Você conhece o WordFence? Um plugin extremamente poderoso para aumentara segurança do seu site em WordPress!
Uma das maiores preocupações de quem tem um site ou aplicação online é garantir a segurança dele. Afinal, não é novidade que os ataques cibernéticos vem crescendo a cada dia e podem trazer diversos problemas para as pessoas e empresas, levando a perdas muito grandes. Portanto, manter uma aplicação segura deve ser uma das principais preocupações de um desenvolvedor e de quem possui serviços online, como um site ou um e-commerce.
Atualmente, o WordPress é uma das ferramentas de CMS mais conhecidas e mais utilizadas para o desenvolvimento de sites. Uma das grandes vantagens do WordPress é a possibilidade de ampliar sua funcionalidades através da instalação de plugins. E quando se trata de segurança, o plugin Wordfence é o plugin de segurança mais famoso e mais utilizado no WordPress!
Tópicos
Neste artigo, você encontrará os seguintes tópicos:
- O que é o WordFence
- Como Instalar o WordFence Security
- Configurações do WordFence para deixar seu WordPress mais seguro
- Conclusão
Caso deseje pular direto para um desses tópicos basta clicar sobre ele na lista acima.
O que é o WordFence
O WordFence é um plugin de segurança para o WordPress. Atualmente ele é o plugin de segurança mais conhecido e mais utilizado pela comunidade WordPress. O WordFence é mantido pela empresa Defiant INC, líder em segurança WordPress. Você pode encontrar diversas informações sobre o WordFence no seu site oficial, através do link https://www.wordfence.com.
O WordFence disponibiliza uma versão Free (gratuita) e outra Premium (paga). Apesar de haver duas versões, a versão Free do WordFence já fornece diversos recursos que são suficientes para manter o nível de segurança do seu WordPress elevado.
Como o WordFence Security protege o meu Site WordPress?
O plugin WordFence inclui um firewall de endpoints e um scanner de malware, desenvolvidos exclusivamente para proteger o WordPress. Ele é constantemente atualizado com as mais novas regras de firewall, assinaturas de malware e possui um enorme catálogo de dados contendo IPs maliciosos, para manter seu site seguro. Um malware, por exemplo, pode originar a tela vermelha do google.
O WordFence inclui um Web Application Firewall (WAF) capaz de identificar e bloquear tráfego malicioso. O WAF é executado no terminal, dessa forma, ele é capaz de integrar-se profundamente com o WordPress. Um grande diferencial do Wordfence é que ele não quebra criptografia, não pode ser contornado e não pode vazar dados.
Além disso, o WordFence conta com um Scanner de Malware integrado, que atua bloquando solicitaçõesq ue incluem códigos ou conteúdos maliciosos. O Wordfence protege seu WordPress de ataques de força bruta, limitando tentativas de login e aplicando senhas fortes, além de outras medidas de segurança para autênticação de login.
A versão Premiun (paga) ainda inclui outras vantagens, tornando o WordFence ainda mais poderoso. Dentre elas, podemos destacar a possibilidade de atualização de regras de firewal em tempo real, assinatura de malware, lista negra de IP em tempo real e outros.
Principais Recursos de segurança do WordFence Security
O WordFence possuí uma série de recursos de segurança, porém, alguns desses são considerados os mais importantes pela comunidade e até mesmo pela empresa. Portanto, merecem um destaque e vamos cita-los abaixo:
Proteção de Senhas e Vazamento de Senhas
Uma das maiores preocupações quando se trata de segurança é justamente a de garantir a confidencialidade das senhas, impedindo que alguém acesse seu site ou aplicação. O Wordfence inclui proteção contra essa ameaça específica. Este recurso permite que você boqueie logins de administradores que utilizem senha comprometida. Dessa forma, caso um administrado tenha sua senha reconhecida como uma senha comprometida, será necessário que ele redefina a sua senha para conseguir fazer o login.
Vale ressaltar que esse recursos foi possibilitado através da integração da segurança de Login do WordFence ao banco de dados fornecido pela API Pwned Passwords de Troy Hunt. Essa API possui uma lista gigantesca contendo milhões de senhas comprometidas.
Tráfego ao Vivo
O Recurso de segurança de tráfego ao vivo do Wordfence é uma ferramenta muito poderosa. Através dela, você pode visualizar a atividade dos usuários em seu site em tempo real. Além disso, ela é capaz de mostrar até mesmo o tráfego que não é mostrado em ferramentas como o Google Analytics e outros Loggers de Javascript. Portanto, esse recurso é um dos mais avançados em termos de tráfego ao vivo para o WordPress.
Com esse recursos o Wordfence lhe permite monitorar diversas informações de tráfego como:
- Observe os hackers/cibercriminosos tentando invadir seu site em tempo real. Dessa forma, você pode monitorar as tentativas de ataque que não são mostrados em outros visualizadores de tráfego e ainda identificar suas localizações, endereço IP e hora/data do ataque.
- Identifique quem está entrando e saindo do seu site e suas ações, em tempo real. Através disso, você é capaz de observar melhor as ações dos visitantes, e, se suspeitar de ataques, poderá lidar melhor na criação de estratégias para restringir essas ameaças. Além disso, ainda é possível verificar a localização, endereço IP e hora e data das ações dos usuários.
- Apesar do foco do Wordfence ser na segurança, ele também é capaz de analisar em tempo real o rastreamento do seu Site pelo Google. Isso é uma funcionalidade muito interessante, principalmente para estratégias de SEO. E lhe permite ainda identificar possíveis problemas como rastreamento de páginas inexistente ou ainda a ausência de arquivos robots.txt.
- Proteja sua propriedade intelectual contra roubo de conteúdo. Ou seja, com esse recurso, você garante o controle sobre o seu conteúdo.
- Bloqueie rastreadores em tempo real. O WordFence é capaz de identificar ações de rastreadores (como crawlers) que apresentem ameaças, e com isso bloquear o que estiver gerando esses problemas.
Recursos de Bloqueio Avançado
O WordFence oferece opções poderosas que permitem você bloquear tráfego de qualquer fonte, manualmente. Dessa forma, você pode evitar ameaças à segurança do site de forma rápida e eficiente.
Portanto, com esse recursos, você consegue bloquear coisas como redes maliciosas inteiras, ou ainda atividades humana ou de robôs que sejam suspeitas, entre outros. Além disso, o wordfence permite realizar bloqueios de IP de forma simples, sem precisar modificar o arquivo .htaccess diretamente para bloquear IPs.
O Wordfence permite que você crie diversas regras de bloqueio como:
- bloquear intervalos de endereços de IP (como redes maliciosas);
- navegadores da web e padrões de navegadores específicos;
- sites de referência
Além disso, você ainda pode realizar regras contendo combinações das regras acima.
Também vale destacar que o Wordfence lhe permite realizar bloqueio de país, implementando segurança a partir de proteção geográfica.
O bloqueio de país do WordFence é projetado para interromper um ataque, impedir roubo de conteúdo ou encerrar atividades maliciosas originadas a partir de um região geográfica. Isso é uma grande vantagem, pois é muito comum que determinados cibercriminosos utilizem de uma região para gerar seus ataques. Além disso, você pode restringir regiões que estão envolvidos em atividades maliciosas. Além de realizar tudo isso de forma extremamente veloz e eficaz.
Recursos de Reparação de Arquivos
Outro recurso muito importante que o Worfence traz consigo é o de Reparação de Arquivos.
Este recursos é capaz de identificar arquivos corrompidos, além de verificar as mudanças realizadas e ainda repara-las. O Worfence verifica o código fonte, analisa as mudanças que ocorreram e repara arquivos que tenham sido atacados por ações maliciosas.
Caso você fosse fazer tudo isso manualmente, seria necessário utilizar algum sistema para analisar as falhas de segurança, e reparar os arquivos um a um, o que demanda de um conhecimento técnico elevado.
Ou seja, o Worfence verifica os seus arquivos principais, temas e plugins, comparando com o que está armazenado nos repositórios oficiais do WordPress, e com isso consegue manter a integridade dos seus arquivos!
Com o reparador de arquivos do Wordfence você pode ver como os seus arquivos mudaram, pode baixar o arquivo original e compara-lo com o atual e ainda pode visualizar e reparar os arquivos substituindo-os por uma versão original.
Autenticação de Dois Fatores
Uma das maneiras mais eficazes de evitar ataques de força bruta de forma permanentemente é através da autenticação de dois fatores. Hoje em dia, a maioria das pessoas já conhece esse recursos, visto que é muito utilizado em diversos aplicativos e serviços, como bancos, redes sociais e outros. Mas, resumidamente, é um tipo de autenticação que exige que o usuário não apenas digite uma senha, mas realize também uma segunda ação que só ele teria acesso a informação. Portanto, isso aumenta muito a segurança da aplicação, e mesmo que um invasor consiga descobrir seu usuário e senha, ele não conseguiria realizar o acesso.
O Wordfence aproveita desse recurso para aumentar a segurança do seu WordPress. Dessa forma, ele permite que você utilize um serviço de autenticação TOTP, como por exemplo o Google Authenticator, Authy, FreeOTP, 1Password e outros. Você pode, então, habilitar a autenticação em dois fatores para o seu WordPress e garantir a integridade dos logins realizados.
Como Instalar o WordFence Security
Agora que você já conheceu o que é o WordFence e o que ele é capaz de fazer, chegamos finalmente a instalação deste plugin!
A primeira coisa que você deve fazer é acessar o Painel de Administração do WordPress, geralmente através da url “/wp-admin“. Realize seu login normalmente.
Posteriormente, no seu painel de Administração do WordPress, busque na barra lateral a opção de “plugins” e selecione “adicionar novo“.
Nesta próxima tela, selecione a barra de pesquisa e procure por “Wordfence Security“.
Agora basta identificar o plugin Wordfence Security, e clicar na opção “Instalar agora”, conforme na imagem abaixo.
Aguarde alguns instante para concluir a instalação. Após realizar a instalação, você precisará ativar o plugin. Provavelmente, assim que a instalação for concluída, aparecerá uma botão como na imagem abaixo, com a opção de “ativar“, portanto, basta clicar nele e o Wordfence será ativado no seu WordPress.
Finalizando a ativação do Plugin Wordfence Security
Assim que você ativar o plugin, você será redirecionado para a página de administração do WordFence. Por ser sua primeira vez instalando o plugin, aparecerá algo como na imagem abaixo:
Você pode colocar o seu e-mail, para receber as informações do WordFence. Também é opcional que você escolha participar da lista de e-mails do WordFence, onde eles enviam informações sobre atualizações e sobre o plugin através de email.
Para prosseguir, aceite os termos e as politicas de privacidade do Wordfence (leia-os primeiro), e clique na opção “continue”.
Posteriormente, será apresentado a tela onde solicita que você coloque sua chave Premium. Essa opção é para informar a chave que você recebeu ao adquirir a versão premium do WordFence. Caso tenha feito isso, basta colocar a chave e clicar em “instal”. Mas caso não tenha adquirido a chave e deseje utilizar a versão Free do Wordfence, basta selecionar a opção “No Thanks”.
Com essas etapas, o seu plugin de Segurança WordFence já está instalado e ativado no seu wordpress.
Configurações do WordFence para deixar seu WordPress mais seguro
Finalizando a instalação e ativação do WorFence no WordPress, agora basta configura-lo para suas necessidades.
Claro que o wordfence possui diversas funcionalidades, alguns mais simples e outras mais avançadas. Para ter um melhor aproveitamento do Wordfence o ideal é que você conheça a ferramenta. A empresa disponibiliza em seu site diversos tutoriais de aprendizagem, onde você pode aprender desde os recursos básicos até recursos mais avançados.
Por padrão, o Wordfence já traz algumas configurações básicas. Dessa forma, só de instalar e ativar o plugin, você já garante uma maior segurança no seu WordPress.
Caso apareça para você uma mensagem como na imagem abaixo, solicitando permissão para ativar a atualização automatica do Wordfence, recomendamos que você permita. Portanto, basta clicar em “Yes, enable auto-update”.
Todos os tutoriais e dicas de configuração encontradas aqui podem ser utilizadas no Wordfence em sua versão Free (gratuita).
Otimizando o Firewall
Mas vamos melhorar ainda mais. Acesse a dashboard do Wordfence, conforme na imagem abaixo.
Assim que entrar pela primeira vez, é provável aparecer alguns mini tutoriais, basta clicar em “next” ou “got it”. Ainda acessando pela primeira vez, você deverá ver uma mensagem logo no inicio da dashboard para que você configure o Web Application Firewall (WAF), portanto, clique na opção “click here to configure“.
Na próxima tela, será realizado uma autodetecção do seu servidor. Confirme se está correto, caso não esteja, selecione a opção correta do seu servidor. Além disso, clique na opção de Download para baixar o seu arquivo “.htaccess” e mantê-lo como backup. Depois basta clicar na opção “Continue”.
Pronto, agora seu WAF está pré-otimizado e configurado. Por fim, clique na opção “close”.
Modo de Aprendizado e Modo de Proteção do FireWall
Apesar de já deixarmos o WAF pré otimizado, temos uma grande dica para você. Então basta que você siga esse tutorial para manter seu Firewall com uma performance ainda melhor!
Primeiramente, selecione a opção “Firewall” do Wordfence para acessar a dashboard do Firewall.
Depois, selecione a opção “manage firewall“.
Nesta tela, observe o “Web Application Firewall Status”.
Provavelmente ele estará configura para a opção “Learning Mode“. Ou seja, o WAF estará aprendendo sobre o seu site, entendedo como ele funciona. Portanto, recomendamos que você mantenha no “learning mode” durante o desenvolvimento do seu site e após já ter concluído todas as instalações necessárias, como os plugins e outras ferramentas. Porém, caso seu site já esteja finalizado e no ar, recomendamos que você deixe no learning mode por cerca de 5 à 7 dias. Após isso, altere o modo para “Enabled and Protecting“.
Após fazer essa alteração, não esqueça de clicar em “Save Changes“.
Pronto! Com isso, seu Firewall ficará muito mais otimizado e garantirá uma maior performance e maior segurança para seu WordPress.
Configurando Proteção de Força Bruta do Wordfence
Na Dashboard do Firewall do WordFence, há uma aba chamada “Brute Force Protection“. Ou seja, nesta parte, você pode fazer algumas configurações para proteger o seu site de ataques de Força Bruta.
Dentre as configurações, caso você não tenha muito conhecimento, pode deixar tudo no padrão. Entretanto, algumas configurações merecem uma certa atenção.
Lock out after how many login failures: Nesta configuração, você pode definir o limite de tentativas e login que um usuário poderá fazer. Portanto, se o usuário ultrapassar esse limite, ele será bloqueado. Nossa recomendação é que você restrinja entre 3 à 5 tentativas.
Lock out after how many forgot password attempts: Representa quantas vezes o usuário pode errar a senha. Assim como na configuração anterior, recomendamos restringir entre 3 e 5 tentativas.
Count failures over what time period: Representa qual o período em que são contabilizadas as falhas de tentativa de login. Recomendamos deixar entre 4 e 6 horas.
Amount of time a user is locked out: Representa o tempo em que o usuário ficará bloqueado. Para esse caso, a escolha é bem pessoal, mas recomendamos pelo menos o período de 1 dia (24 horas).
Basicamente essas são nossas recomendações. Além dessas, você pode manter as demais configurações de proteção de força bruta conforme o padrão ou, se souber oque está fazendo e preferir, pode optar por personaliza-las.
Dica Extra para proteção de Força Bruta
Segue agora mais uma dica muito interessante: Existe a opção de você bloquear automaticamente um usuário que digite determinados nomes de usuário. Isso é muito interessante, pois, a maioria dos atacantes costumam testar logo de inicio o usuário “admin“. Portanto, aqui vale duas recomendações:
- 1- Não crie um usuário chamado “admin” no seu wordpress
- 2- Acrescente esse nome de usuário para o bloqueio imediato
Para bloqueá-lo basta ir até a caixinha da opção “Immediately block the IP of users who try to sign in as these usernames“, digitar o nome de usuário, como por exemplo “admin”, e por fim apertar a tecla “enter”.
Não esqueça de clicar em “Save Changes”.
Realizando Scan
Agora, vamos realizar um Escaneamento do nosso WordPress. Para isso, no menu lateral do Wordfence, selecione a opção “Scan”.
Posteriormente, na dashboard do Scan, clique na opção “Start New Scan” para iniciar um Escaneamento do seu WordPress.
Esse procedimento pode demorar um pouquinho. Portanto, aguarde e não feche a janela do seu navegador até até a finalização do escaneamento.
Ao fazer isso, o Wordfence estará escaneando o seu site em busca de erros ou de problemas de segurança. Caso encontre, será informando nessa tela e ainda trará sugestões. Basta executar as correções que achar necessário!
O escaneamento deve ser feito sempre que você achar necessário. Para sites com baixo volume de tráfego, talvez 2 vezes por mês seja suficiente. No entanto, o ideal é que você busque escanear diariamente ou pelo menos semanalmente.
Segurança de Login – Autenticação de Dois Fatores
Ao acessar o menu de “Login Security” do Wordfence, você poderá fazer alterações nas configurações de Segurança de Login, como por exemplo a autenticação em Dois Fatores.
Assim que entrar na opção Login Security, você encontrará uma dashboard como a da imagem abaixo:
Nesta etapa, você pode cadastrar a autenticação de dois fatores. Então, acesse pelo seu smartphone o app de autenticação que você utiliza ou prefere, como o Google Authenticator. Em seguida, realize a leitura do QR Code que é apresentado na tela do Wordfence, como no exemplo da imagem abaixo.
Também é muito importante que você faça o download do código de recuperação, e guarde-o em um lugar protegido, pois caso você tenha problemas com a autenticação de dois fatores, você pode utiliza-lo para recuperar sua conta. Portanto, basta clicar em Download.
Por fim, basta você digitar o código mostrado no seu aplicativo de autenticação de dois fatores no campo solicitado, e posteriormente, clicar em “activate“.
Pronto, dessa forma a verificação de dois fatores estará habilitada para sua conta!
Conclusão
Com isso, finalizamos este artigo e tutorial! Seguindo os passo a passos explicados, você conseguirá instalar e ativar o WordFence, além de configurar as principais funcionalidades de segurança. Dessa forma, você acaba de conseguir deixar o seu WordPress mais seguro!
No entanto, lembre-se que diversos fatores influenciam na segurança do seu site ou aplicação. Desde a escolha de senhas fortes, até mesmo o servidor de hospedagem escolhido. Portanto, além de utilizar um bom aplicativo de segurança como o Wordfence, é muito importante que você conheça bem a empresa de hospedagem onde hospedará seu site. É importante que os servidores de hospedagem sigam padrões de segurança adequados, garantindo a confiabilidade de seus serviços!
Se você está procurando um Serviço de Hospedagem com ótimos servidores, de alto desempenho e segurança e com um suporte nota mil, então venha conhecer os Planos de Hospedagem da HomeHost e coloque o seu site no ar ainda hoje!