[powerpress]Getting hacked is one of the worst things that can happen to a blog or website owner.
Pode destruir semanas ou meses de trabalho, causar grande estresse pessoal e até afetar suas fontes de receita.
Infelizmente, ser hackeado é uma das realidades do negócio online.
No episódio de hoje, vou apresentar 15 dicas que, espero, ajudarão você a se preparar melhor. É minha sincera esperança que algumas dessas informações sirvam de catalisador para manter você e seu blog seguros.
Veja o episódio no iTunes aqui ou, se preferir, baixe-o para o seu computador aqui e ouça mais tarde.
O que tem neste episódio?
Aqui estão algumas das coisas mencionadas neste episódio, bem como links para materiais relevantes úteis.
- Distribute.IT é a empresa que sofreu o terrível incidente de hacking aqui na Austrália. Aqui está um resumo do incidente e uma análise de como aconteceu, e aqui está um artigo de notícias sobre os 4800 sites que foram perdidos. História fascinante (e muito triste).
- Aqui está uma análise de uma VPN que uso para ser um pouco mais seguro online.
- Plugins e serviços de segurança para WordPress incluem BulletProof Security, Limit Login Attempts, Wordfence e Sucuri.
- Eu recomendo David Steven-Jennings se você quiser fazer uma auditoria de segurança no seu blog e/ou nos servidores do seu blog.
- Cadastre-se no Google Webmaster Tools se ainda não o fez, pois eles oferecem um bom monitoramento para SEO e segurança.
- Aqui estão algumas boas informações sobre backups do WordPress e como lidar com tudo isso.
- Um bom resumo de gerenciadores de senhas que podem ajudá-lo a usar senhas complicadas, de forma simples.
- Proteção para o seu computador pessoal aqui e aqui.
Você tem alguma dica extra?
Adoraria saber outras dicas que você possa ter em termos de segurança ou gerenciamento de um evento ruim. Por favor, deixe um comentário abaixo, pois pode realmente ajudar alguém que o leia.
© Foto principal: Valeriy Kachaev.
Bom tópico para abordar e muito importante para quem dedicou tempo e esforço para criar um blog – é incrível como eles podem simplesmente desaparecer!
Minha dica é ter cuidado com os plugins 'gratuitos' que você usa e garantir que os atualize regularmente.
Infelizmente, aprendi da maneira mais difícil e perdi centenas de horas de trabalho!
Continue o ótimo trabalho, Rams
Sim, esse é um grande problema. Existem muitos plugins não tão bons por aí.
Ótimo artigo.
E quanto à autenticação de 2 fatores?
Sim, falei sobre isso no podcast. Muito boa ideia.
Muito obrigado por esses lembretes, Ramsay.
Nunca somos prudentes o suficiente. É por isso que verifiquei meu blog assim que recebi seus conselhos claros.
Sou usuário do Wordfence e UpdraftPlus e gosto deles.
Acho que vou experimentar o BulletProof Security hoje.
Ainda estou cauteloso com o Limit Login Attempts porque moro a maior parte do ano na África e não quero ser bloqueado um dia. Existe algum risco?
Continue seu bom trabalho, mesmo para o fã francês que sou.
Sim, há uma chance de você se trancar para fora com certeza.
Além disso, não tenho certeza se você precisa do BPS e do Wordfence. Pode criar um conflito.
Obrigado pela sua rápida resposta 😉
A história da Distribute.IT me lembra um incidente em uma empresa onde trabalhei na África do Sul. Um ex-funcionário insatisfeito de um de nossos clientes invadiu os servidores deles porque suas contas não foram desativadas (incluindo sua conta VPN da empresa). Causou um caos para eles, pois ele criou uma conta de 'backup' para a VPN e os servidores que parecia muito com uma conta de sistema, então demorou um tempo para ser encontrada.
Além disso, 'DDOS' significa *Distributed* Denial of Service :p
O que eu disse? Eu quis dizer isso. lol
“Deliberado” 🙂 Ainda acho que é uma descrição precisa, pois 99% das vezes é deliberado.
Olá Ramsay!! Quanto ao plugin wordfence que você mencionou, é um bom plugin de ponta, mas fui forçado a desinstalá-lo porque estava consumindo a memória do meu blog em minha conta de hospedagem compartilhada.
alguma outra opção viável e mais leve que você conheça para proteger meu blog?
Isso é realmente interessante. O BPS é realmente leve, até onde sei, mas leva algum tempo para ser configurado.
Qualquer plugin de segurança requer um bom conhecimento e leva algum tempo para configurar. E é normal ser assim porque a última coisa que você quer é se bloquear.
Oi Ramsay,
Essa é outra ótima peça para consumirmos, mas você vê, VPN é caro, e não é 100% como você corretamente mencionou (VPN Review).
Acredito na combinação de plugins de segurança do WordPress com todas as outras medidas para fortificar as paredes do nosso site.
Bem, todos eles definitivamente não serão 100%. Talvez seja por isso que esta postagem foi disponibilizada.
Já tentei a maioria das medidas descritas. O que resta agora é tentar David e VPN.
Obrigado pelo guia.
Francis
Strong VPN custa cerca de US$ 9 por três meses, eu acho. Bom investimento.
Oi Ramsay,
Obrigado por cobrir este tópico. Isso me deixou tão confuso - desculpe por esta longa resposta, mas talvez você possa ajudar.
Eu uso o Limit Login Attempts e, pelo menos uma vez por dia, fico bloqueado do meu próprio site.
Diz muitas tentativas falhas, mas acontece quando já estou logado! Então, isso significa que alguém em algum lugar sabe meu endereço IP e o está usando ao tentar adivinhar minhas senhas?
E então me desconecta inevitavelmente da minha própria conta?
O log do LLA mostra muitas tentativas todos os dias de endereços IP aleatórios tentando adivinhar o nome de usuário e/ou senha. Tenho muito medo de desinstalar o plugin LLA, no entanto.
Eu também uso Sucuri (porque fui sinalizado como um site de malware uma vez, cerca de 9 meses atrás, e eles levaram uma semana para consertar).
Todos os dias recebo notificações da Sucuri dizendo "seu site está sob ataque de Bruteforce". E lista muitos endereços IP e carimbos de data/hora que estão tentando fazer login a cada poucos segundos (deve ser automatizado).
Isso é normal, acontece com o seu site?
A notificação da Sucuri na verdade não me diz para fazer nada ou faz alguma recomendação. Não tenho certeza se devo me preocupar.
Obrigado!
Olá, amigo.
Meu site recebe algo em torno de 40.000 tentativas de invasão por mês. O LLA faz muitos bloqueios, mas você não deveria se bloquear.
Em qual hospedagem você está? Um ataque de força bruta deve ser tratado pela sua hospedagem bem rapidamente, pois isso também começará a afetá-los. Entre em contato com o suporte o mais rápido possível e informe-os.
Ok, então tentativas de invasão são "normais".
Sim, muito confuso sobre bloqueios, considerando que ele bloqueia endereços IP.
Estou com a HostGator.
Obrigado pela sua resposta.
Obrigado pelo lembrete de quão importante a segurança é para um blog.
Obrigado.
Muito útil. Obrigado, Ramsay
Muitos blogueiros ou até mesmo proprietários de sites tomam essas medidas de segurança como garantidas.
Olá, Ramsey, é um ótimo post que você tem aqui. Me beneficiei muito. Obrigado
[…] Link da fonte […]
Oi Ramsay,
Você usa algum tipo de segurança no seu próprio blog? Eu tenho um blog, mas ele é muito pequeno no momento e não estou muito preocupado, mas quando ele crescer para um bom nível, tenho certeza que vou querer que ele seja seguro. Obrigado por esta ótima informação.
Oi Ramsay,
primeira vez no Blog Tyrant e fui recebido com um podcast enfadonho.
aliás, tive uma ideia genuína do seu podcast para o meu próximo post de blog.
obrigado amigo
Olá, Ramsey, seu post me ajudou muito, obrigado
Ei – você disponibiliza transcrições dos seus podcasts? Eu tendo a ser um leitor melhor do que ouvinte. Não é grande coisa se não for. 🙂
Felizmente, aprendi minha lição de uma senha muito ruim E nome de usuário ruim depois que desisti de blogar na minha primeira tentativa de blog. A coisa foi hackeada alguns meses depois de ter morrido.
Backups e atualizações de plugins são muito, muito, muito importantes!
Olá Ramsay..
Dicas de segurança muito boas que você tem aqui,
Em vez de ocultar a versão do WordPress do seu site, uma solução melhor é simplesmente manter seu site atualizado.
Obrigado por este post Ramsay. Tenho um blog configurado com Managed WP na GoDaddy. Espero que eles me protejam com algumas das coisas que você falou. Estou pensando em começar um segundo site e pensei em passar para ver o que você tem a dizer. Agradeço o lembrete de não usar internet gratuita no Starbucks etc. e de ter senhas mais seguras.
ótimo post muito informativo agradecendo, e tente melhorar o nível da conversa…
Muito obrigado por este post Ramsay.
Post muito bom Ramsay, na minha opinião pode-se usar o limite de tentativas de login com captcha de login para obter segurança rigorosa do site.
Oi Ramsay,
Obrigado pelas dicas de segurança. Quais são seus pensamentos sobre configurar seu blog sozinho versus ter uma empresa de desenvolvimento web fazendo isso por você? Não sei se isso poderia gerar um problema de segurança. Tenho todas as ferramentas para começar meu blog sozinho usando Bluehost, mas recentemente encontrei uma empresa chamada Varisage. Eles estão dispostos a iniciar meu blog (tudo, desde hospedagem, assinaturas de e-mail, design web, etc.) para que tudo com que eu precise me preocupar seja meu conteúdo. Eles já trabalham com vários blogueiros de muito sucesso que admiro e que estão blogando em tempo integral, que é meu objetivo. Acho que pensei que o sucesso do meu blog seria mais seguro se assinasse com esta empresa porque eles ajudariam com minha marca. Isso é comum e uma boa ideia?
É uma loucura a frequência com que nossos sites são atacados todos os dias e nem sabemos. Instalei o plugin iThemes Security e, em minutos, meus logs estavam cheios de tentativas de login falhadas. Caramba! Sem o plugin, eu não teria (e não tinha) ideia do que estava acontecendo diariamente. Nem consigo imaginar o que sites maiores como Facebook e Amazon devem passar em termos de tentativas de hacking.