Não há nada pior do que descobrir que seu site foi comprometido. A área de administração do WordPress é o principal ponto de entrada para hackers, tornando-a a parte mais crítica do seu site para proteger.
Sabemos que pode ser estressante pensar em ataques de força bruta ou roubo de dados. Muitos proprietários de sites se preocupam por não terem as habilidades técnicas para proteger adequadamente seu painel.
A ótima notícia é que você não precisa ser um profissional de segurança para causar um grande impacto. Em nossa experiência gerenciando milhares de sites WordPress, descobrimos que algumas mudanças simples são tudo o que é preciso para construir uma defesa forte.
Neste guia, vamos guiá-lo pelas dicas mais eficazes para proteger sua área de administração. Esses passos simples lhe darão tranquilidade e manterão seu site seguro.
Cobriremos muitas dicas, e você pode usar os links rápidos abaixo para pular entre elas:
- 1. Use um Firewall
- 2. Proteja por Senha o Diretório de Administração do WordPress
- 3. Sempre Use Senhas Fortes
- 4. Use Verificação em Duas Etapas na Tela de Login do WordPress
- 5. Limite as Tentativas de Login
- 6. Limite o Acesso de Login a Endereços IP
- 7. Desative Dicas de Login
- 8. Exija que os Usuários Usem Senhas Fortes
- 9. Redefina a Senha de Todos os Usuários
- 10. Mantenha o WordPress Atualizado
- 11. Crie Páginas de Login e Registro Personalizadas
- 12. Saiba Mais Sobre Funções e Permissões de Usuário do WordPress
- 13. Limite o Acesso ao Painel do WordPress
- 14. Desconecte Usuários Inativos
- Perguntas Frequentes Sobre a Segurança da Administração do WordPress
- Recursos Adicionais para Segurança do WordPress
1. Use um Firewall
Um firewall de aplicação web (WAF) monitora o tráfego do seu site e bloqueia solicitações suspeitas antes que elas cheguem ao seu servidor. Esta é sua primeira linha de defesa contra tentativas de hacking.
Embora existam vários plugins de firewall WordPress, recomendamos um firewall em nível de DNS como o Cloudflare. Firewalls em nível de DNS são mais eficazes porque bloqueiam ameaças na borda da rede, de modo que o tráfego malicioso nem sequer chega ao seu site.
Na WPBeginner, usamos o plano empresarial do Cloudflare para proteger nosso site contra tentativas de hacking, malware e outras atividades maliciosas. Para instruções de configuração passo a passo, veja nosso artigo sobre como configurar o CDN gratuito do Cloudflare para o seu site.
Outra ótima opção é o Sucuri, que já utilizamos. Para mais detalhes, veja nosso artigo sobre por que mudamos de Sucuri para Cloudflare.
2. Proteja por Senha o Diretório de Administração do WordPress
Outra dica que achamos extremamente eficaz é adicionar proteção por senha ao diretório de administração do WordPress. Isso adiciona uma segunda camada de defesa, exigindo duas senhas separadas para acessar seu painel.
Você pode fazer isso a partir do painel de controle da sua hospedagem web WordPress. Aqui estão os passos para o cPanel:
- Faça login no painel de controle do seu cPanel de hospedagem WordPress e clique no ícone 'Directory Privacy'.
- Selecione sua pasta
wp-admin, que geralmente está localizada dentro do diretório/public_html/. - Marque a caixa ao lado de ‘Proteger este diretório com senha’ e forneça um nome para ele.
- Clique em ‘Salvar’ e, em seguida, volte para criar um usuário com um novo nome de usuário e senha.
Agora, qualquer pessoa que tentar acessar sua página de login de administrador verá primeiro um prompt de autenticação.
Isso bloqueia a maioria dos ataques automatizados de bots.
Para instruções mais detalhadas, consulte nosso guia sobre como proteger com senha o diretório de administrador do WordPress (wp-admin). Observe que estas etapas são para hospedagens que usam cPanel. Se você usa um painel de controle diferente, verifique a documentação da sua hospedagem.
3. Sempre Use Senhas Fortes
Você deve usar senhas fortes e complexas para todas as suas contas do WordPress. Senhas fracas são um dos motivos mais comuns para sites serem hackeados.
Uma senha forte usa uma combinação de letras maiúsculas e minúsculas, números e caracteres especiais (!, #, @, %, etc.). Quanto mais longa for, mais segura será.
É quase impossível lembrar de dezenas de senhas complexas. É por isso que toda a nossa equipe na WPBeginner usa um aplicativo gerenciador de senhas como o 1Password para gerar e armazenar com segurança senhas exclusivas para cada serviço.
Para mais informações sobre este tópico, consulte nosso guia sobre a melhor maneira de gerenciar senhas para iniciantes em WordPress.
4. Use Verificação em Duas Etapas na Tela de Login do WordPress
A verificação em duas etapas, também conhecida como autenticação de dois fatores (2FA), adiciona outra camada crítica de segurança. Usamos 2FA não apenas em nossos sites WordPress, mas em todas as nossas contas online onde a opção está disponível.
Após inserir sua senha, você também deve fornecer um código sensível ao tempo gerado por um aplicativo em seu telefone, como 1Password ou Authenticator. Mesmo que um hacker roube sua senha, ele não conseguirá fazer login sem o seu telefone.
Para instruções detalhadas passo a passo, consulte nosso guia sobre como configurar a verificação em 2 etapas no WordPress usando o Google Authenticator.
5. Limite as Tentativas de Login
Por padrão, o WordPress permite que os usuários tentem fazer login quantas vezes quiserem. Isso permite que hackers usem scripts automatizados para tentar milhares de combinações de senhas no que é conhecido como um "ataque de força bruta".
Você pode parar isso facilmente instalando o plugin Limit Login Attempts Reloaded. Após a ativação, vá para Configurações » Limitar Tentativas de Login para configurar quantas tentativas falhas são permitidas antes que um endereço IP seja bloqueado temporariamente.
Para instruções detalhadas, consulte nosso guia sobre por que você deve limitar as tentativas de login no WordPress.
Para saber mais sobre o plugin, você também pode conferir nossa análise detalhada do Limit Login Attempts.
6. Limite o Acesso de Login a Endereços IP
Aviso: Esta é uma técnica avançada e só deve ser usada se você tiver um endereço IP estático (fixo). A maioria das conexões de internet doméstica usa IPs dinâmicos que mudam regularmente. Se você usar este método com um IP dinâmico, você se bloqueará do seu próprio site.
Se você tiver um IP fixo, poderá restringir o acesso à sua área de administração apenas a esse endereço. Basta adicionar este código ao seu arquivo .htaccess:
Não se esqueça de substituir os valores 'xx' pelo seu próprio endereço IP. Você pode encontrar facilmente seu endereço IP atual pesquisando por “qual é o meu endereço IP” no Google. Se você usa mais de um endereço IP, certifique-se de adicioná-los também.
Para instruções detalhadas, consulte nosso guia sobre como limitar o acesso ao admin do WordPress usando .htaccess.
7. Desative Dicas de Login
Quando um login falha, o WordPress informa se o nome de usuário ou a senha estavam incorretos. Embora úteis para os usuários, essas dicas também confirmam um nome de usuário válido para um invasor, facilitando o trabalho dele.
Você pode ocultar essas dicas adicionando o seguinte código ao arquivo functions.php do seu tema. No entanto, recomendamos o uso de um plugin de snippets de código como o WPCode. É uma maneira muito mais segura de gerenciar código personalizado sem arriscar erros no site.
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
Para mais detalhes, consulte nosso guia sobre como adicionar código personalizado no WordPress sem quebrar seu site.
8. Exija que os Usuários Usem Senhas Fortes
Se você gerencia um site WordPress com vários autores, um único usuário com uma senha fraca pode criar uma vulnerabilidade para todos. Você pode impor uma política de senhas fortes para evitar isso.
Para fazer isso, você pode instalar e ativar o plugin Solid Security (anteriormente conhecido como iThemes Security), feito pela equipe da SolidWP.
Em seguida, você pode seguir as etapas em nosso guia completo sobre como forçar senhas fortes para usuários no WordPress.
9. Redefina a Senha de Todos os Usuários
Para sites WordPress com vários usuários, você pode melhorar a segurança forçando todos os usuários a redefinirem suas senhas. Isso é especialmente útil se você suspeitar de uma violação de segurança ou apenas quiser impor uma nova política de senhas.
Primeiro, instale e ative o plugin Emergency Password Reset. Após a ativação, vá para a página Usuários » Emergency Password Reset e clique no botão ‘Reset All Passwords’.
Para instruções detalhadas, consulte nosso guia sobre como redefinir senhas para todos os usuários no WordPress.
10. Mantenha o WordPress Atualizado
O WordPress lança frequentemente novas versões para adicionar recursos e corrigir vulnerabilidades de segurança. Executar uma versão desatualizada do WordPress, seus plugins ou seu tema é um dos maiores riscos de segurança que você pode correr.
Sempre certifique-se de que está usando a versão mais recente do software principal do WordPress, bem como de todos os seus plugins e temas. Para mais informações sobre isso, consulte nosso guia sobre por que você deve sempre usar a versão mais recente do WordPress.
11. Crie Páginas de Login e Registro Personalizadas
Para sites que exigem registro de usuário, como sites de associação ou lojas online, você deve criar páginas de login e registro personalizadas.
Isso impede que usuários não administradores precisem ver ou acessar a tela de login padrão do WordPress. Ele oferece uma experiência de usuário mais profissional e permite que você restrinja completamente o acesso padrão ao wp-admin sem afetar seus membros ou clientes.
A maneira mais fácil de fazer isso é com um plugin como o WPForms, que possui um poderoso add-on de Registro de Usuário. Para instruções detalhadas, veja nosso guia sobre como criar páginas de login e registro personalizadas no WordPress.
12. Saiba Mais Sobre Funções e Permissões de Usuário do WordPress
O WordPress tem um sistema de gerenciamento de usuários integrado com diferentes funções e capacidades. Atribuir a função errada pode dar a um usuário muito mais permissões do que ele precisa, criando um risco de segurança potencial.
É importante entender o que cada função pode fazer antes de adicionar usuários ao seu site. Aqui estão as 5 funções padrão:
- Administrador: Tem acesso total a todas as configurações e conteúdo do site.
- Editor: Pode publicar e gerenciar todas as postagens, incluindo as de outros usuários.
- Autor: Pode publicar e gerenciar apenas suas próprias postagens.
- Colaborador: Pode escrever e gerenciar suas próprias postagens, mas não pode publicá-las.
- Assinante: Só pode fazer login e gerenciar seu próprio perfil.
Para um detalhamento completo, consulte nosso guia para iniciantes sobre funções e permissões de usuário do WordPress.
13. Limite o Acesso ao Painel do WordPress
Em alguns sites, certos usuários podem não precisar de acesso ao painel do WordPress. Por padrão, qualquer usuário pode fazer login e ver a área administrativa, mesmo que suas capacidades sejam limitadas.
Para corrigir isso, instale e ative o plugin Remove Dashboard Access. Após a ativação, vá para Configurações » Acesso ao Painel e selecione quais funções de usuário podem acessar a área administrativa. Outros podem ser redirecionados para a página inicial ou outro URL.
Para instruções mais detalhadas, consulte nosso guia sobre como limitar o acesso ao painel no WordPress.
14. Desconecte Usuários Inativos
Usuários logados que se afastam de seus computadores podem representar um risco de segurança. Se o computador deles for público ou compartilhado, outra pessoa poderá acessar a conta deles.
Você pode resolver isso instalando o plugin Inactive Logout. Vá para Configurações » Logout por Inatividade e defina um limite de tempo. Após esse período de inatividade, os usuários serão desconectados automaticamente.
Para mais detalhes, consulte nosso artigo sobre como desconectar automaticamente usuários inativos no WordPress.
Perguntas Frequentes Sobre a Segurança da Administração do WordPress
Qual é o passo mais importante para proteger minha área administrativa do WordPress?
Usar um Web Application Firewall (WAF) é o primeiro passo mais crítico. Um bom firewall, como Cloudflare ou Sucuri, bloqueia tráfego malicioso antes que ele chegue ao seu site, prevenindo uma ampla gama de ataques.
Proteger o diretório wp-admin com senha é realmente necessário?
Embora não seja obrigatório, é altamente eficaz. Ele adiciona uma segunda camada de autenticação que impede quase todos os bots automatizados que tentam forçar o login na sua página. É uma mudança simples que aumenta significativamente a segurança.
Posso ficar bloqueado do meu próprio site ao seguir estas dicas?
Sim, se você não for cuidadoso. A dica para limitar o acesso ao login a endereços IP específicos é apenas para usuários avançados com um IP estático. Se você usa um endereço IP normal e dinâmico, você se bloqueará. Sempre faça backup do seu site antes de editar arquivos como o .htaccess.
Recursos Adicionais para Segurança do WordPress
Esperamos que este artigo tenha ajudado você a aprender novas dicas e truques para proteger a área de administração do seu WordPress.
Você também pode querer ver nossos outros guias de especialistas para manter seu site seguro:
- O Guia Definitivo de Segurança do WordPress – Passo a Passo
- Melhores Plugins de Segurança do WordPress para Proteger Seu Site (Comparados)
- Como Escanear Seu Site WordPress em Busca de Código Potencialmente Malicioso
Se você gostou deste artigo, por favor, inscreva-se em nosso Canal do YouTube para tutoriais em vídeo do WordPress. Você também pode nos encontrar no Twitter e no Facebook.
Olaf
A segurança é simplesmente fundamental, e a área de administração é a parte mais importante do WordPress, pois controla todo o site. Isso torna as tentativas de hacking direcionadas à área administrativa cada vez mais comuns, o que é lógico, dado que o WordPress alimenta dezenas de milhões de sites. Portanto, os esforços dos hackers estão se tornando mais pronunciados. Esta é uma lista de elementos-chave verdadeiramente excelentes. Embora possa não ser necessário implementar todos eles, mesmo alguns podem aumentar significativamente a segurança do site. A combinação de uma senha forte, autenticação de dois fatores e limitação de tentativas de login parece tão robusta que a área de administração seria praticamente inquebrável.
Dennis Muthomi
Eu já sofri uma tentativa de hacking no meu próprio site WordPress, eu particularmente gosto da ênfase no uso de senhas fortes e autenticação de dois fatores. Gostaria de acrescentar que fazer backup regularmente do seu site também é crucial em caso de violação de segurança.
Jiří Vaněk
Eu usei muitas das suas dicas e, adicionalmente, também alterei a URL da administração para evitar potenciais ataques de força bruta. Em relação a senhas fortes, eu também recomendaria não usar o usuário padrão "admin", pois é o primeiro usuário que um hacker tentará atacar com força bruta. Pessoalmente, quando instalo o WordPress, nunca uso o usuário "admin", mas sempre escolho um nome personalizado. É um pequeno detalhe, mas também pode contribuir para a segurança.
Mrteesurez
Não acho que haverá uma maneira de hackers conseguirem entrar se for possível implementar todas essas dicas e truques.
Eu usei algumas, limitando tentativas de login e acesso ao painel, e elas funcionaram bem, ainda vou tentar implementar outras para máxima segurança.
Jiří Vaněk
O WordPress é um sistema complexo e proteger apenas a administração não é suficiente. Sempre há uma maneira de um hacker atacá-lo. Eles podem ter como alvo o FTP para obter informações confidenciais do banco de dados, tentar explorar um MySQL mal protegido ou tentar tirar proveito de uma vulnerabilidade recém-descoberta em um plugin, tema ou no próprio WordPress antes que você consiga atualizá-lo. Portanto, é sempre bom pensar de forma abrangente e não se esquecer de outros elementos do sistema, como MySQL, FTP e componentes do WordPress.
Moinuddin Waheed
Dicas e truques essenciais para a proteção do painel de administração do WordPress.
Utilizei autenticação de dois fatores para o login de administrador e também limites de login para acesso administrativo.
A proteção do painel é de suma importância, pois pode ter sérias repercussões se o painel for comprometido.
Eu não sabia que poderíamos ter tantas etapas para proteger nosso painel.
Obrigado pela lista exaustiva de dicas para proteção do painel.
WPBeginner Support
Que bom saber que você achou nossa lista útil!
Admin
Theo
“Este plugin foi encerrado em 23 de novembro de 2020 e não está disponível para download. Este encerramento é permanente.”
Eu sei que este é um artigo de 3 anos e meio!
Seria bom se alguém pudesse sugerir uma alternativa! Obrigado pelo seu tempo!
WPBeginner Support
Certamente daremos uma olhada em alternativas.
Admin
Raksa Sav
Se eu adicionar alguém como administrador do WordPress, eles podem me remover como administrador ou roubar meu site WordPress?
WPBeginner Support
Olá Raksa,
Sim, eles podem remover outros administradores e assumir o controle do seu site.
Admin
Muchsin
Eu quero perguntar
Eu tentei a privacidade do diretório do tutorial neste artigo e funciona perfeitamente, mas há um problema: quando eu tento a funcionalidade de busca localizada no menu de navegação do meu site como usuário, sou sempre solicitado a preencher o nome de usuário e a senha desse diretório. Então, como resolvo o problema?
Eu uso o tema Newspaper da tagdiv.
sherizon
qual é o melhor conselho para iniciar um site de e-commerce, posso usar o wordpress?
WPBeginner Support
Olá Sherizon,
Sim, você pode. Por favor, veja nosso guia sobre como iniciar uma loja online.
Admin
Brenda Donovan
Boas dicas e sugestões aqui. Importa onde no arquivo functions.php se coloca o script de dicas de bloco? Apenas adiciona no final?
WPBeginner Support
Olá Brenda,
Sim, você deve adicioná-lo no final.
Admin
Joe
Outro meio realmente útil de proteger seu site WP é usar um login que NÃO SEJA ADMIN e não seu endereço de e-mail. Use um nome de login único como WP@#% ou algo maluco assim.
Dragos
Você também deve mudar onde instala a pasta padrão do wp-admin.
Abhinav S Thakur
Alguém pode consertar isso?
Como faço para forçar SSL apenas para o admin e o resto do site deve ser http.
Como o wp beginner tem um site não SSL!
Executando wordpress, cPanel
Pinkey
Olá,
Acabei de iniciar um site baseado em conteúdo e infelizmente meu site foi hackeado. Por favor, nos aconselhe com soluções adequadas (software/certificados etc.) para evitar futuros hacks.
Obrigado(a) e melhores cumprimentos,
Pinkey
Lucy Barret
As dicas que você adicionou são muito úteis. Mas para proteger o WordPress, você precisa dar mais ênfase à segurança da sua área de login. Você precisa prestar mais atenção em fortalecer sua área de login de administrador.
John
Alguma ideia de por que deletar o wp-login.php não impede ataques de força bruta? Pensei que fosse uma solução rápida para um site que só requer meu login, portanto, só substituo o arquivo quando necessário?
Ajuda por favor!
Craig
Ótimo conselho, exceto pela remoção de mensagens de administrador, se você está diminuindo a experiência do usuário por causa da segurança, então você não está fazendo isso certo.
Tahir
Coleção inteligente….!!
Talha
Muito obrigado. Tenho um site. Vou configurar lá.
Pat Fortino
Este plugin não existe mais: Stealth Login
Você pode recomendar uma alternativa?
Obrigado
Lori
Também me disseram para “remover links para a página de administração do site para que os robôs de hacking não possam simplesmente seguir um link.” Não tenho certeza do que isso significa, ou como eu faria isso… Alguém sabe o que isso significa e poderia me indicar instruções passo a passo para fazer isso?
(Não vejo links para uma página de administração em nenhum lugar do meu site, nem me lembro de ter havido algum. A única maneira de acessar a página de administração é indo para o endereço /wp-admin.)
Emily Johns
Ótima informação!
Para blogueiros e codificadores não especialistas, sugiro instalar um plugin do WordPress para facilitar as coisas.
Dos que você mencionou, encontrei o plugin “Wordfence Security” como uma solução gratuita para proteger blogs e torná-los mais rápidos.
Testei e fiquei feliz com ele!
Barry Richardson
Eu tinha a impressão de que o nome de usuário original (por exemplo, “admin”) de um site WP não pode ser excluído, então, mesmo que adicionássemos um novo nome de usuário, o “admin” original ainda estaria disponível para um potencial hacker explorar.
WPBeginner Support
Se você criar uma nova conta de usuário com a função de administrador, poderá excluir com segurança o usuário admin.
Admin
Sandeep Jinagal
Hyy WPBeginner, em primeiro lugar, você está fazendo o melhor dos melhores???
E eu quero saber, quero configurar minha página de login como a sua. Porque quando tento abrir sua página de login, ela mostra um pop-up para login. Você pode me dar essa ferramenta?
WPBeginner Support
Por favor, veja nosso guia sobre como proteger com senha o diretório de administração do WordPress wp-admin.
Admin
Kheti
Obrigado por este material educativo. Muito útil. Obrigado pelo bom trabalho e suporte.
ifaheem
ótimo artigo, mas precisa ser atualizado. Existem alguns ótimos plugins que realizam todas as tarefas acima com a instalação de um único plugin!
My site was under heavy attacks, fake google bot were always there. I noticed up to 300 Hits from a single IP. the most visited area was wp-admin
Após realizar os passos acima (atualize-os com alguma pesquisa), sentindo-se um pouco seguro.
Não instale um plugin sem ler no mínimo 5 avaliações. Elas dizem a verdade (vá para uma avaliação ruim e veja o que ele/ela diz; eles sofreram algo ruim!
Prince Jain
Thank you for such a great post.
Mas por favor, atualize o Stealth Login Plugin. Não crie uma URL personalizada para a Janela de Login, em vez disso, ele adiciona um código de autorização abaixo do nome de usuário e senha na janela de login do WordPress.
Além disso, você pode sugerir um plugin para criar uma URL personalizada para a janela de login?
Mitchell Miller
O Stealth Login foi removido do repositório de Plugins do WP.
Mas mudar o link do wp-login.php é o primeiro passo para proteger um site WordPress.
laya rappaport
O que acontece quando você dá seus detalhes de login para alguém trabalhar em seu site e essa pessoa altera os detalhes de login para que você não possa mais acessar sua conta do WordPress?
James Campbell
Não tenho certeza se há uma maneira de recuperar as informações do seu site necessariamente, mas se você puder, sempre crie um novo usuário e dê acesso a outras pessoas através desse usuário específico. Isso permite que você restrinja o acesso a certas áreas e também pode excluir o acesso deles quando não for mais necessário. Ceder seu acesso ao seu site permite que eles o bloqueiem.
Lisa Wells
Se alguém alterou suas informações de usuário do WordPress, espero que você ainda possa fazer login no seu banco de dados através, digamos, do phpMyAdmin. A partir daí, você deve ser capaz de criar um novo usuário administrador diretamente nas tabelas:
https://014.leahstevensyj.workers.dev/wp-tutorials/how-to-add-an-admin-user-to-the-wordpress-database-via-mysql/
user4574
Outro item útil não mencionado são as permissões do banco de dados. O usuário do banco de dados do WordPress geralmente não precisa ter todas as permissões concedidas. Na grande maioria dos casos, ele só precisa de ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE.
Então, se você estiver fazendo isso diretamente no mysql, seria:
GRANT ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE ON .* TO ”@’localhost’;
Se estiver fazendo isso no cPanel ou algo assim, basta marcar as caixas apropriadas ao conceder permissões ao db_user.
Tanmoy Das
Dicas incríveis para qualquer novato! Quero sempre mudar o URL de login, mas não sei como fazer. Obrigado por essas dicas.
Derick
@Daniel: Hackers agora têm uma ferramenta que enumera/lista todos os seus nomes de usuário, incluindo as funções deles, então fazer isso não enganaria o hacker de forma alguma.
Thorir
Acabei de instalar o plugin Limit Login Attempts nos meus sites WP. Em um deles, quase imediatamente notei um bloqueio, também foi a única instalação que estava na raiz. Todas as outras estão em um subdiretório e várias horas depois nenhuma delas registrou um bloqueio.
Talvez isso seja um fator útil, em termos de segurança?
Mary
Olá, espero que você esteja bem!
Este foi um ótimo artigo, mas um pouco complicado para mim.
porque preciso do jeito fácil agora, o plugin de firewall do WordPress parecia bom, mas
Meu medo é perder minha página de login.
Passei muito tempo tentando trabalhar com FTP e não consegui entendê-lo.
Este será um bom plugin para uma medrosa?? Obrigado Mary
Ed van Dun
E quanto ao Bullet Proof Security? Ele cobre algumas áreas mencionadas acima e várias outras.
Prodip
Todas as dicas acima me ajudaram a tornar meu blog mais seguro.
Dr. Sean Mullen
Esta é uma ótima informação, mas por favor, atualize! Obrigado
Convidado
Eu sei que este artigo é de 2009, mas você pode fazer um atualizado, já que muitos desses plugins não são mais "oficialmente" compatíveis com o WordPress mais recente (3.4.x-3.5)?
Equipe Editorial
Sim, está em andamento junto com algumas outras coisas. Estamos fazendo o nosso melhor. Obrigado por nos informar.
Admin
whoiscarrus
Estou começando a me envolver com desenvolvimento em WP e não consigo agradecer o suficiente! Estas são ótimas para iniciantes como eu!
abhizz
dicas incríveis sobre wordpress, obrigado
Bigdrobek
Ótimo tutorial, mas por favor, você pode atualizá-lo?
Poucos plug-ins não existem, são antigos ou estão ocultos pelo WordPress.org.
– Stealth Login
– Login Lockdown
– Admin SSL
Estou interessado no passo 1) Criar Links de Login Personalizados – você tem alguma dica para um novo plugin que faça um trabalho semelhante?
Faizan Elahi ( BestBloggingTools)
This is a great resource. Thanks
mattjwalk
Você também poderia adicionar à lista, "usar autenticação de segundo fator" em vez de senhas padrão. Existe um novo método de autenticação de site https://www.shieldpass.com onde você compra cartões de acesso baratos e depois instala o plugin do WordPress. Em seguida, você coloca seu cartão na tela para ver os números de login dinâmicos em vez de uma senha estática. É único por também ser capaz de codificar dígitos de transação para autenticação mútua, o que impede táticas de atacantes de homem no meio, mesmo aqueles com acesso ao seu laptop ou celular.
Jermaine
O problema que tenho com o nº 6 é o endereço IP dinâmico, você fica bloqueado toda vez que seu endereço IP muda, qual é a solução?
Equipe Editorial
Você pode adicionar login personalizado se o IP não corresponder.
Admin
vivek
ótimo post e um bom guia para novos blogueiros como eu
fareed
Ótimo post e muito útil para mim, obrigado
Daniel
O hacker pensará que foi bem-sucedido quando fizer login com o nome de usuário administrador e descobrir que a função foi definida como 'assinante'. Isso não é outra forma de segurança adicional? Não quero excluir meu administrador porque coloco mensagens, etc. em fóruns e no blog e gosto que meus usuários saibam que é da administração. bem como uso meu nome de usuário regular!
Jonathan K. Cohen
Este artigo precisa ser revisitado. Vários dos plugins sugeridos não foram mantidos e podem ser incompatíveis com a versão mais recente do WP.
Estes incluem #1, #3 e #5.
John
Para #1, verifique este plugin chamado WPS Hide Login
Greg
Concordo totalmente com você. Tenho usado o plugin Limit Login Attempts no meu WordPress há algum tempo. Hoje este plugin está desatualizado. Mudei para o WP Cerber: