Você sabe que é um mundo desagradável lá fora, com atores maliciosos apenas comichão para colocar suas mãos sujas no seu site WordPress. Você também sabe que você provavelmente deveria estar fazendo “algo” para manter seu site WordPress seguro de todos aqueles bandidos.
O que você pode não saber é o que esse “algo” é.
Não se preocupe – proteger seu site WordPress não exige que você seja um guru da programação como você vê em programas de TV. Mas você vai querer alguns plugins e ferramentas de segurança do WordPress para fazer o trabalho.
É isso que vou compartilhar com você neste post.
>
Cobrirei oito dos melhores plugins e ferramentas de segurança do WordPress, juntamente com os prós e contras de cada ferramenta. Então, no final, vou tentar ajudá-lo a escolher o conjunto certo de ferramentas baseado em sua própria situação única.
Mas primeiro, deixe-me começar com um rápido aviso…
- Segurança do WordPress não se trata apenas de plugins e ferramentas
- Alguns termos chave de segurança explicados antes de escavarmos em
- MalCare
- Wordfence
- iThemes Security
- Sucuri
- Plugin do Sucuri
- Sucuri Firewall
- WebARX
- VaultPress (parte do Jetpack)
- Cloudflare
- Login No re
- Quais desses plugins e ferramentas de segurança do WordPress são adequados para suas necessidades?
Segurança do WordPress não se trata apenas de plugins e ferramentas
Todos os plugins e ferramentas de segurança desta lista irão ajudá-lo a tornar o WordPress mais seguro. Mas eles não eliminam a necessidade de ação de sua parte.
Pense neles como se estivessem usando um capacete de motocicleta. Claro – capacetes de motocicleta ajudarão a protegê-lo em um acidente, mas eles não são uma licença para sair e dirigir imprudentemente.
Estas ferramentas são assim. Elas lhe dão alguma proteção muito necessária, mas você ainda precisa dirigir com segurança se quiser ficar seguro e protegido.
Então o que é “dirigir com segurança” no mundo WordPress? Estou a falar de coisas muito simples como:
>
- Atualizando rapidamente seu software WordPress, plugins e temas
- Usando uma senha segura para sua conta de administrador WordPress e conta de hospedagem web
- Apenas usando temas e plugins de desenvolvedores/fontes respeitáveis
- Fazendo backup de seu site regularmente
>
>
Essas dicas podem parecer excessivamente simplistas, mas fazer essas quatro coisas sozinho vai ajudar a protegê-lo da maioria dos problemas de segurança do WordPress.
Então, para proteger seu site de tudo o resto, você pode usar estes plugins e ferramentas de segurança do WordPress.
Alguns termos chave de segurança explicados antes de escavarmos em
Embora estes plugins e ferramentas tornem as coisas bem simples, a segurança do WordPress ainda inclui muitos termos com os quais você pode não estar familiarizado.
Para ajudar você a entender o que essas ferramentas estão realmente fazendo, eu quero explicar alguns dos termos mais comuns que você verá no resto do post.
Primeiro, você verá a palavra firewall surgir muito (também chamado de WAF: web application firewall). Para o seu site WordPress, um firewall basicamente fica entre o servidor do seu site e todo o tráfego de entrada. Por ocupar esta posição, ele é capaz de inspecionar e filtrar atores maliciosos antes mesmo que eles cheguem ao seu servidor.
Todos os firewalls não são criados iguais, no entanto. E a eficácia do firewall escolhido depende das regras e configurações que o provedor do firewall coloca no lugar.
Outro termo é scan de malware, com o qual você provavelmente estará mais familiarizado. Assim como você verificaria seu próprio computador em busca de vírus e malware, muitas dessas ferramentas podem verificar o servidor do seu site WordPress em busca de malware.
Finalmente, vou lançar o termo endurecimento da segurança em torno de muita coisa. Estes são basicamente pequenos ajustes que, quando colocados juntos, ajudam a tornar o seu site mais seguro.
Com esse conhecimento em mãos, vamos escavar os plugins.
MalCare
MalCare é um plugin de segurança WordPress que, como você provavelmente pode adivinhar pelo nome, foca na detecção e remoção de malware.
>
Uma das coisas que eu gosto no MalCare em comparação com algo como Wordfence é que o MalCare faz o seu scan nos seus próprios servidores. A varredura de malware é um processo bastante intensivo, então se um plugin está fazendo as varreduras no seu servidor ao vivo, ele pode diminuir a velocidade do seu site enquanto a varredura está sendo executada.
MalCare corrige isso usando seus próprios servidores para fazer a varredura.
É também geralmente construído para capturar malware que outros plugins não capturam. E se ele capturar algo, ele oferece um clique de remoção de malware para se livrar do arquivo ofensivo.
MalCare também inclui um firewall, mas eu não acho que seja tão de alta qualidade quanto o que você recebe com Sucuri, então eu ainda recomendo usar o firewall da Sucuri em vez disso, se você puder balançar o preço.
Além disso, também oferece algum endurecimento básico de segurança como:
- para sua página de login
- Limitar tentativas de login
- Desabilitar edição de arquivos
- Desabilitar execução de arquivos na pasta de uploads
Em geral, no entanto, acho que a proposta de venda única para o MalCare é a verificação de malware fora do servidor. Ele também permite que você gerencie vários sites a partir de um único painel de controle, o que é outro bom bônus.
Preço: Começa em $99/year
Wordfence
Wordfence é o maior nome em segurança WordPress, especialmente quando se trata de soluções tudo-em-um. Ele está ativo em mais de dois milhões de sites, mantendo uma classificação impressionante de 4,8 estrelas em mais de 3.000 revisões.
Suffice it to say, muitas pessoas gostam dele.
Então por que ele é tão popular?
Primeiro, ele vem em uma generosa versão gratuita (assim como uma versão premium).
Segundo, ele oferece uma abordagem tudo-em-um para a segurança do WordPress.
A um nível amplo, inclui um firewall de aplicativo web para filtrar e bloquear tráfego malicioso, bem como um scanner de malware embutido para verificar seus arquivos quanto a malware, backdoors e outras injeções maliciosas.
A versão gratuita e a versão Pro incluem esses dois recursos principais, mas a versão Pro oferece uma abordagem mais em tempo real para ambos. Por exemplo, o firewall da versão Pro recebe atualizações de regras de firewall em tempo real, enquanto a versão gratuita só é atualizada a cada 30 dias.
Simplesmente, a verificação de malware da versão Pro atualiza suas assinaturas em tempo real, enquanto a versão gratuita é atrasada por 30 dias.
Então, se você quer proteção contra as explorações mais avançadas, você está melhor com a versão Pro.
Além dessas proteções amplas, isso também faz muitos dos pequenos ajustes que podem endurecer ainda mais o seu site. Estou a falar de coisas como:
- A autenticação de dois factores para proteger o seu login
- Notificações de actualização
- Alertas de e-mail para acções importantes, como uma conta de administrador a iniciar sessão
- Limitar tentativas de login (bloquear automaticamente utilizadores que introduzem senhas/nomes de utilizador incorrectos demasiadas vezes)
- Forçar senhas fortes
Preço: Grátis em WordPress.org. A versão Pro começa em $99 por ano, embora você receba descontos por comprar vários anos de cada vez.
iThemes Security
iThemes Security é outra solução de segurança popular tudo-em-um que vem em uma versão gratuita e uma premium.
iThemes Security não inclui um firewall como o Wordfence, mas oferece varredura de malware.
Além da verificação de malware, também vem com um monte de pequenos ajustes de segurança para endurecer o seu site WordPress.
Primeiro, ele faz uma série de coisas para proteger a sua página de login como:
- Esconder a página de login.
- Bloquear hosts/usuários com muitas tentativas falhadas de login para proteger contra ataques de força bruta.
- Enforcar senhas fortes para todas as contas de usuários.
- Renomear a conta “admin” se você ainda estiver usando admin como nome de usuário.
- Remover mensagens de erro de login.
- Offering two-factor authentication (Pro).
Então, há muitos outros pequenos ajustes, muitos dos quais você verá nos guias de segurança do WordPress:
- Disable in-dashboard file editing.
- Remover notificações de atualização para usuários não autorizados.
- Alterar o prefixo do banco de dados do WordPress.
- Alterar caminho do conteúdo wp.
- Logar ações do usuário.
Se você gostaria de usar o iThemes Security, os desenvolvedores recomendam emparelhá-lo com o firewall do WordPress da Sucuri, que iremos cobrir a seguir.
Preço: Grátis em WordPress.org. A versão Pro começa em $80 por ano.
Sucuri
Sucuri é uma solução popular de segurança de websites que tem dois produtos diferentes que ajudam com a segurança do WordPress:
- Um plugin gratuito
- Um serviço de firewall pago
Pode emparelhar ambos juntos, ou pode optar por usar apenas um deles (ou emparelhar o firewall com um plugin diferente, como a segurança do iThemes).
Plugin do Sucuri
O plugin de segurança do Sucuri está disponível gratuitamente em WordPress.org. Ele não inclui a funcionalidade do firewall, mas faz muito para manter seu site seguro (e pode ajudá-lo a integrar o firewall, se você optar por pagá-lo).
Primeiro, ele inclui auditoria de atividades e monitoramento de integridade de arquivos. Basicamente, estes dois recursos ajudam você a monitorar o que está acontecendo no seu site. Por exemplo, a auditoria de atividade pode mostrar que você falhou nas tentativas de login e o monitoramento de integridade de arquivos pode dizer se algum dos seus arquivos principais do WordPress foi modificado.
Além disso, o plugin inclui a verificação básica de malware. Esta funcionalidade é essencialmente uma implementação in-dashboard do scanner gratuito SiteCheck da Sucuri. Como tal, é mais limitado do que muitas outras soluções e não será capaz de capturar todo o malware.
Finalmente, o plugin da Sucuri também inclui alguns ajustes básicos de segurança do WordPress, como bloquear arquivos PHP no diretório de uploads e desativar a edição de arquivos no painel.
Preço: Grátis em WordPress.org
Sucuri Firewall
Onde o plugin da Sucuri é sobre monitoramento e endurecimento básico, o serviço de Firewall da Sucuri bloqueia proativamente as ameaças antes que elas aconteçam e também o protege de ataques DDoS.
Além de bloquear bots maliciosos e explorações conhecidas, a Sucuri também usa sua grande rede e aprendizagem de máquinas para melhorar constantemente suas regras de firewall e proteger seu site contra novas explorações descobertas.
Adicionalmente, a Sucuri permite que você crie suas próprias regras de firewall. Por exemplo, você pode ter Sucuri restringindo o acesso ao seu dashboard do WordPress a um conjunto específico de endereços IP listados em branco.
Como um pequeno bônus, Sucuri Firewall também inclui um CDN para acelerar o seu site, embora isso não tenha nada a ver com a segurança do WordPress!
Preço: $199.99/ano para o plano Basic, Pro $299.99/ano.
WebARX
WebARX é um serviço relativamente novo que adiciona um firewall seguro aos seus sites, assim como algumas outras funcionalidades.
Não é específico do WordPress, mas inclui um plugin WordPress para facilitar a configuração.
Uma das coisas legais do WebARX é que ele facilita o monitoramento de todos os seus sites a partir de um único painel de controle. Portanto, se você tem muitos sites menores espalhados, esta é uma maneira conveniente de ficar de olho em todos eles a partir de um único ponto.
Além do firewall para proteger seu site de ataques e bots maliciosos, WebARX também inclui monitoramento de uptime e desfacement. Se o seu site cair ou estiver deformado, você pode receber uma notificação via e-mail ou Slack. Novamente, isto é útil se você tiver um monte de sites pequenos que você não verifica com freqüência.
Preço: Começa em $14.99/mês, economize 15% com uma assinatura anual.
VaultPress (parte do Jetpack)
VaultPress é um serviço de backup e segurança da Automattic, a mesma empresa por trás do WordPress.com. Ele faz parte dos planos pagos do Jetpack, então você também terá acesso a todos os outros recursos premium do Jetpack se você usar o VaultPress.
Like MalCare, uma das coisas legais do VaultPress é que ele faz seu scan de segurança em seus próprios servidores, o que garante que nunca haverá nenhum hit de desempenho no seu site.
Aqui está como isso funciona:
Todos os dias, o VaultPress faz backup automaticamente do seu site para seus servidores seguros. Depois, ele faz o scan dos arquivos que acabou de fazer o backup em busca de malware de outras infiltrações.
No plano mais alto, o VaultPress também pode corrigir automaticamente quaisquer problemas de segurança que ele descobre (o mais barato só suporta “resolução manual”, no entanto).
Overall, o VaultPress é uma boa opção se você quiser algo que combine o scan de segurança com backups. Você ainda pode querer uma solução de firewall separada, no entanto.
Preço: Security Daily plan é £11.40/mês ou £9.55/mês (cobrado anualmente).
Cloudflare
Cloudflare é comumente pensado como uma ferramenta de aumento de desempenho devido à sua funcionalidade CDN. E não me interprete mal – é uma boa opção para acelerar o seu site WordPress.
Mas como o Cloudflare age como um proxy reverso, é também uma ótima ferramenta para proteger o seu site WordPress. Essencialmente, um proxy reverso fica entre os navegadores dos seus visitantes e o servidor do seu site e direciona o tráfego, o que permite filtrar atores maliciosos.
O plano gratuito do Cloudflare oferece segurança básica na forma de proteção DDoS e proteção contra ameaças baseadas na reputação (bloqueia ameaças maliciosas conhecidas de acessar o seu site).
Se você estiver disposto a pagar, através dos planos pagos do Cloudflare incluem um firewall de aplicativos web, bem como regras de lista branca de IP.
Se você já estiver usando o Cloudflare para seus recursos de aumento de desempenho, você pode querer considerar atualizar para os planos pagos para tirar proveito do firewall de aplicativos web.
Preço: Grátis com segurança básica. Planos pagos com o firewall começam em $20 por mês
Login No re
Login No re é uma solução muito menor do que todos os outros plugins. Enquanto as outras ferramentas estão todas focadas em firewalls, verificação de malware e outros grandes ajustes, o Login No re realmente só faz uma coisa:
>
Adicionar a proteção do Google re à sua página de login.
Esta é uma maneira fácil de proteger sua página de login contra ataques de força bruta e manter fora usuários não autorizados.
alguns plugins de segurança tudo-em-um já adicionam esta funcionalidade (por exemplo, iThemes Security). Mas se você optar por não usar uma dessas soluções tudo-em-um, você ainda deve considerar Login No re para bloquear sua página de login.
Preço: 100% grátis
Quais desses plugins e ferramentas de segurança do WordPress são adequados para suas necessidades?
Você certamente não quer usar todos esses plugins e ferramentas de segurança em seu site. Então, quais você deve escolher? Como você constrói sua pilha de segurança?
Bem, antes de fazer a sua escolha, recomendo que você verifique o que o seu anfitrião WordPress já está fazendo. Alguns hosts – especialmente os gerenciados pelo WordPress – podem já implementar firewalls e verificação de malware para você em um nível de servidor. Então, se esse for o caso, não há necessidade de duplicar seus esforços.
Embora você saiba o que seu host já está fazendo, aqui estão algumas dicas para escolher suas soluções.
Se você quiser um firewall de site, o Sucuri Firewall é a melhor opção para sites de missão crítica, enquanto o MalCare oferece uma versão mais acessível com um painel de controle que facilita o gerenciamento de vários sites.
Se você quiser uma verificação de malware, o MalCare e o VaultPress são ótimas opções porque eles não executam verificações no seu servidor.
Você também pode combinar um firewall e um plugin de verificação de malware. Por exemplo, você pode usar WebARX para firewalls e MalCare para varredura de malware. Embora o Malcare ofereça tecnicamente um firewall, este não é o ponto forte do serviço. É por isso que é melhor desativar o firewall baseado em plugins do Malcare e associá-lo a algo como WebARX ou Sucuri.
Se o seu host já implementou firewalls e verificação de malware para você, você pode pular esses plugins, mas eu ainda recomendo adicionar algo como Login No re para bloquear a sua página de login. No entanto, Wordfence e WebARX têm este recurso incorporado para que eles não precisem de um plugin extra.
Finalmente, você tem os plugins de segurança tudo em um como Wordfence e iThemes Security. Estes plugins tornam a segurança realmente simples, o que é bom. Mas como eles estão sempre ligados e rodando no seu servidor, eles também podem diminuir a velocidade do seu site, o que é ruim.
Por essa razão, eu pessoalmente não os uso e prefiro escolher os recursos de segurança específicos que eu quero.
Por isso, reconheço o benefício deles do ponto de vista da simplicidade.
Note: Wordfence e iThemes Security não devem ser usados juntos. Se você escolher ir pela rota “all-in-one security plugin” – use apenas um.
Então se você está se sentindo sobrecarregado por todas essas opções e apenas quer algo que seja fácil de usar logo de cara, essas duas certamente são opções sólidas. Mas preste muita atenção aos tempos de carregamento do seu site antes e depois para ter certeza de que não há nenhuma desaceleração perceptível.
Disclosure: Este post contém links de afiliados. Isto significa que podemos fazer uma pequena comissão se você fizer uma compra.