A segurança do WordPress é um problema sério. Milhares de sites WordPress são invadidos diariamente. E como nos proteger dessa ameaça antes que ela aconteça? Este é um ponto onde a prevenção é sem dúvida muito melhor que a remediação que tende a ser difícil de resolver.
Um site invadido por um malware pode derrubar seu site, apagar dados do banco de dados ou ainda apagar completa seus arquivos do WordPress. Uma invasão por hacker pode gerar resultados iguais ou piores que uma infecção, portanto é sempre muito importante manter a segurança do WordPress em dia.
As duas principais formas de proteção do WordPress são: ter seu site em uma hospedagem segura e comprometida com a segurança e com métodos eficazes de segurança, e proteger sua instalação do WordPress com plugins, ajustes de arquivos e algumas políticas de segurança importantes.
Falando em plugins, Sucuri, Wordfence e Defender são os plugins mais populares do WordPress. Ambos possuem ferramentas robustas de segurança e um conjunto de recursos importantes para a proteção do seu site.
Mas afinal, qual é o melhor plugin de segurança para WordPress? Nós testamos alguns dos melhores e mais populares plugins exaustivamente e vamos compará-los neste artigo para que você possa escolher o plugin de sua preferência.
Faz sentido pra você? Então vamos em frente.
Conteúdo deste post
Conhecendo a segurança do WordPress
Quais são as brechas que os hackers usam
Revisão do plugin Sucuri
Plugins de segurança WordPress
Revisão do plugin Sucuri Security
Revisão do plugin Wordfence
Revisão do plugin Defender
Conhecendo a segurança do WordPress
O WordPress é o sistema de gerenciamento de conteúdo (CMS) mais popular do mundo. Segundo dados oficiais ele está presente em mais de 35% da internet. E como diz o velho jargão popular “prego que se destaca leva martelada”.
Todos os dias milhares de sites WordPress são invadidos por hackers ou infectados por malwares fazendo do WordPress o CMS mais atingido nas ações de hackers, e não é brincadeira, segundo o relatório de pesquisa de ameaças de 2019 da Sucuri, 94% das infecções em CMS’s na internet foram em sites WordPress.
Uma grande parcela da vulnerabilidade dos sites WordPress vem à partir da hospedagem, portanto é muito importante hospedar seu site em uma hospedagem segura para WordPress desde o início do seu site, blog ou loja virtual.
Quais são as brechas que os hackers usam
Cerca de 49% dos sites WordPress que sofreram ataques de rackers estavam desatualizados. Mas a principal fonte de vulnerabilidade ainda são os componentes externos, ou seja, plugins e temas.
Plugins e temas WordPress não seguem os mesmos protocolos de segurança do core do WordPress por serem desenvolvidos por empresas terceiras, que nem sempre utilizam as melhores práticas de segurança.
Plugins e temas representam incrivelmente mais de 68% de todas as vulnerabilidades encontradas pelo WPScan. E ainda segundo o relatório anual da Sucuri, os plugins que mais apresentaram brechas de segurança foram:
Além disso 44% dos sites apresentam mais de uma ameaça, pois é muito comum que um ou mais plugins e tema possam apresentar vulnerabilidades, aumentando ainda mais as chances de uma invasão.
Ainda assim ataques de força bruta (brute force) são o segundo tipo mais comum de vulnerabilidade. Nomes de usuários comuns e senhas fracas são definitivamente um grande problema, evitá-los é a melhor opção.
Como proteger seu site WordPress
Prevenir é o melhor remédio. E é a primeira ponta desta lança de segurança, as demais são monitorar e detectar. Por último é necessário a ação de resposta e recuperação em caso de problemas. Ou seja, corrigir a ameaça de forma rápida.
Prevenir
Melhor do que remediar é prevenir, no caso de ataques a sites WordPress o remédio pode ser amargo.
Apesar do core do WordPress ser muito seguro, afinal de contas muito dinheiro é investido para isto, ele por si só não é suficiente para fechar todas as brechas de segurança.
Políticas de senha segura, atualizações constantes, hospedagem com firewall de hardware, plugins de segurança e anti vírus para os sistemas operacionais são indispensáveis.
Detectar
Uma grande parte dos usuários WordPress sequer sabem que seus sites sofreram algum ataque, somente quando são drasticamente afetados.
Sistemas de detecção são extremamente importantes, monitorar requisições suspeitas e avaliar com calma relatórios de segurança são métodos de detecção poderosos.
Plugins de segurança como o Wordfence, Sucuri e Defender são excelentes opções para esta tarefa.
Corrigir
Antes que seja tarde. Correções são as ações tomadas para inibir as ameaças encontradas na etapa da detecção.
Corrigir é manter tudo atualizado, core do WordPress, plugins, temas. É utilizar políticas de senhas seguras, é fechar as portas do fundo (backdoors).
Neste momento ter a equipe da hospedagem apoiando as ações de correção e restauração é um ponto crucial. Aqui na Directart ataques são levados a sério e as ações de correção são imediatamente acionadas, incluindo nosso botão de pânico!
Ter bons plugins de segurança como Wordfence, Sucuri e Defender também poderá ajudar na correção de ameaças latentes.
Plugins de segurança WordPress
Nossa avaliação será realizada com 3 populares plugins levando em consideração critérios de segurança, preço, atualizações, funções específicas, documentação e nível de responsabilidade tecnológica.
Sucuri | Wordfence | Defender | |
---|---|---|---|
Preço | Começa em $199/ano | Começa em $99/ano | $49/mês |
Plugin disponível gratuito | Sim | Sim | Sim |
Firewall de aplicação Web (WAF) | Sim, premium | Sim, grátis | Não |
Proteção DDoS | Sim | Sim | Não |
Verificação de integridade | Sim | Sim | Sim |
Mascarar área do admin | Não | Não | Sim |
Escaneamento de Malware | Sim | Sim | Sim |
Estas são algumas das principais diferenças entre os plugins. Porém nós vamos mais fundo nesta comparação.
Revisão do plugin Sucuri Security
O plugin Sucuri Security possui três versões. O plugin Sucuri Security com recursos de escaneamento de malwares, monitoramento de atividade, relatórios de auditoria, autenticação em duas etapas e outros recursos que vamos explorar mais a frente.
A versão Website Security Platform é a mais completa, com rastreio avançado de códigos maliciosos, remoção de malwares, bloqueio de hack, proteção avançada contra ataques DDoS e o firewall de aplicação. Esta versão começa com preço de $199 ao ano, aproximadamente R$1.200 com impostos (na cotação do dolar em 04/2020).
A última versão do plugin é a Website Firewall (WAF), que é um firewall de aplicação, um recurso externo de proteção que bloqueia ataques e protege seu site antes mesmo do acesso chegar ao seu site. A versão do firewall custa $19.98 por mês.
A avaliação geral do plugin disponível no repositório oficial é 4,5, o que representa uma excelente nota para o Sucuri Security.
Prevenir
O plugin Sucuri Security possui um
Detectar
Corrigir
Revisão do plugin Wordfence
Particularmente gosto muito do Wordfence. É um plugin com um nível de proteção gratuito muito bom, recheado de recursos incluindo a central web de firewall.
O plugin Wordfence possui a versão gratuita disponível no repositório oficial e a versão premium que custa $99 por ano para 1 site. Custa a metade do preço da proteção completa do Sucuri.
A avaliação do plugin é excelente, recebendo a nota 5 no repositório oficial. É o plugin de segurança para WordPress mais usado.
Prevenir
A capacidade de prevenção do WordFence contra malwares é bem completa, verificando quem entra e quem sai do seu site em tempo real, monitorando visitas e tentativas de invasão, incluindo de onde eles são, seu endereço IP e a hora do dia.
Um recurso importante de prevenção é a autenticação de dois fatores (2FA), que adiciona uma segunda camada de segurança às contas dos usuários. Requer que eles não apenas digitem sua senha, mas também uma segunda informação à qual eles têm acesso. Uma conta protegida pelo 2FA é praticamente impossível de ser invadida. Mesmo que um invasor descubra seu nome de usuário e senha de alguma forma, ele ainda não conseguirá fazer login.
Detectar
O WordFence tem a capacidade de verificação de código-fonte para informar o que mudou e ajudar a reparar arquivos invadidos. Verificando a integridade de seus arquivos principais, arquivos de temas e arquivos de plugins não somente arquivos do WP.
O escaneamento do WordFence em sua versão free já é bem completa. Verifica o estado do servidor, alterações de arquivos, Segurança de Conteúdo e Códigos maliciosos, identificando malwares e vulnerabilidades em arquivos dentro do site.
O Plugin WordFence permite escolher um dos quatro tipos de escaneamento: limitado, padrão, completo e personalizado. Função importante na hora de fazer uma varredura mais especifica ou rápida.
Corrigir
Opções poderosas permitem bloquear o tráfego de qualquer fonte. Evite de forma rápida e eficiente ameaças à segurança do site, bloqueando redes maliciosas inteiras e qualquer atividade humana ou de robô que indique intenções suspeitas com base na correspondência de padrões e intervalos de IP. Juntamente com o bloqueio de país, que permite interromper um ataque, impedir o roubo de conteúdo ou encerrar atividades maliciosas originadas de uma região geográfica em menos de 1/300.000 de segundo.
O WordFence não possui uma capacidade de correção automatizada, porém lhe trás uma lista bastante detalhada, apresentando todos os erros encontrados e lhe mostrando quais as formas corretas de corrigi-los.
Revisão do plugin Defender
O plugin defender é bem mais tímido em relação a popularidade, bem como em relação aos recursos disponíveis. No entanto sua facilidade no uso e interface bastante amigável o tornam cada vez mais popular.
O plugin desenvolvido pela WPMUDEV tem um excelente custo benefício, $49 por mês para sites ilimitados. Na verdade ele faz parte de uma coleção completa de plugins premium da empresa, incluindo plugin de SEO, performance, uptime, backup, automatizadores e uma central de gerenciamento muito poderosa, o The HUB.
Pelo custo benefício e o nível avançado de profissionalismo da empresa WPMUDEV, nós da Directart optamos em utilizar os plugins premium da empresa estendendo este benefício para todos os clientes. Ou seja, todos os nossos clientes da hospedagem WordPress recebem esta coletânea de plugins gratuitamente, incluindo o Defender Pró.
Apesar de não ser tão popular, o plugin apresenta nota 5 na classificação. O que o coloca como um promissor plugin a medida que poderá crescer.
Prevenir
A capacidade de prevenção do plugin foi mais forte no log de auditoria do site, no agendamento do relatório de segurança de atividades suspeitas, bloqueios de IP, atualizações etc. E sem dúvidas em esconder a página de login coma URL diferente.
Autenticação em duas etapas também é uma grande ferramenta de prevenção. Baixando o aplicativo do Google Authenticator o acesso é realizado à partir de uma liberação no celular, que garante uma segurança extra no acesso administrativo.
Detectar
O escaneamento de arquivos detecta códigos maliciosos de plugins, temas, e do core do WordPress, identificando malwares e vulnerabilidades em arquivos dentro do site.
O Plugin Defender permite selecionar os tipos de arquivos que serão escaneados, e isso permite um escaneamento mais rápido possibilitando tomar ações em tempo hábil de resolver possíveis problemas.
Aqui você vai encontrar uma lista simplificada de ferramentas muito interessantes que o plugin Defender possui, como um bate bola rápido sobre as principais funções.
Corrigir
A capacidade de correção do defender tem mais força durante o escaneamento dos arquivos, devido a capacidade de seleção de tipos de arquivos que serão escaneados.
Outras correções automatizadas, ou seja, aquelas ações de correção em que o plugin não necessita de uma ação manual são:
- Bloqueio após uma quantidade de falhas de login;
- Bloqueio de nomes de usuários comuns (admin, user, wordpress, etc);
- Bloqueio de IP por quantidade de requisições nulas ou que retornam erros 404;
- O plugin utilizar a lista de bloqueio do Google para bloquear automaticamente “bad IPs”.
Também podemos destacar a recuperação de acesso administrativo por número de telefone, permitindo que você recupere os dados de acesso ao site mesmo que a senha de administração tenha sido hackeada ou trocada.