
O Wordfence está também programado para permitir bots legítimos, tais como Google e Bing no site.
Para saber mais sobre este plugin, leia o meu artigo sobre como configurar Como instalar e configurar o plugin de segurança Wordfence, ou assista ao video abaixo:
Sobre User Agents (UA)
Um agente de utilizador identifica informações que um navegador envia e que informa a um determinado site qual navegador esta a ser usado (Chrome, Firefox, Vivaldi) e em qual sistema operacional está a ser operado (Windows 10, Mac OS X).
Por exemplo, esta é uma string de agente do utilizador para um navegador Safari 11 num computador Mac OS X:
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/605.1.15 (KHTML, como Gecko) Versão/11.1.2 Safari/605.1.15
Os bots usam muitos destes agentes de utilizador diferentes para enganar sites e infiltrarem-se. Por exemplo, alguns bots fingem ser um navegador do Windows XP.
A quantidade real de utilizadores reais no Win XP é próxima de zero, posso então criar uma regra no Wordfence para bloquear todos os agentes de utilizador com Windows XP como sistema operacional e com essa regra, posso bloquear milhares de bots maliciosos, independentemente do que país de origem ou endereço IP.
Os bots maliciosos podem responder mudando para outro agente de utilizador, portanto, combinando essas regras, um editor tem a chance de bloquear uma ampla variedade de bots hackers maliciosos.

E isto com a versão gratuita do Wordfence.
A versão paga pode bloquear países inteiros. Portanto, se não tiver visitantes legítimos de determinados países, poderá até bloquear todos os visitantes provenientes desses países.
Proteção e segurança do site
Outro plugin gratuito que fornece uma camada adicional de proteção é chamado Sucuri Security. A Sucuri (de propriedade da GoDaddy) ajuda a fortalecer a segurança do WordPress para impedir que bots maliciosos aproveitem certos tipos de ataques. Ele também possui um recurso de verificação de malware que verifica todos os arquivos para ver se eles foram alterados.
A Sucuri irá alertá-lo toda vez que alguém fizer login em seu site, ajudando os editores a identificar se um hacker está a tentar efectuar o login. A Sucuri também pode alertar um editor se um arquivo foi alterado, algo que os hackers fazem.
Estas são as características da versão gratuita do Sucuri:
- Auditoria de Atividade de Segurança.
- Monitoramento da integridade do arquivo.
- Verificação remota de malware.
- Monitoramento de lista negra.
- Endurecimento de Segurança Eficaz.
- Ações de segurança pós-hack.
- Notificações de segurança.
- A versão paga do Sucuri inclui um firewall de site.
Limitar entradas no seu site
O WordFence é capaz de bloquear bots que estão a preencher repetidamente nomes de utilizadores e senhas na página de login do WordPress.
Mas pode se concentrar em limitar esses logins, existe um plugin chamado Limit Login Attempts Reloaded que permite que os editores bloqueiem automaticamente todos os hackers que inserem um número definido de combinações de nome e senha com falha.
Por exemplo, pode configurá-lo para bloquear hackers após três tentativas de adivinhar a senha.
Estes são os recursos do bloqueador de login:
- Limite o número de tentativas ao efetuar login (por cada IP). Isso é totalmente personalizável.
- Informa o usuário sobre as tentativas restantes ou tempo de bloqueio na página de login.
- Log opcional e notificação por e-mail opcional.
- É possível colocar IPs e nomes de usuário na lista branca/negra.
- Compatibilidade com o Firewall do Site Sucuri.
- Proteção de gateway XMLRPC.
- Proteção da página de login do Woocommerce.
- Compatibilidade multi-site com configurações extras de MU.
- Compatível com GDPR. Com esse recurso ativado, todos os IPs registrados são ofuscados (md5-hashed).
- Suporte a origens de IP personalizadas (Cloudflare, Sucuri, etc.)
- O plug-in Limit Login Reloaded fornece uma maneira rápida de desligar bots de hackers que estão tentando adivinhar uma senha.
Faça backup do seu site WordPress
É importante criar automaticamente um backup diário do seu site. Qualquer evento catastrófico que derrube o site pode ser recuperado com um backup.
Existem muitas soluções de backup, mas a que eu achei imensamente útil é chamada UpdraftPlus WordPress Backup Plugin. UpdraftPlus tem a confiança de mais de dois milhões de usuários, é uma escolha bem vista.
Pode ser configurado para enviar os backups por e-mail todos os dias ou enviá-los para um local de armazenamento em nuvem como o Dropbox.
Atualizar todos os temas e plugins
É importante atualizar sempre todos os temas e plugins. O WordPress fornece uma maneira de atualizar todos os plugins automaticamente, o que é conveniente para editores ou empresas que não fazem login e fazem atualizações com frequência.
Ao habilitar o recurso de atualização automática, um editor pode ter certeza de ter o software mais atualizado. Ter um plugin desatualizado é uma das principais causas de ser hackeado.
Existem razões para não habilitar o recurso de atualização automática, mas os negativos tendem a acontecer raramente. Por exemplo, um plugin atualizado pode ser incompatível com outros plugins. Mas para sites que não mudam com frequência, o recurso de atualização automática provavelmente é uma boa opção.
Cuidado com plugins abandonados
Um aviso final sobre plugins abandonados. Alguns plugins podem continuar a funcionar anos depois de terem sido abandonados pelo desenvolvedor. O que pode acontecer é que esses plugins antigos podem conter uma ou mais vulnerabilidades.
Outro problema é que os hackers às vezes compram plugins antigos e atualizam os com malware e vírus.
Verifique todos os seus plugins do WordPress para se certificar de que não foram abandonados e parecem ser atualizados com bastante frequência.
Proteja seu site WordPress de hackers
Para muitos sites, basta seguir esses pequenos passos para proteger um site para evitar que os sites sejam invadidos. As versões gratuitas destes plugins fornecem uma proteção extraordinária e as versões premium oferecem ainda mais proteção.
Existem muitos plugins do tipo segurança e alguns deles contêm vulnerabilidades. Wordfence e Sucuri são, na minha opinião, as melhores escolhas para segurança do WordPress.