Você está visualizando atualmente SecuPress: guia completo do plugin de segurança para WordPress

SecuPress: guia completo do plugin de segurança para WordPress

Há algumas coisas que realmente não gostamos de ouvir. Alguns exemplos vêm à mente: “O preço da gasolina está subindo 20 centavos”. “Seu aluguel foi aumentado.” “Seu pedido de férias não foi aceito.”

Ou “Seu site WordPress foi invadido”. Claro, neste caso, ninguém vai avisá-lo. Se isso acontecer, você ficará com nada além de lágrimas.

Por favor me ajude a colocar meu site online novamente!

Como não quero que isso aconteça com você, sugiro que limite os riscos usando um plugin de segurança como o SecuPress.

Este realmente vale o desvio, e não apenas porque é feito na França. Eu dou uma revisão detalhada neste guia, que também serve como um tutorial.

Ao final da leitura, você saberá quanto vale esse plugin e se deve utilizá-lo em seu site WordPress.

O que é SecuPress?

SecuPress é um plugin de segurança do WordPress. Entre seus muitos recursos, o plug-in é capaz de proteger seu site bloqueando solicitações de entrada maliciosas. SecuPress também se destaca da concorrência graças ao seu scanner, que é capaz de detectar problemas de segurança e corrigi-los automaticamente.

Lançado em agosto de 2016 no diretório oficial, o SecuPress (mais de 30 mil instalações ativas) está entre os plugins de segurança mais populares, ao lado de concorrentes famosos como:

iThemes Security (mais de 1 milhão de instalações ativas)
Wordfence Security (mais de 4 milhões de instalações ativas)
All in One Security (mais de 1 milhão de instalações ativas)
Sucuri (mais de 800 mil instalações ativas)

O SecuPress é um plug-in freemium, o que significa que possui uma versão gratuita (SecuPress grátis) e uma versão paga, chamada SecuPress Pro (que inclui todas as opções).

SecuPress, um plugin 100% made in France

Atrás do SecuPress, encontramos Julio Potier, especialista em segurança desde 2002. Após 18 meses de desenvolvimento com seu ajudante Grégory Viguier, Julio lançou oficialmente o SecuPress em agosto de 2016.

Na época, ele ainda trabalhava na WP Media, empresa francesa que edita os plugins WP Rocket e Imagify, entre outros.

O projeto SecuPress estava na cabeça de Julio desde 2013, como ele explica no press kit dedicado ao plugin.

Para deixar sua marca em um mercado muito competitivo, a SecuPress se concentrou em três aspectos principais:

Fácil de usar
Opções que podem ser compreendidas por qualquer tipo de usuário, do iniciante ao avançado
Oferecendo opções de segurança essenciais que podem ser aplicadas sem nenhuma modificação ou ajuste de sua parte

A ideia principal por trás de tudo isso: você não precisa ser um especialista em segurança para usar o SecuPress.
Quais são os recursos do SecuPress?

SecuPress — e não Securpress, como às vezes é escrito incorretamente — garante a segurança do seu site em quatro etapas, conforme indicado em sua página de apresentação:

Primeiro, ele verifica sua instalação do WordPress em busca de vulnerabilidades. 32 pontos de segurança são verificados.
Um assistente então apresenta os problemas detectados de forma simples e compreensível.
SecuPress passa a corrigir automaticamente as vulnerabilidades detectadas a seu pedido: tudo o que você precisa fazer é marcar a caixa associada à vulnerabilidade identificada.
Finalmente, um relatório final de segurança permite que você veja todas as correções feitas pelo plugin.

Aqui estão alguns dos principais recursos deste plug-in de segurança do WordPress:

Firewall
Proteção contra ataques de força bruta
Varredura de integridade do site
Movendo a página de login
Autenticação de fator duplo (2FA)
Bloqueio de bots e malware
Detecção de temas e plugins vulneráveis
Alertas por e-mail e Slack
Backup do banco de dados do WordPress e arquivos do site
Alterar prefixo do banco de dados
Forçando atualizações principais e secundárias do WordPress
Adicionando constantes de segurança ao arquivo wp-config.php

Além disso, o SecuPress é um plug-in que tem a reputação de cuidar do tempo de carregamento, uma vantagem significativa para não afetar negativamente a experiência do usuário.

Por que proteger o WordPress é importante?

Antes de passar para a apresentação das opções e configurações do SecuPress, gostaria de chamar sua atenção para a importância da segurança do seu site WordPress.

Ao contrário da crença popular, o WordPress é um CMS (Sistema de Gerenciamento de Conteúdo) seguro.

Como afirmou o especialista em segurança Patchstack em um relatório publicado em 2021, quase todas as vulnerabilidades detectadas vêm de temas e principalmente de plugins (99,42% do total de vulnerabilidades).

Como nenhum site é infalível, é sua responsabilidade como webmaster proteger sua instalação do WordPress.

Porque no caso de hacking, as consequências podem ser muito infelizes e levar a:

A perda e roubo de inúmeros dados, mais ou menos sensíveis (textos, imagens, meios de pagamento, etc.), especialmente dos seus clientes
Perda de tempo, pois você terá que limpar o site hackeado e atualizar tudo
Despesas financeiras não planejadas, especialmente se você chamar um especialista em segurança. Após um hack, você também pode ser solicitado a pagar um resgate
Uma degradação da imagem da sua marca e uma possível perda de confiança de seus usuários atuais e/ou futuros clientes
Uma queda na sua posição de SEO nas páginas de resultados de pesquisa do Google, que favorecem sites seguros. Pode até desaparecer, o que pode ter um impacto significativo no seu volume de negócios.

A vantagem de usar um plug-in completo como o SecuPress é que você tem dezenas de recursos relacionados à segurança em um só lugar – pense no plug-in como uma caixa de ferramentas.

Como resultado, você não precisa ativar vários plug-ins diferentes para executar ações diferentes (por exemplo, um plug-in para proteção contra ataques de força bruta, um plug-in para ativar a autenticação de dois fatores etc.).

Digamos que o gerenciamento é mais simples e ainda por cima você evita sobrecarregar seu site com vários plugins.

Agora que você entende a importância da segurança no WordPress, vamos descobrir como proteger seu site com o SecuPress. Para começar, vou detalhar como instalar e ativar o plugin.

Para este teste, usei o SecuPress Pro, que inclui todas as opções oferecidas pelo plug-in. Se você estiver usando a versão gratuita do plug-in, não terá acesso a todos os recursos que apresentarei aqui. Vou comparar as diferenças entre as duas versões no final do artigo.

Como instalar o SecuPress Pro em duas etapas
Etapa 1: Ative o plug-in no painel do WordPress

Para começar, vá para o menu Plugins > Adicionar novo na interface de administração do WordPress.

Digite “SecuPress” na barra de pesquisa e clique no botão “Instalar agora” no resultado “SecuPress Free – WordPress Security”:

Continue lembrando-se de ativar o plugin. É isso: a versão gratuita já vem pronta para uso.

Você notará um novo menu na parte inferior da barra lateral esquerda de sua interface de administração. Este menu consiste em três entradas:

“Scanners”, para executar uma varredura em seu site.
“Módulos” lista todas as opções oferecidas pelo SecuPress em um painel.
Links “Mais segurança” para a página de preços do SecuPress, se você quiser aproveitar a versão paga.

Se você deseja ativar o SecuPress Pro, vá para a próxima etapa abaixo.

Passo 2: Ative sua licença Pro

Para executar a versão premium do SecuPress em seu site WordPress, vá para SecuPress > Módulos > Painel.

Então simplesmente:

Adicione o endereço de e-mail que você forneceu quando comprou a versão Pro.
Introduza a chave de licença que encontrou na sua área de cliente.
Ative a licença clicando no botão correspondente.

O SecuPress agora está ativo: está apenas esperando que suas instruções funcionem. ^^ Descubra como fazer isso na próxima parte.

Análise da interface e manuseio
SecuPress, um plugin muito fácil de usar

Antes de entrar em detalhes, vou dar uma olhada na interface do usuário (UI) do plug-in, porque vale muito a pena.

O que chama a atenção quando você começa a usar o SecuPress é a simplicidade do plug-in e sua facilidade de uso. O plugin é muito fácil de usar por vários motivos:

A interface é muito elegante em termos de design. É limpo, esteticamente agradável e você pode ver rapidamente o que precisa fazer, graças aos botões de chamada para ação claramente visíveis, por exemplo.
Além disso, essa interface lembra plugins como WP Rocket (link afiliado) ou Imagify. Isso faz sentido: Julio Potier fazia parte da WP Media quando lançou o SecuPress, lembre-se.
Você não está se afogando no meio de inúmeros menus. Na verdade, você tem “apenas” duas opções principais para agir com o SecuPress: escanear seu site ou ativar várias opções por meio de módulos.

Esses dois principais recursos distinguem o SecuPress de seus concorrentes, cujas respectivas interfaces são claramente menos polidas e mais difíceis de entender, com mais jargões técnicos.

Veja a interface do Wordfence Security, por exemplo. De repente, parece muito menos legível:

Um painel com uma abordagem modular

Quer você use a versão gratuita ou paga do SecuPress, o painel do plug-in (acessível em SecuPress > Módulos) consiste em 13 módulos.

Se você usar o SecuPress Pro, todas as opções estarão disponíveis. Eles podem ser ativados ou desativados marcando uma caixa.

Se você usar a versão gratuita do plug-in, as opções do Pro ficarão desfocadas e você não poderá ativá-las:

Esta opção só pode ser ativada com o SecuPress Pro.

Agora vamos ao que interessa, com o primeiro recurso importante oferecido pelo SecuPress: escanear seu site. O plug-in sugere que você execute uma verificação assim que ativá-lo, então vamos lá!

Como funciona o scanner de segurança?
Execute a verificação

Para aproveitá-lo, vá para SecuPress > Scanners. Em seguida, clique no botão “Verificar meu site”:

Em alguns segundos, o SecuPress fará uma varredura em seu site e oferecerá um relatório de segurança, incluindo uma pontuação geral.

No meu caso, você pode ver que há trabalho a fazer: tirei nota média de C+. Dos 32 elementos de segurança avaliados, o SecuPress considera que 10 deles são ruins.
Se eu rolar a página, posso acessar a descrição de cada ponto defeituoso com uma pequena frase explicativa. Também posso obter mais detalhes clicando em “Saiba mais”.

Se eu quiser corrigir esses problemas, basta clicar no botão “Próximo passo”.

Corrija automaticamente os pontos “ruins”

O SecuPress então me mostra todos os pontos que precisam ser corrigidos.

Você pode controlar a correção automática de cada item marcando (o item será corrigido) ou desmarcando o item de sua escolha (não será corrigido).

Se você não tem certeza do que está fazendo, recomendo que siga as recomendações do plugin. Ou seja, deixe as caixinhas que foram marcadas automaticamente e clique no botão “Corrigir”.

Dependendo da quantidade de itens a serem corrigidos, a operação deve levar no máximo três minutos.

Executar operações manuais

Quando o SecuPress tiver feito seu trabalho, ele informará quais módulos foram ativados no topo da página que aparece.

Se você não marcou todas as opções sugeridas na etapa anterior (o que fiz voluntariamente para fins deste teste), o SecuPress recomenda que você corrija manualmente (com sua validação) os problemas detectados durante a verificação.

Abaixo, você pode ver que sou solicitado a ativar a autenticação dupla na minha página de login, o que é uma ótima prática de segurança. Você também pode:

Ignore a recomendação (não recomendado)
Corrija e continue (ação recomendada)
Veja um resumo dos itens corrigidos

Por fim, você terá um relatório de resolução com um resumo das ações tomadas.

No meu caso, minha nota passou de C+ para B+. Ainda tenho itens para corrigir, 8 no total. Novamente, não ter tudo corrigido não é uma boa prática.

Em seu site, você deve corrigir todos os itens ruins apresentados, se possível. Não fiz isso aqui só porque estava testando o plugin.

Para ir além e reforçar a segurança do seu site, você pode fazer ajustes adicionais módulo por módulo, conforme detalhou na próxima seção.

Quais módulos o SecuPress oferece?

Agora você sabe: você pode acessar os módulos através de SecuPress > Módulos. São 13 no total, oferecendo quase cem opções!

Vou apresentá-los um a um, com suas configurações essenciais.

Painel

Com este primeiro módulo, você pode:

Digite sua licença Pro
Modifique as configurações avançadas, como exibir ou não o menu SecuPress na barra lateral de administração
Exporte e importe suas configurações do SecuPress. Isso é útil se você quiser usar o plug-in em vários sites ao mesmo tempo. Há também um botão para redefinir as configurações do plug-in com um clique.
Usuários e login

O módulo “Usuários e Login” oferece vários recursos úteis. Eu aconselho você a ativar as seguintes opções:
Mova as páginas de administração e login. Ao fazer isso, sua página de login não estará mais acessível a todos em um dos seguintes URLs: your-site.com/wp-admin ou your-site.com/wp-login. Você poderá inserir o URL de sua escolha (por exemplo, seusite.com/Ui78vcF45). Escolha algo complexo para descriptografar.
Limite o número de tentativas de conexão com a administração, incluindo ataques de força bruta. Você pode inserir o número de tentativas antes do banimento e definir um período de tempo durante o qual a pessoa ou bot mal-intencionado não poderá acessar a página de login.
Use autenticação dupla, especialmente com o método sem senha. Nesse caso, o usuário deverá clicar em um link recebido por e-mail para efetuar o login, após ter inserido seu endereço na página de login.
Use um captcha na página de login, para limitar as tentativas de login de robots.
Forçar o uso de senhas fortes.
Plugins e temas

O módulo de temas e plugins é muito útil se você planeja permitir que os clientes controlem seu site. Ele contém várias opções para proibir a adição, desativação ou remoção de plug-ins.

Marque as caixas que lhe interessam se quiser ter certeza de que seu cliente ou a pessoa que gerencia o site não faz nada de errado.

Se você é o único gerenciando o site e sabe o que está fazendo, não precisará mexer muito aqui.

Eu ainda recomendo que você marque as duas caixas a seguir, não importa o quê:

Detecção de plugins ruins
Detecção de temas ruins

Nesses casos, você será notificado quando plug-ins ou temas conhecidos por serem vulneráveis forem ativados (graças ao serviço de monitoramento diário de segurança Patchstack).

Núcleo do WordPress

Neste módulo, aconselho você a ativar primeiro as seguintes opções:

Atualizações secundárias, para forçar atualizações secundárias em segundo plano se estiverem desativadas (por exemplo, por um plug-in)
Altere o prefixo do banco de dados. Por padrão, o prefixo wp_ é atribuído às suas tabelas de banco de dados quando o WordPress é instalado. Isso significa que é fácil detectar no código que seu site está sendo executado no WordPress, para atacá-lo. Altere este prefixo para algo mais complicado (por exemplo, fgd56mld90_).
Desative o editor de arquivos para evitar a edição de plugins e arquivos de tema diretamente da interface do WordPress.
Crie chaves seguras para sua instalação do WordPress. Essas chaves estão localizadas no arquivo wp-config.php e permitem uma melhor criptografia de certas informações, como os cookies de um usuário que faz login na administração do seu site. Se um hacker tiver esses cookies, ele poderá fazer login em seu site mesmo se você redefinir sua senha… A menos que você altere suas chaves de segurança.

O SecuPress também permite que você habilite atualizações automáticas para as principais versões do WordPress. Na verdade, essa é uma boa prática, mas pessoalmente prefiro realizar minhas atualizações principais alguns dias após o lançamento, manualmente, em parte para evitar possíveis problemas de compatibilidade (embora sejam bastante raros). Se você é o tipo de pessoa que se esquece de atualizar, marque a caixa correspondente.

Dados sensíveis

No módulo “Dados sensíveis”, você pode primeiro manter as configurações padrão:

divulgação da versão do PHP
Divulgação da versão do WordPress

Então, eu particularmente recomendo que você:

Desabilite o protocolo XML-RPC, caso não o utilize
Proteja sua mídia contra hotlinking
Desativar a exibição de arquivos em pastas
Desative o acesso aos arquivos readme.txt ou changelog.md
Firewall

Com o módulo de firewall, você tem sete opções para bloquear solicitações maliciosas:

Agentes de usuário ruins (por exemplo, navegador de internet)
Métodos de solicitação incorretos
Bots de SEO falsos
Conteúdo ruim em URLs
Interrompa atividades maliciosas de um ou mais países

Aqui, aconselho você a marcar todas as caixas.

anti-spam

SecuPress permite ativar o anti-spam para combater comentários indesejados.

Marque a caixa “Preciso de comentários no meu site, lute contra o spam de comentários” SE você ainda não estiver usando um plug-in anti-spam como o Akismet.

Observe que o SecuPress também permite remover todos os recursos de comentários, se desejar.

Verificador de malware
Com o scanner de malware, você pode:

Examine seus arquivos e banco de dados em busca de vírus, ou seja, arquivos diferentes dos arquivos originais do WordPress Core (para descobrir quais foram modificados)
Bloqueie o acesso aos arquivos na pasta de uploads, para impedir seu uso se você for afetado por um vírus (marque esta caixa)
Registros e IP

O módulo “Logs e IP” permite inserir manualmente endereços IP para banir ou permitir.

Graças aos Logs, você também pode:

Acompanhe as ações realizadas em seu site (atualização de senhas, alteração de endereços de e-mail, login de uma função importante, etc.). Marque a caixa “Sim, mantenha um log de ação do WordPress” se estiver interessado.
Veja seus erros 404. No entanto, o SecuPress não permite que você faça redirecionamentos para “remover” seus 404s (o plugin não pode fazer tudo). Para isso, use o plugin Redirection.
Complementos

Este módulo permite instalar dois add-ons:

WP Activity Log, para ter um registro das modificações que ocorrem em seu site.
BackWPup, para fazer backup do seu site.

Cabe a você ver se precisa deles.

backups

Ter um backup recente do seu site é essencial em caso de problemas de segurança. A SecuPress entendeu isso e oferece um módulo dedicado.

Graças a este módulo, você pode fazer backup manualmente tanto de seus arquivos quanto de seu banco de dados, com a opção de excluir arquivos e tabelas de sua escolha.

Isso é definitivamente útil, mas ainda menos extenso do que um plug-in de backup dedicado pode oferecer a você.

Com o SecuPress, você não pode salvar seus backups em um espaço de armazenamento remoto (como Google Drive, Dropbox ou Amazon S3), o que ainda é uma boa prática.

E você precisa se lembrar de baixar e excluir cada backup o mais rápido possível, caso contrário, acabará usando o espaço de armazenamento alocado pela sua empresa de hospedagem.

Alertas

Com o módulo “Alertas”, você pode optar por ser notificado por e-mail ou no Slack em caso de eventos importantes, como a detecção de uma vulnerabilidade.

Você também pode receber um relatório diário com um resumo dos eventos importantes.

Horários

Finalmente, o último módulo está relacionado com horários para:

backups
digitalizações
Monitoramento de arquivos

Você pode escolher uma frequência diária máxima (por exemplo, todos os dias). Não é possível agendar backups por hora, por exemplo.
Bem, é isso! Agora você tem uma visão geral bastante completa de todos os módulos do plug-in de segurança SecuPress.

Vamos continuar nosso tour olhando os preços do plugin.

Quanto custa o SecuPress?

O SecuPress está disponível gratuitamente no diretório oficial do WordPress. Para aproveitar todos esses recursos, no entanto, você precisará optar pela versão paga, SecuPress Pro.

Os preços estão em uma escala móvel, dependendo do número de sites nos quais você deseja ativar o plug-in. Aqui estão alguns exemplos para você ter uma ideia:

€ 60/ano (cerca de $ 65) para uso em um site
€ 160/ano (cerca de $ 173) para uso em 5 sites
€ 260/ano (cerca de $ 280) para uso em 10 sites
€ 1180/ano (cerca de $ 1280) para uso em 100 sites
Versão gratuita ou versão Pro: qual você deve escolher?

Você está interessado no SecuPress, mas hesita entre a versão gratuita e a versão premium? Para decidir, tudo depende do tipo de site que você possui e do uso que pretende fazer do plugin.

Como diz o SecuPress, “a versão gratuita pode ser usada para sites pequenos, como blogs sem receita”.

Por outro lado, se você recebe tráfego regular, possui uma área de membros ou gerencia uma loja de comércio eletrônico, opte pela versão Pro.

Nesse caso, “você vai precisar de mais segurança e precisa economizar tempo. O SecuPress Pro pode agendar suas principais tarefas e enviar alertas quando necessário, por exemplo.”

De qualquer forma, você sempre pode ativar a versão gratuita primeiro para ver se é suficiente. Além disso, fique à vontade para conferir a comparação entre as duas versões oferecidas pelo SecuPress.

Agora é hora de fechar o círculo com uma revisão final e nossa opinião sobre o plug-in!

Nossa opinião final sobre SecuPress

SecuPress é um plugin muito completo que combina várias vantagens:

Facilidade de uso: nenhum conhecimento técnico é necessário para usar o plugin
A ergonomia e a interface do usuário, claramente superiores à concorrência
A presença de muitos recursos que reforçam a segurança do seu site, mesmo na versão gratuita. Por exemplo, o SecuPress oferece um firewall, como o Wordfence (iThemes Security e Sucuri não oferecem essa opção gratuitamente).
A abordagem modular, onde você pode ativar convenientemente apenas as opções necessárias
O assistente de configuração no nível do scanner, que leva você pela mão do início ao fim
Aplicação automática de configurações e patches de segurança (você não precisa fazer nada, exceto caixas de seleção)
Explicações simples e úteis para cada recurso
As atualizações frequentes
Seu preço, muito mais barato (para os mesmos recursos) do que seus principais concorrentes (Wordfence Security, iThemes Security, Sucuri, etc.)

Pessoalmente, gostei muito deste plugin e não vejo grandes desvantagens.

SecuPress: para quem?

Por fim, a questão é se você deve usá-lo, principalmente considerando o que a concorrência está oferecendo.

Não vou comparar SecuPress vs Wordfence ou SecuPress vs iThemes Security.

Para formar sua própria opinião, convido você a ler os tutoriais que dedicamos a esses plugins:

Ao lado desses quatro, o SecuPress não tem do que se envergonhar, longe disso. Para mim, é o plugin com melhor design em termos de interface e experiência do usuário.

É muito fácil de usar e será perfeito para iniciantes, é claro, mas também para usuários mais experientes.

Em termos de opções, acho mais abrangente do que Sucuri e iThemes Security. Por outro lado, o firewall Wordfence parece mais poderoso para mim.
Baixe o plug-in SecuPress:

Afinal, o SecuPress é um plugin que eu instalaria de olhos fechados para fortalecer a segurança de um site WordPress.

Para você, você usa em seu site? Vamos continuar a discussão nos comentários.

Sobre o autor

Equipe WPMarmite

O WPMarmite ajuda os iniciantes a obter o melhor do WordPress com tutoriais detalhados e análises honestas. Conheça o fundador, Alex, e sua equipe aqui.

Fonte