Os 5 melhores plugins de segurança para WordPress

Se você desembarcou nesse post, é porque você se preocupa com a segurança do seu site, em especial se você já tem um baseado no WordPress ou pensa em adotar a plataforma e quer começar do jeito certo, ou seja, tomando as precauções necessárias para que ele funcione como deve.

Mas vamos ao que interessa. Você está aqui porque quer saber quais os melhores plugins de segurança para WordPress, certo?

Pensando nisso, preparamos uma lista com os mais populares e mais usados, já que apontar qual o melhor ou um ranking, exige procedimentos diversos e uma metodologia complexa, simulando situações reais, as quais podem ser inúmeras e a partir disso, verificar quais foram mais efetivos.

Sejamos sinceros, atualmente ninguém faz isso!

Assim, a popularidade e o tempo que estão no mercado, acaba sendo um critério razoável para basear a escolha.

Cuidados adicionais com a segurança do WordPress

Antes de irmos além, é importante ressaltar alguns outros pontos e cuidados adicionais e que são fundamentais importantes para garantir a segurança, independente de qual plugin escolher.

Nós já abordamos questões relacionadas, como nos posts “O WordPress é seguro?”, “A Internet é segura?” e “Plugins de autenticação de dois fatores (2FA) para WordPress” e, portanto, é bastante recomendável que você leia estes artigos, se quer se cercar de todos os cuidados.

Isso porque, os plugins de segurança são muito importantes e de fato ajudam no combate às inúmeras ameaças do mundo digital, mas eles não garantem que seu site esteja 100% imune aos possíveis problemas que todos os sites e aplicações web estão sujeitos.

Se por acaso você acessa a área administrativa do WP usando um computador infectado com um malware que rouba senhas / dados de acesso, o invasor entrará no seu site pela porta da frente, exatamente como você faz.

Em outro cenário, suponhamos que seu site tenha sido invadido e o invasor tenha gravado ou mesmo alterado conteúdo, sejam os arquivos PHP, seja o banco de dados, ao instalar um plugin de segurança, sem antes restituir o site a sua condição original, não resolverá o problema.

É o mesmo que trocar fechadura da porta da sua casa, com o ladrão dentro dela.

Vamos então aos cuidados que você deve adotar, além da instalação de um plugin de segurança para WordPress:

  • Como já adiantamos, é importante remover quaisquer invasões feitas ao site, antes de instalar um plugin;

  • Mantenha sempre um backup atualizado, principalmente do conteúdo relativo às postagens, ou seja, bancos de dados e imagens. Em muitos casos, é o caminho para restituir o WordPress à sua condição original, após uma invasão que o plugin não conteve ou se a instalação do mesmo não foi bem-sucedida;

  • Mantenha atualizados os demais plugins do WP. Novas vulnerabilidades não serão cobertas pelo plugin de segurança, até que o responsável lance uma atualização para o respectivo plugin e você a instale no painel administrativo;

  • Dê preferência para instalar e usar apenas plugins disponibilizados no site oficial do WP, uma vez que para constar dele, são necessários requisitos que atestam a integridade do componente utilizado. Há plugins falsos ou alterados e que na verdade funcionam como portas de entrada;

  • Você pode utilizar outros plugins de segurança além daqueles que indicamos, mas tenha cuidado ao optar por coisas novas e sem retrospecto, pois lamentavelmente também há aplicações falsas, ou seja, que prometem algo, mas são um disfarce para ações maliciosas;

  • Caso o plugin de segurança escolhido não contenha recurso de autenticação multifator (MFA), instale um plugin de autenticação de dois fatores (2FA);

  • Não instale dois ou mais plugins com mesmas funções. Em vez de reforçar a segurança, na verdade você está fragilizando-a, pois pode ocorrer conflito entre eles;

  • Leia e siga rigorosamente as orientações contidas no artigo “WordPress é seguro? Como melhorar a sua segurança?”, anteriormente citado. Nele estão contidas algumas poucas informações do presente artigo, mas há muitas dicas importantes e que não repetiremos aqui;

  • Se o seu hosting fornece ferramentas de segurança como o ModSecurity, utilize-as. São um importante aliado na segurança, não só do WP, mas de qualquer outra plataforma;

  • Também relativo ao hosting, se ele oferece planos de hospedagem WordPress, opte por eles, pois além de oferecerem ambientes mais adequados para o WP, o suporte também costuma ser mais direcionado.

Por que é importante instalar e ativar um plugin de segurança?

Todo e qualquer site, CMS (o WP é um CMS), ou aplicação, seja na Web, seja no seu PC, estão sujeitos a problemas de segurança. Até mesmo o sistema operacional mais usado no mundo e por tantos anos, que é o Windows, regularmente são descobertas falhas e bugs que podem ser explorados.

Sendo assim, um plugin tem papel similar às soluções antimalware dos sistemas operacionais, atuando como uma camada a mais de segurança.

Os plugins de segurança WP, geralmente são desenvolvidos por especialistas no assunto e concentram seus recursos em áreas consideradas mais visadas pelos crackers (hackers do mal), como por exemplo, SQL injection e code injection, ou exploração do recurso XML-RPC.

No primeiro caso, corrigir um código desenvolvido sem atenção às boas práticas de programação, pode ser um problema insolúvel para a grande maioria. No segundo, embora seja bastante mais fácil, pode não ser tão simples para muitos.

Em ambos os casos, muitos nem vão compreender do que estamos falando. E não precisam compreender, desde que um bom plugin se encarregue desse “trabalho sujo”.

Objetivamente, as vantagens de instalar e ativar um plugin de segurança, são:

  • Muitos bons plugins são gratuitos. Mesmo nas suas versões pagas, costumam ser acessíveis e o custo x benefício, é vantajoso, afinal o custo de um site invadido, pode ser elevado, como veremos adiante;

  • Economizam bastante tempo na manutenção manual do site;

  • Diminuem sensivelmente os números de invasões e aumenta sensivelmente a disponibilidade do site;

  • Ao diminuir os riscos de invasão, diminuem também os impactos possíveis, como por exemplo, vazamento de dados, piora da reputação digital, inclusão do endereço IP em blacklists, entre outras consequências;

  • Os melhores plugins seguem dinâmica semelhante aos demais plugins, tornando a administração razoavelmente tranquila;

  • Por ser o CMS mais usado no mundo para criação de sites, o WP é também o mais visado em termos de ataques / invasões.

Os melhores plugins de segurança para WordPress

A lista a seguir, não está necessariamente ordenada de acordo com eficiência, abrangência ou grau de sucesso na detecção e bloqueio de intrusões.

Os plugins estão relacionados aleatoriamente e recomendamos que avalie as características de cada um, antes de fazer sua opção. Você também pode ter todos instalados, embora não seja recomendável, mas só deve habilitar o que julgar melhor.

Destacamos ainda, que no descritivo básico das funcionalidades de cada plugins, fornecemos o link para cada um dos plugins listados, diretamente do site do WordPress.

1. Wordfence

O Wordfence é um plugin que não pode ficar fora de nenhuma lista do gênero, já que é dos mais antigos e populares plugins de segurança para WordPress, sendo reconhecido como a equipe de pesquisa de segurança número um do WordPress no mundo.

Ele evoluiu ao longo dos anos e hoje constitui uma solução de segurança bastante ampla em termos de ações que desempenha e que entre outras coisas, funciona como um firewall de aplicação web, varre o site em busca de assinaturas de malwares e bloqueia endereços IPs maliciosos.

O plugin tem uma versão paga (premium) e uma gratuita. Boa parte dos recursos estão presentes em ambas as versões, sendo que alguns deles estão defasados em 30 dias em termos de atualização e outros são exclusivos da versão premium.

Os principais recursos / fatores de proteção do Wordfence, são:

  • Autenticação de dois fatores (2FA);

  • Login com captcha no acesso ao admin;

  • Efetua comparação de conteúdo (núcleo da aplicação, temas e plugins) com o repositório oficial do WordPress;

  • Avalia postagens e comentários, bem como URLs perigosas ou potencialmente suspeitas;

  • Firewall de aplicação web, identifica e bloqueia tráfego suspeito;

  • Recebimento de alertas enviados por e-mail, SMS ou Slack;

  • Proteção contra ataques de força bruta;

  • A proteção contra malware, verifica arquivos, temas e plugins em busca de malwares, URLs maliciosas, backdoors, spam de SEO, redirecionamentos maliciosos e code injection;

  • Monitoramento de visitas e tentativas de invasão em tempo real, incluindo origem do ataque, endereço IP do atacante, horário e o tempo de ataque;

  • Bloqueio de invasões por endereço IP, ranges de IPs, nomes de host e origem.

2. Sucuri

O Sucuri Security é outro plugin de segurança muito bem conceituado entre os utilizadores e é criado e mantido por uma empresa de segurança, especializada no WordPress.

Esse plugin tem uma abordagem diferente em relação ao anterior, mas que também é bastante eficiente.

Entre as principais funcionalidades, o conjunto de recursos de segurança do Sucuri Security, compreende:

  • Relatório de auditoria de atividades no site;

  • Monitoração da integridade dos principais arquivos do WordPress – PHP, JavaScript, CSS – e outros arquivos que acompanham sua versão original do WP;

  • Verificação remota de malware, atualizada para evitar propagação de conteúdo malicioso, status de lista de bloqueio, erros de sites e software desatualizado;

  • Varredura de código malicioso no código-fonte do site e identifica quaisquer problemas principais de integridade do arquivo;

  • Lista de bloqueio, adição de um conjunto de regras ao arquivo .htaccess do site e verificando configurações seguras;

  • Ações de segurança pós-hack, informando o conjunto de medidas para quando o site foi comprometido;

  • Notificações e alertas de segurança por e-mail;

  • Firewall do site (premium);

  • Administração dos cabeçalho de controle de cache.

Também oferece uma versão paga, mas que ao contrário do Wordfence, tem funcionalidades exclusivas que não estão disponíveis na gratuita, como alternativas de SSL, verificações completas do conteúdo a intervalos de 12 horas, canais de atendimento, proteção DDoS para alguns planos e até mesmo uma consultoria para como fortalecer a segurança do site.

3. All In One WP Security & Firewall

Outro nome comumente lembrado quando o assunto é segurança, o All In One WP Security & Firewall, como o nome faz supor, é um firewall que atua em aplicações web, particularmente no WordPress.

Como muitos, também é gratuito e entrega muitos benefícios, os quais visam prevenir as invasões.

A interface gráfica exibe aspectos de segurança do site e escolha de diferentes níveis de proteção, de uma forma bastante intuitiva e que ajuda no gerenciamento dos aspectos de segurança, até mesmo para os mais leigos.

Os recursos do All-In-One Security, são:

  • Elimina SPAM de comentários;

  • Evita que outros sites roubem seu conteúdo com recursos como prevenção de iFrame e proteção contra direitos autorais;

  • Identifica conta com nome de usuário ‘admin’ padrão ou login e nomes de exibição idênticos, solicitando alteração;

  • Personaliza a URL da página de login do admin, para evitar sua identificação pelos bots (robôs maliciosos);

  • Alteração do prefixo padrão “wp_”, usado na nomeação de arquivos / pastas, para dificultar o rastreamento por parte dos crackers;

  • Bloqueio de login para várias tentativas, por um período de tempo configurado, para nomes de usuário inválido;

  • Relatórios com a atividade por nome de usuário, endereço IP, datas e horários de login e logout, bem como uma lista de todas as tentativas de login malsucedidas;

  • Forçar o logout de todos os usuários após um período de tempo configurável;

  • Implementação de Cloudflare Turnstile, Google reCAPTCHA, captcha matemático simples ou um honeypot ou aprovação manual de contas de usuário;

  • Autenticação de dois fatores, com suporte ao Google Authenticator, Microsoft Authenticator, Authy, entre outros;

  • Força de senha, com cálculo de tempo para quebra por ataque de força bruta;

  • Modo de manutenção, para bloqueio do front-end para todos os visitantes;

  • Adição de 64 novos caracteres ao WordPress Salts, com alteração semanal, para tornar as senhas mais fortes.

Mesmo contando também com uma alternativa de serviço pago, é das ferramentas que tem a maior lista de recursos gratuitos, o que deve atender boa parte dos usuários, especialmente aqueles que tem sites menos suscetíveis a problemas de segurança.

4. Solid Security

Antes conhecido como Better WP Security, o Solid Security tem por ocasião desse artigo, mais de 800 000 instalações ativas, o que é um bom indicador de sua conceituação junto aos usuários do WordPress.

A abordagem do Solid Security, tal como do plugin anterior, é também diferenciada, já que o conjunto de medidas vária de acordo com o tipo de site. Em outras palavras, as ações diferem se o site é um blog, ou se é um e-commerce. É possível escolher entre 6 diferentes tipos de site.

Nas versões Basic (gratuita) e Pro (paga), os principais recursos, são:

  • Autenticação de dois fatores ao login do admin, com vários métodos de autenticação, incluindo aplicativos móveis como Authy e Google Authenticator, e-mail e códigos de backup;

  • Aplicação de política de senha para os usuários;

  • reCAPTCHA (Pro) para bloqueio de bots, postar spam ou até mesmo cópia de conteúdo;

  • Configuração e identificação de dispositivos confiáveis ​​(Pro) para bloquear ataques de sequestro de sessão e limitar privilégios de administrador a dispositivos confiáveis;

  • Patching automatizado (Pro) que corrige vulnerabilidades antes do desenvolvedor ou fornecedor de plug-in emitir a atualização;

  • Banir usuários (Basic e Pro) para atacantes recorrentes;

  • Proteção local de força bruta (Basic e Pro);

  • Proteção de força bruta de rede (Basic e Pro), que bloqueia na rede da Solid Security (mais de 800 mil sites) quem tentar invadir sites da comunidade;

  • Detecção de alterações de arquivo (Basic e Pro), registra alterações feitas no site, para ajudar a detectar atividades suspeitas;

  • Site Scanner (Basic e Pro) realiza verificações duas vezes ao dia para vulnerabilidades conhecidas de arquivos principais, plug-ins e temas do WordPress, usando a API Google Safe Browsing, além de emitir alerta se o Google encontrar algum malware no site;

  • Registro das atividades de usuário (Pro), incluindo login/logout, adição/remoção de plug-ins, troca de temas, alterações em postagens e páginas;

  • Gerenciamento de versões (Pro), que permite atualizar automaticamente o WordPress, plug-ins e temas;

  • Força todas as conexões com o site a serem feitas por SSL/TLS.

  • Backups de banco de dados;

  • Alteração do ID do primeiro usuário, evitando ataques que presumem que é um administrador;

  • Alteração de prefixo do banco de dados que usa o prefixo “wp_”;

  • Verificação de permissionamento de arquivos;

  • Ocultação da URL de login para evitar os bots maliciosos.

O Solid Security plugin, oferece um conjunto dos mais extensos de medidas de segurança visando manter o site livre da ação de invasores, porém boa parte deles, só está disponível para a versão paga, que oferece um grau aprimorado de proteção e ainda dá direito a um sistema de suporte por ticket, um ano de atualizações do plugin e suporte para até dois websites.

5. BulletProof Security

O quinto nome da lista, o BulletProof Security, não tem uma lista de usuários que o utilizam tão grande quanto os demais, mas consta como opção preferida dos mais técnicos.

Apesar de contar com um assistente de configuração que ajuda na configuração do plugin para obtenção dos melhores resultados, o seu uso requer usuários mais acostumados com questões de segurança.

A lista de recursos, que é bastante extensa, contém praticamente todos os itens que se espera de um plugin desse tipo, como scanner de malware que permite verificar a integridade dos arquivos e pastas do WordPress, proteção de login e logout de sessões ociosas, logs de segurança, backup de banco de dados, notificações por e-mail e alertas de usuários, entre outros.

Ele ainda protege seu site contra diversos tipos de ataques (RFI, XSS, CRLF, SQL injection e code injection).

A lista de recursos de proteção exclusiva, contém:

  • Ocultação das pastas de plugins;

  • Restauração automática pelo sistema de detecção e prevenção de invasões;

  • Sistema de quarentena integrado ao sistema de detecção e prevenção de invasões;

  • Lista de permissões automatizada e endereço IP atualizados em tempo real;

  • Sistema anti-exploit para a pasta de uploads;

  • Expiração de cookies de autenticação;

  • Extensivo sistema de logs de sistema para identificação de atividades suspeitas.

Possivelmente o grande diferencial desse plugin, é que há uma versão paga, que além de extensão de proteção, oferece uma garantia vitalícia por pagamento de taxa única.

Sendo assim, uma vez que você tenha escolhido um plano de hospedagem WordPress ou outro plano de hospedagem compartilhada e criou um site WordPress, o plugin de segurança que garantirá a integridade dele e os benefícios que o maior e melhor CMS pode lhe oferecer.

Conclusão

O WordPress tem alguns problemas de segurança como qualquer CMS ou mesmo outros sistemas, porém ao contrário deles, também oferece uma ampla gama de plugins de segurança que nenhum outro oferece, o que somado a um conjunto de medidas básicas, garante uma plataforma de desenvolvimento e manutenção de sites que consta entre as maiores e melhores.

Artigos relacionados

privacidade
5 boas opções de bloqueadores de anúncios online
privacidade
Os bloqueadores de anúncios estão com os dias contados?
segurança
O que é Prova de Conhecimento Zero ou ZKP e seus usos?

Comentários ({{totalComentarios}})