backup completo do site e tenha apenas que restaurá-lo. Mas para a coisa ficar pior, geralmente o alvo dos hackers é o backend, o painel administrativo do WordPress. O motivo disso é claro, o controle total sobre o site. Acreditamos que você deva ter uma preocupação extra com o Wp-Admin (Administração do WordPress). Então, preparamos este artigo para que você possa conhecer algumas medidas de segurança para proteger a Área Administrativa do WordPress. 
Nós não estamos dizendo que você deva seguir todas essas dicas que compilamos neste artigo, mas você deve ter algumas destas implementadas no seu WordPress. Tenha a certeza de que, quanto mais passos você tomar, mais difícil se tornará para os hackers.
É muito óbvio que, para acessar o painel de administração do WordPress, todos tem que digitar a URL do site com ‘/wp-login.php‘. Agora, se você usou uma mesma senha em mais de um local, e esta foi quebrada, então fica fácil para alguém macilicoso hackear seu site. Um plugin chamado Stealth Login Page permite criar URLs personalizadas para o login, logout, administração e registro para o seu blog WordPress. Você também pode ativar o “Stealth Mode“, que vai evitar que os usuários sejam capazes de acessar o ‘wp-login.php‘ diretamente. Você pode, então, definir a sua url de login para algo mais “enigmático”. Isso não vai garantir o seu site perfeitamente, mas se alguém conseguir quebrar sua senha, isso pode dificultar para ele encontrar onde realmente está o login. Isso também impede que quaisquer bots, que são usados para propósitos maliciosos, acessem seu arquivo ‘wp-login.php‘ e tente quebrá-lo. Discrição Acesso
Este é um passo que parece ser muito óbvio, mas é preciso mencioná-lo, pois ainda assim pode ser insuficientemente enfatizar. Não use a mesma senha em outros lugares. Tente fazer com que cada senha seja diferente e difícil de adivinhar. Use o detector de força do WordPress – ‘WordPress Password Strength Detector‘ – para a sua vantagem e crie uma senha forte. Outra coisa que você deve fazer, é mudar sua senha periodicamente, de modo que, mesmo que alguém tenha adivinhado sua senha, seja inútil para eles, uma vez que você tenha alterado-a. Senha forte Veja um excelente guia para Criar Senhas Fortes (em inglês).
Às vezes, o hacker pode pensar que sabe a senha, ou ele pode desenvolver um script para adivinhar a senha, o que é pior. Nesse caso, o que você precisa fazer é limitar as tentativas de login. Você pode facilmente fazer isso, usando um plugin chamado Limit Login Attempts, que irá bloquear um usuário se eles digitar a senha errada mais do que a quantidade de vezes especificada no plugin. Ele será bloqueado por um período de tempo também especificado. Você pode controlar essas configurações através do painel wp-admin. Entrar Lockdown
SSL Login Páginas Você pode fazer o login para Painel de Administração do WordPress através dos canais criptografados com SSL, ou seja, suas URLs de sessão terão ‘https://‘. Você deve confirmar com o seu provedor de hospedagem se você possui um SSL compartilhado ‘Shared SSL‘, ou se possui um certificado SSL próprio. Depois de ter confirmado cole o seguinte código no seu arquivo ‘wp-config.php‘:
define(’FORCE_SSL_ADMIN’, true);
Há também um plugin chamado Admin SSL, que irá forçar SSL em todas as páginas. Fica mais fácil se você usar este plugin, mas ele só é compatível com a versão 2.7 ou superior.
Não há nada de errado em ter duas senhas. Isso só acrescenta um nível extra de segurança para a Área Administrativa do seu WordPress. Isso pode ser feito usando um plugin chamado AskApache Password Protect. Ele criptografa sua senha e cria o arquivo ‘.htpasswd‘, bem como define as permissões do arquivo com segurança avançada corretas. Você também pode usar a Proteção com Senha de um Diretório do cPanel se você estiver usando uma Hospedagem com cPanel, como por exemplo a Hostagor, para proteger, com senha, o diretório ‘wp-admin‘. Pergunte Apache Proteja
Você pode limitar o acesso ao seu Wp-Admin e só permitir que determinados endereços IP consigam acessá-lo. Tudo que você tem a fazer é criar um arquivo .htaccess na pasta ‘/wp-admin/‘, se já não houver um. Cole o seguinte código:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Controle de Acesso Admin do WordPress" AuthType Basic <LIMIT GET> order deny,allow deny from all # Permitir o IP de Asllan allow from xx.xx.xx.xxx # Permitir o IP de Aline allow from xx.xx.xx.xxx # Permitir o IP de Casa allow from xx.xx.xx.xxx # Permitir o IP do Trabalho allow from xx.xx.xx.xxx </LIMIT>
Defina o endereço IP que pode ter acesso. A desvantagem para este hack é que, se você quiser acessar o painel de administração de algum outro lugar, você não será capaz de fazê-lo a menos que você adicione esse IP extra no seu arquivo .htaccess. Fonte
Este é o primeiro usuário que é criado quando o WordPress é instalado. Você nunca deve usar ou manter este usuário. Isso está nas principais causas de invasão. Você deve criar um outro usuário utilizando o painel administrativo do seu WordPress, e atribuir funções de administrador para ele. Tente fazer com que este nome de usuário seja algo não tão óbvio, e por isso, seja mais difícil para o hacker adivinhar. Em seguida, exclua o usuário admin completamente para ficar seguro.
Mensagem de erro Por padrão, quando você digita uma senha errada ou um nome de usuário inválido, você recebe uma mensagem de erro na página de login. Então, se um hacker obtém uma coisa certa, a mensagem de erro irá ajudá-lo a identificar isso. Portanto, recomenda-se remover essa mensagem de erro completamente. Abra seu arquivo functions.php, localizado na pasta do seu tema e cole o seguinte código:
add_filter('login_errors',create_function('$a', "return null;"));
Um plugin chamado Secure WordPress também faz isso e tem outras características também. Confira-o para ver se você se te interessa.
Quando você não tem SSL habilitado, este método vem bem a calhar. Um plugin que permite que você faça este trabalho, é o plugin chamado Semisecure Login Reimagined. O Semisecure Login Reimagined aumenta a segurança do processo de login usando uma chave pública RSA para criptografar a senha no lado do cliente quando um usuário fizer login O servidor decifra a senha criptografada com a chave privada. O JavaScript é necessário para ativar a criptografia.
O plugin AntiVirus para WordPress é uma solução inteligente e eficaz para proteger seu blog contra exploits e spam injections. O recurso especial deste plugin é o teste manual com resultado imediato dos arquivos infectados e verificação automática diária com notificação por e-mail.
Por último, mas definitivamente não menos importante, é manter-se atualizado com a última versão do WordPress, porque a cada versão é feito um release. Sendo assim, o WordPress também inclui nos releases os bugs e exploits da versão anterior, o que coloca sua área administrativa em risco, se você não atualizar.
O plugin One Time Password permite que você faça o login para o seu blog WordPress usando senhas válidas para uma única sessão. Senhas de uso único previnem o roubo da sua senha principal do WordPress em ambientes menos confiáveis, como cybercafés e lan houses, por exemplo, por keyloggers.
O WordPress Firewall Plugin detecta, intercepta e registra parâmetros de aparência suspeita e impede-os de comprometer o WordPress. Ele também protege a maioria dos plugins do WordPress contra os mesmos ataques. Opcionalmente, é possível configurar como o primeiro plugin a ser carregado, para o máximo de segurança. Ele vai te dar uma opção de enviar um e-mail para você com informações úteis sobre o bloqueio de um ataque em potencial e muito mais.
É isso! Esperamos que essas 13 dicas sobre como Proteger a Área Administrativa do WordPress tenham sido úteis para você. Vale ser dito que, elas não servem de nada apenas aqui neste artigo se você não colocá-las em prática. Se não puder tomar estas medidas de segurança agora, guarde este artigo nos favoritos, para que possa voltar nele em breve. Se achar que estas dicas foram úteis para você e também possa ajudar seus amigos, compartilhe com eles.
01. Crie Links de Login Personalizados
02. Escolha uma Senha forte
03. Limite de Tentativas de Login
04. Use Páginas de Login Seguras com SSL
05. Proteja o Diretório WP-Admin com Senha
06. Limite o acesso através do endereço IP
07. Nunca use o Nome de Usuário “admin”
08. Remova a Mensagem de Erro na Página de Login
09. Use Senha Criptografada no Login
10. Proteção Antivírus do WordPress
11. Fique Atualizado com as Últimas Versões do WordPress
12. One Time Password
13. WordPress Firewall Plugin
Quais são os truques que você usa para Proteger a Área Administrativa do seu site WordPress? Escreva nos comentários abaixo.
Clique aqui e, em seguida, clique em Permitir na caixa que aparecerá na parte superior da janela, próximo à barra de endereços.
Se você está aproveitando nosso conteúdo gratuito, vai adorar os benefícios exclusivos que oferecemos aos nossos assinantes!
Não perca a oportunidade de maximizar seu potencial no WordPress. Clique no botão abaixo para se tornar um assinante e leve suas habilidades ao próximo nível!
