Gerenciar um site WordPress significa passar por diferentes emoções. Às vezes, há alegria, como quando você vê seu conteúdo sendo classificado lentamente no Google.
Às vezes, há raiva, quando seu site trava após uma atualização. E às vezes, você até sente medo. É quando seu site foi invadido, um inconveniente que não acontece apenas com outras pessoas.
Não entre em pânico, está tudo bem.
Para evitar suores frios no futuro e proteger seu site, use um plug-in de segurança.
O mais famoso no diretório oficial é chamado Wordfence Security. Como é difícil de ignorar, nós testamos para você descobrir o que ele tem na manga.
No final deste artigo, você saberá como configurá-lo e usá-lo.
O que é o Wordfence Security?
Wordfence Security é um plugin para fortalecer a segurança do seu site WordPress. Ele oferece vários recursos para proteger sua instalação, incluindo um firewall de aplicativo, um scanner de malware, autenticação de dois fatores e proteção contra ataques de força bruta.
Com mais de 4 milhões de instalações ativas, é o plug-in de segurança mais popular no diretório oficial de plug-ins, à frente do iThemes Security (1 milhão de instalações ativas), All in One Security (1 milhão de instalações ativas) e Sucuri 800 mil instalações ativas).
O plug-in Wordfence Security, também chamado de “Wordfence Free”, é gratuito. No entanto, o Wordfence também oferece várias opções pagas:
Wordfence Premium: uma versão ainda mais completa que o plugin gratuito, com suporte incluso.
Wordfence Care: a equipe de ferramentas de segurança instala o Wordfence, configura-o, otimiza-o e monitora seu site para você. Em caso de problemas relacionados à segurança, uma equipe dedicada intervém.
Wordfence Response, um serviço dedicado a sites WordPress onde o tempo de inatividade tem um impacto financeiro. Este serviço destina-se principalmente a grandes sites com muito tráfego e a lojas de comércio eletrónico.
Wordfence Intelligence: principalmente dedicado a hosts da web que desejam coletar dados sobre segurança em geral.
Observe que a equipe do WordFence também oferece dois outros plugins gratuitos no diretório oficial. O Wordfence Assistant é um plug-in que será útil se o Wordfence estiver ativo em seu site, mas você não puder mais acessar seu painel. O Wordfence Login Security contém alguns recursos já incluídos no plug-in gratuito: autenticação de dois fatores, proteção XML-RPC e CAPTCHA na página de login. Não há necessidade de ativá-lo se você já estiver usando o Wordfence Security.
Quais são os principais recursos do Wordfence Security?
O Wordfence Security é uma solução de segurança abrangente que funciona em vários níveis. Para aproveitá-lo, o usuário se beneficia de várias opções principais:
Um firewall de aplicação web (WAF) que identifica e bloqueia o tráfego malicioso de seu servidor web (e não na nuvem, como oferecido por seu concorrente Sucuri, por exemplo)
Um scanner de malware que bloqueia solicitações que incluem código ou conteúdo malicioso
Proteção contra ataques de força bruta limitando o número de tentativas de conexão à sua página de login de administração
Autenticação de dois fatores, para adicionar uma camada extra de segurança para fazer login no seu site WordPress
reCAPTCHA em suas páginas de login para evitar que bots façam login e para limitar o spam
Alertas por e-mail quando um problema de segurança é detectado
Uma plataforma chamada Wordfence Central para gerenciar a segurança de vários sites em um só lugar. Ele funciona com o mesmo princípio do ManageWP, que permite que você mantenha seus sites WordPress.
Por que você deve usar um plugin de segurança como o WordFence?
Você será redirecionado para o painel do WordPress, com os campos “Email” e “Chave de licença” já preenchidos. Finalize clicando em “Instalar licença”:
Muito bem: o plug-in está instalado e funcionando. Na barra lateral esquerda, em sua interface de administração, agora você tem um novo menu chamado “Wordfence”, contendo todas as configurações oferecidas pelo plugin:
Vamos dar uma olhada neles agora, apenas para ver o que está sob o capô do plugin.
Como configurar o plug-in Wordfence Security
Como funciona o painel de segurança do Wordfence?
O núcleo do plug-in é seu painel.
Oferece atalhos rápidos para acessar as diferentes opções oferecidas pelo plugin, que você também pode encontrar no menu localizado na barra lateral esquerda.
Com um clique, você pode aproveitar:
O firewall do aplicativo
O scanner de malware
Wordfence Central. Para usufruir deste serviço, que permite atualizar a segurança de seus sites a partir do mesmo painel, você deve criar uma conta gratuita. Isso pode ser útil se você precisar gerenciar a segurança de vários sites ao mesmo tempo. Para uso individual, pule.
Opções gerais para configurar seus alertas de e-mail, firewall e configurações do scanner
Acesso à documentação do plugin
Um registro de notificação
Um resumo dos ataques bloqueados em seu site WordPress
Um gráfico mostrando o número total de ataques bloqueados em toda a rede Wordfence
O painel é claro e compreensível; é fácil encontrar o caminho através das diferentes opções.
Como usar o firewall do aplicativo
Proteção contra múltiplos ataques
Uma das principais características do Wordfence é seu firewall de aplicativo.
Ele pode identificar tráfego malicioso e bloquear hackers e outros bots maliciosos antes que eles possam acessar seu site.
O firewall é acessível através de Wordfence > Firewall. Ele protege seu site contra os seguintes ataques:
Injeções de SQL, ou seja, ataques ao seu banco de dados
Cross-site scripting (XSS): código malicioso é injetado no conteúdo de suas páginas
Downloads de arquivos maliciosos
Ataques de travessia de diretório
Vulnerabilidades de inclusão de arquivo local (LFI), nas quais arquivos remotos são adicionados ao seu servidor da Web
Por padrão, o firewall fica no modo de aprendizado por uma semana, a partir do momento em que você instala o plug-in.
“Isso permite que o Wordfence conheça seu site para entender como protegê-lo e como permitir que visitantes normais passem pelo firewall”, diz Wordfence. “Recomendamos que você deixe o Wordfence no modo de aprendizado por uma semana antes de ativar o firewall.”
Se você deseja substituir essas recomendações, clique em “Ativado e protegendo” no menu suspenso abaixo:
Conforme mencionado anteriormente, apenas a versão premium do plug-in recebe uma atualização de firewall em tempo real sempre que uma nova ameaça é detectada pela equipe do Wordfence (globalmente, não necessariamente um ataque destinado a atingir seu site). A versão gratuita do firewall é atualizada 30 dias após a detecção da ameaça.
Como funciona o firewall Wordfence Security
Por padrão, o plug-in definiu configurações básicas para fortalecer a segurança do seu site. Mas você ainda pode personalizar configurações um pouco mais técnicas aproveitando as opções adicionais:
Entre eles estão:
Lista de permissões de determinados endereços IP
Inserção de endereços IP a serem ignorados pelo firewall
Configurando a proteção contra ataques de força bruta. Por exemplo, você pode especificar quantas tentativas de login com falha são necessárias para impedir o acesso à sua página de login (e por quanto tempo).
Isso economiza o uso de um plug-in adicional como Limit Login Attempts Reloaded.
Quando o firewall está funcionando corretamente, os círculos mostram seu nível de proteção (em porcentagem). Quando o círculo estiver cinza, o firewall está no modo de aprendizagem.
O objetivo é atingir uma pontuação de 100% (cor verde). Você pode conseguir isso seguindo as recomendações fornecidas, passando o mouse sobre cada círculo:
No entanto, uma pontuação de 100% nem sempre será alcançável com a versão gratuita do plug-in.
Para conseguir isso, você terá que usar opções premium, como bloqueio em tempo real de endereços IP.
A guia Bloqueio do firewall do aplicativo
Além das regras de firewall que protegem contra vários ataques, o Wordfence também possui recursos personalizados para bloqueio adicional. Estes podem ser acessados através da aba “Bloqueio”:
Você pode criar regras de bloqueio com base em:
endereço de IP
Uma área geográfica
Um conjunto de critérios (padrão personalizado), como uma rede de endereços IP ou navegadores da web
Para mais informações sobre isso, assista a este vídeo:
Passemos ao scanner oferecido pelo plugin, acessível via Wordfence > Scan.
A ferramenta de verificação verifica seu site (arquivos principais, temas e plug-ins) em busca do seguinte: malware, URLs ruins, backdoors, acesso remoto ao seu site, spam de SEO, redirecionamentos maliciosos e outras injeções de código.
Durante a verificação, o plug-in “compara seus arquivos principais, temas e plug-ins com o que está no diretório WordPress.org”, detalha o Wordfence Security. “Ele verifica sua integridade e notifica você sobre qualquer alteração.”
Inicialmente, a verificação se concentra em verificações de spam e endereços IP na lista negra (somente para a versão premium). Em seguida, ele examina os arquivos do seu site e fornece os resultados.
No meu caso, o plugin me avisa que estou usando um login de administrador muito inseguro (“admin”). Posso resolver esse problema clicando em “Editar” ou simplesmente ignorá-lo:
Quanto ao firewall, os círculos me mostram os elementos a serem otimizados para atingir uma pontuação de 100%.
Ao clicar em “Opções e agendamento de digitalização”, também é possível editar configurações mais específicas.
Para otimizar o desempenho, você pode, por exemplo:
Escolha executar o scanner de forma limitada, para economizar largura de banda (lembre-se de que o Wordfence é executado em seu servidor da Web, portanto, usa recursos)
Limite manualmente o número de itens a serem verificados
Como ativar a autenticação de dois fatores
Após o firewall e o scanner do site, o WordFence Security sugere que seus usuários habilitem a autenticação de dois fatores (Wordfence 2FA).
A autenticação de dois fatores adiciona uma medida de segurança adicional para fazer login no seu site WordPress.
Depois de inserir seu nome de usuário e senha, você será solicitado a usar um dispositivo, geralmente seu smartphone ou tablet, para validar o processo de login.
Este é um método já utilizado pelas instituições bancárias quando efetua pagamentos online. É muito eficaz em protegê-lo contra ataques de força bruta.
Para usá-lo, vá para o menu Wordfence > Login Security. Em resumo, você precisa:
Instale um aplicativo em seu smartphone para se autenticar, como Google Authenticator, Sophos Mobile Security ou FreeOTP Authenticator.
Digitalize o código QR oferecido pelo Wordfence no aplicativo de autenticação escolhido (1).
Digite o código de 6 dígitos exibido após a verificação do código QR para autorizar a conexão entre seu site WordPress e o aplicativo (2).
Se você quiser ver esse processo de ativação visualmente, confira este recurso:
A autenticação de dois fatores pode ser configurada para todas as funções de usuário, do administrador ao assinante, por meio da guia Configurações:
Ainda na aba “Configurações” do menu “Segurança de Login”, você também pode habilitar o Google reCAPTCHA versão 3, para proteção contra spam na página de login do admin. Para funcionar, este serviço requer uma chave de licença gratuita do Google.
Outras ferramentas oferecidas pelo Wordfence Security
O tour do proprietário do WordFence Security é bem avançado. Para finalizar, vamos nos aprofundar nos dois últimos menus oferecidos pelo plugin de segurança do WordPress.
O menu Ferramentas
O menu Ferramentas consiste em quatro guias:
“Live Traffic” mostra o que está acontecendo em seu site em tempo real, incluindo logins de usuários, tentativas de hacking e solicitações que foram bloqueadas pelo firewall Wordfence. Um código de cores (verde, cinza, amarelo e vermelho) informa quem está tentando acessar seu site (humanos ou bots) e o status (aviso ou bloqueio):
“Whois Lookup” para saber quem é o proprietário de um endereço IP ou nome de domínio que visita seu site ou se envolve em atividades maliciosas em suas páginas
“Opções de importação/exportação” para exportar ou importar suas opções do Wordfence para outro site WordPress
“Diagnóstico” fornece informações que podem ser usadas para resolver conflitos, problemas de configuração ou compatibilidade com outros plugins, temas ou ambiente do servidor.
O menu Todas as opções
O menu “Todas as opções” contém todas as opções que estão espalhadas em outros menus (como firewall, scanner ou opções de conexão) na mesma página.
A vantagem é que você encontra tudo no mesmo lugar. Não vou entrar em todas as opções, pois você já viu as principais.
No entanto, é interessante notar que é aqui que você pode definir suas preferências de alerta de e-mail. Tem uma dezena de checkboxes que lhe permitem, por exemplo, ser alertado (ou não):
Quando um endereço IP é bloqueado
Quando uma pessoa é banida da sua página de login
Quando um número significativo de ataques é detectado em seu site WordPress
É isso para este tour completo dos recursos do Wordfence Security. Agora, vamos dar uma olhada mais de perto no preço dessa ferramenta.
Quanto custa o Wordfence?
O Wordfence Security está inicialmente disponível gratuitamente no diretório oficial do WordPress. Claro que, como qualquer versão gratuita, não inclui todas as opções oferecidas na versão paga do plugin.
O Wordfence Premium custa US$ 119/ano. Além do suporte prioritário, a principal diferença em relação à oferta gratuita é a frequência de atualizações das ferramentas oferecidas pelo Wordfence.
Com premium, assim que os servidores do Wordfence detectam ameaças em tempo real, eles atualizam suas regras de firewall, detecção de malware e lista de bloqueio de IP em um piscar de olhos.
Com o plug-in gratuito, você deve aguardar 30 dias após a ativação para se beneficiar das atualizações.
Além disso, o Wordfence também oferece duas licenças nas quais uma equipe dedicada instalará, configurará e gerenciará o Wordfence para você:
Wordfence Care: $ 490 / ano
Resposta Wordfence: $ 950 / ano. Esta licença oferece acesso às mesmas opções do Wordfence Care, mas você também tem um tempo de resposta garantido de no máximo uma hora e as respostas estão disponíveis sete dias por semana.
Essas duas últimas ofertas são principalmente para grandes sites e pessoas que não têm tempo para cuidar da segurança de seu site (e que têm orçamento para delegar essa tarefa).
Para o seu site ou blog pessoal, o plug-in gratuito ou premium do Wordfence será suficiente.
Nossa opinião final sobre o plugin Wordfence
Para finalizar, vamos recapitular o que vimos desde o início deste artigo, com um resumo dos pontos fortes e fracos deste plugin de segurança.
Vantagens do plug-in Wordfence Security
A interface agradável e clara, que facilita o aprendizado
Ele aplica automaticamente as configurações básicas de segurança para você
Os muitos recursos oferecidos na versão gratuita, incluindo um firewall de aplicativo
Autenticação de dois fatores
O scanner de segurança
Alertas de e-mail para que você saiba quando há um problema
Desvantagens do plug-in
Algumas configurações são muito complexas para um iniciante, mas esse também é o caso de outros plugins de segurança
O fato de que as atualizações mais recentes das ameaças detectadas são aplicadas apenas 30 dias após serem lançadas
O uso do Wordfence pode causar lentidão em suas páginas porque consome muitos recursos do servidor. Se o seu host não acompanhar, o desempenho do seu site poderá ser afetado.
Você deve usá-lo?
No geral, o Wordfence é um plugin de segurança muito bom. Como a maioria de suas opções funciona automaticamente, é adequado para iniciantes.
Usuários mais avançados apreciarão poder editar configurações mais técnicas e avançadas.
Graças ao plug-in gratuito, você terá um escudo valioso para bloquear a maioria dos ataques maliciosos, especialmente por meio do firewall do aplicativo. Este último já será eficaz em fornecer um primeiro nível de segurança para o seu site.
Isso é importante notar porque outros plugins concorrentes (por exemplo, Sucuri) não oferecem um firewall em sua versão gratuita. No entanto, é uma proteção básica para qualquer site.
E se você também quiser se proteger das ameaças mais recentes detectadas pela equipe do Wordfence (é sempre melhor), mude para o pacote premium se seu orçamento permitir.
Finalmente, não se esqueça que usar um plugin de segurança não é tudo. Em primeiro lugar, porque nenhum site é infalível. Em segundo lugar, porque você precisa aplicar boas práticas no dia a dia. Por exemplo, lembre-se de atualizar e fazer backup de seu site regularmente.
Então, o que você acha do Wordfence? Me dê sua opinião nos comentários.
Sobre o autor
Equipe WPMarmite
O WPMarmite ajuda os iniciantes a obter o melhor do WordPress com tutoriais detalhados e análises honestas. Conheça o fundador, Alex, e sua equipe aqui.
Fonte