O WordPress é a plataforma de publicação mais popular na Web. Como é utilizado por muitos proprietários de websites, também é alvo de muitos exploradores de segurança.
Muitos proprietários de sites não sabem o suficiente sobre segurança para proteger seus sites de serem atacados. Portanto, eles precisam utilizar plugins e ferramentas para ajudá-los a prevenir e eventualmente corrigir problemas de segurança.
Leia este artigo para comparar as funcionalidades dos plugins de segurança do WordPress mais recomendados, para que você possa escolher o que supra suas necessidades.
Notificação de artigo atualizável e aviso legal
Este é um artigo que será atualizado para incluir mais plugins e listar funcionalidades de segurança relevantes que possam te ajudar a decidir qual plugin vai suprir suas necessidades.
Se você encontrar informações imprecisas ou conheça outros plugins de segurança que não estejam listados aqui, por favor, poste um comentário.
Este artigo contém alguns links associados apontando para serviços que possam pagar comissões pelas referências. Esses são úteis para ajudar a manter artigos como esse com informações úteis e atualizadas.
Por que o WordPress precisa de plugins de segurança?
O WordPress é a mais popular plataforma de postagens. Ele tem sido utilizado por milhões de pessoas ao redor do mundo. 27% dos sites do mundo utilizam WordPress. Por isso, hackers e spammers também têm se interessado em quebrar a segurança dos sites em WordPress.
Os plugins de segurança do CMS são uma das maneiras mais fáceis de melhorar a segurança dos sites em WordPress. O WordPress é bastante seguro e é frequentemente atualizado para corrigir quaisquer vulnerabilidades que sejam encontradas. Mas nunca é exagerado ter plugins que possam detectar problemas de segurança o mais rápido possível.
Plugins de segurança podem solucionar algumas vulnerabilidades importantes ou ao menos reforçar os aspectos do seu site que sejam propensos à manipulação por hackers.
Práticas importantes de segurança do WordPress
Neste artigo, estou analisando e comparando alguns dos mais populares plugins de segurança, tanto gratuitos quanto comerciais.
Mantenha em mente que, mesmo com os melhores plugins instalados, práticas comuns de segurança para manter seu site seguro devem ser utilizadas. Sua instalação do WordPress deve ser atualizada regularmente para garantir que você não esteja utilizando versões com vulnerabilidades conhecidas.
Lista de plugins de segurança conhecidos do WordPress
Segue uma lista de alguns dos plugins WordPress conhecidos que eu testei, com uma descrição de suas funcionalidades mais relevantes.
BulletProof Security
O plugin BulletProof Security protege os diretórios do seu site com um único clique. Ele fornece proteção contra CSRF, Base64, XSS, RFI e SQL Injections. Ele também fornece um firewall de proteção de login, segurança do banco de dados e serviços de backup.
Ele está disponível nas versões grátis e Pro, que oferece um plugin com mais funcionalidades avançadas.
Plugin Sucuri Security
O plugin Sucuri Security fornece vários serviços como escaneamento de malwares, auditoria de atividade de segurança, monitoramento da blacklist, reforço efetivo de segurança, monitoramento de integridade dos arquivos e firewall para o site.
É um plugin grátis e oferece alguns serviços premium. Além disso, o próprio site possui um guia de segurança para WordPress, que pode ser acessado aqui. Visite o site Sucuri Security para mais informações.
Plugin iThemes Security
O iThemes Security supostamente fornece mais de 30 maneiras de proteger o site WordPress. Ele melhora as credenciais de usuários corrigindo vulnerabilidades comuns e ataques automatizados. O iThemes oferece tanto a versão grátis quanto a versão Pro.
Plugin Acunetix Security
O plugin Acunetix Security é bom para proteger permissões de arquivos, proteger bancos de dados, ocultar a versão, proteger admin do WordPress etc. Ele verifica as vulnerabilidades e sugere as ações necessárias para corrigir essas vulnerabilidades.
O plugin de WordPress Aunetix Security está disponível gratuitamente e eles oferecem outros serviços de segurança. Você pode checar no site.
All in One Security And Firewall
O plugin All in One Security And Firewall checa vulnerabilidades. Ele implementa e reforça as mais atuais práticas e técnicas recomendadas do WordPress.
Uma das suas funcionalidades úteis é um medidor no seu painel de controle que te dá uma pontuação sobre quão seguro está o site. Ele pode detectar códigos maliciosos no seu site WordPress.
É um plugin gratuito, mas eles também oferecem consultoria paga pela segurança do seu site.
6Scan Security
O plugin scanner de segurança 6Scan Security vai além da simples proteção baseada em regras dos outros plugins de segurança WordPress. Ele emprega algoritmos sofisticados para encontrar e automaticamente corrigir vulnerabilidades.
Esse plugin está disponível na versão gratuita, mas eles também oferecem alguns serviços pagos. Veja o site do 6Scan Security para mais informações.
Note que a versão desse plugin que está disponível no repositório do plugin no WordPress não foi atualizada nos últimos dois anos.
Plugin WordFence
O plugin WordFence fornece segurança de login de usuários, bloqueio de IP, escaneamento de segurança, firewall e monitoramento Web.
Esse plugin permite a conexão móvel que salva seu site WordPress dos ataques de força bruta. Ele fornece defesa de ameaças em tempo real. O WordFence alavanca o mesmo feed proprietário, alertando você no caso do seu site ser comprometido. O plugin oferece tanto a versão gratuita quanto paga.
Antivirus for WordPress
O plugin Antivirus for WordPress é um plugin muito leve. Ele pode reforçar a proteção do seu site contra exploits, malwares e spams. Esse plugin monitora injeções maliciosas e também já te avisa sobre possíveis ataques. Ele trabalha para corrigir falhas comuns, parar ataques automatizados e reforçar as credenciais de usuários.
WPBuffs Security Support Service
O WPBuffs não é exatamente um plugin, mas um serviço de suporte que você pode contratar para te ajudar a corrigir muitos tipos de problemas com seu site WordPress, incluindo lidar com os problemas de segurança utilizando um conjunto de ferramentas próprias.
Eles têm uma equipe que pode prover vários serviços de suporte com planos que podem incluir serviços como:
- Integrar seu site com Google Search Console e Google Analytics
- Atualizar temas e plugins
- Fazer os backups
- Monitorar o site para ver se ainda está em funcionamento
- Prover relatórios de segurança, trafego e manutenção
- Otimizar sites para plataformas móveis
- Testar e otimizar a velocidade das páginas do site
- Escanear e remover malwares
- Proteger contra logins de força bruta
- Instalar os certificados SSL
- Detectar mudanças maliciosas dos arquivos
- Migração para um servidor dedicado
Comparação lado a lado entre os plugins de segurança
Para entender como comparar os plugins de segurança WordPress, é melhor mostrar para vocês as funcionalidades que eles suportam ou não, lado a lado. Então, seguem vários tipos de comparação das suas funcionalidades de segurança.
Segurança de login de usuários
As funcionalidades segurança de login de usuário se referem aos aspectos de proteção do processo de login e depois de os usuários estarem logados. Aqui está uma descrição das funcionalidades comparadas entre todos os plugins.
Proteção de força bruta
Força bruta é um método de tentativa e erro utilizado por um programa que ataca as páginas de login tentando diferentes senhas até encontrar uma que funcione para a conta atacada.
Reforço de senha forte
Requer que o usuário utilize senhas fortes para acessar as contas do WordPress.
Bloquear o usuário por IP ou por país
Bloqueia usuários com base no endereço de IP ou país.
Monitoramento de usuários
Monitora as ações dos usuários logados e visitantes.
Integração reCAPTCHA
Integra o Google reCAPTCHA no login e página de registro e quaisquer outras formas de prevenir acessos utilizando scripts.
Segue uma comparação lado a lado dos aspectos de segurança de login.
| Brute Force Protection | Strong Password Enforcement | Block User by IP or by Country | User Monitoring | ReCAPTCHA Integration | |
| BulletProof | Yes | Yes | Yes | Yes | No |
| Sucuri | Yes | Yes | Yes | Yes | No |
| iThemes | Yes | Yes | Yes | Yes | Yes |
| Acunetix | Yes | Yes | Yes | Yes | No |
| AIOWS | Yes | Yes | Yes | Yes | Yes |
| 6Scan | Yes | No | Yes | Yes | No |
| WordFence | Yes | Yes | Yes | Yes | Yes |
| AntiVirus | Yes | No | Yes | No | No |
Segurança do banco de dados
O banco de dados é onde o conteúdo dinamicamente criado e as informações de usuário são armazenadas. Proteger essas informações é importante para evitar danos que podem fazer com que o WordPress não funcione corretamente.
Backups
Faça backups regularmente do banco de dados, armazene no servidor e deixe disponível para download.
Erros desativados
Habilidade de desabilitar os erros de banco de dados relacionados ao PHP.
Estado e informações do banco de dados
Obtém as informações do banco de dados no seu painel de administrador e estado do servidor do bando de dados.
Proteção contra SQL Injection
SQL Injection é uma maneira de adicionar um SQL malicioso às consultas do banco de dados dos dados submetidos pelos usuários no campo de entrada.
Mudança do prefixo da tabela
Mudar o prefixo da tabela para tabelas do WordPress a qualquer momento, não somente quando instalar o script pela primeira vez.
Segue a comparação lado a lado dos aspectos de segurança do banco de dados.
| Backups | Errors turned off | DB Status and Information | SQL Injection Protection | Change table prefix | |
| BulletProof | Yes | Yes | Yes | Yes | Yes |
| Sucuri | Yes | Yes | Yes | Yes | Yes |
| iThemes | Yes | Yes | Yes | Yes | Yes |
| Acunetix | Yes | Yes | Yes | Yes | Yes |
| AIOWS | Yes | Yes | Yes | Yes | Yes |
| 6Scan | Yes | No | No | Yes(Paid Only) | No |
| WordFence | Yes | Yes | Yes | Yes | Yes |
| AntiVirus | No | Yes | No | Yes | No |
Segurança do sistema de arquivos
O WordPress utiliza arquivos para armazenar seu código-fonte. Os arquivos de código-fonte não devem ser alterados por nenhum ataque. O WordPress também pode gerar arquivos de registro. Os registros podem ser acompanhados para saber o que acontece.
Desabilitar a edição de arquivos
Desabilitar o plugin editor de arquivos e o template do editor de arquivo para contas administrativas, então, nenhum hacker com acesso à conta de admin pode editar os arquivos fonte.
Monitorar registros do sistema
Monitorar os registros do sistema e registros de acessos através do painel administrativo.
Gerenciar as permissões dos arquivos
Gerenciar as permissões de diretórios e arquivos do painel e proteger os diretórios do WordPress.
Reparar arquivos
Reparar arquivos alterados que possam conter códigos maliciosos.
Segue a comparação lado a lado dos aspectos de segurança do sistema de arquivos.
| Disable File Editing | Monitor System Logs | Manage File Permissions | Repair Files | |
| BulletProof | No | Yes | Yes | Yes |
| Sucuri | No | Yes | Yes | Yes |
| iThemes | No | Yes | Yes | Yes |
| Acunetix | No | Yes | Yes | Yes |
| AIOWS | Yes | Yes | Yes | Yes |
| 6Scan | No | Yes | No | No |
| WordFence | Yes | Yes | Yes | Yes |
| AntiVirus | No | Yes | No | No |
Features de acesso externo
As ameaças que possam comprometer a segurança dos sites baseados em WordPress normalmente são externas.
Algumas das mais importantes funcionalidades existem para prevenir que acessos externos maliciosos comprometam a segurança do WordPress.
Proteção XSS
Scripts entre sites (XSS) é uma maneira de injetar código JavaScript no HTML que é exibido nas páginas Web e é utilizado para roubar dados do usuário ou outro tipo de informação sensível.
WAF (Web Application Firewall)
Os filtros Web Application Firewall (WAF), monitores e bloqueios HTTPS enviados para as páginas que supostamente não deveriam existir em um site podem ter sido instalados por um código que explorou uma vulnerabilidade.
Proteção DDOS
DDOS significa ataque de Distributed Denial of Service (ataque de Negação de Serviço Distribuído). Esse é um tipo de ataque de segurança para comprometer a habilidade de um servidor tratar as requisições devido a muitos computadores serem utilizados de diferentes localidades do mundo para realizar ataques ao mesmo tempo.
A proteção contra os ataques DDOS é necessária para detectar quando um ataque está acontecendo e evitar que ele cause instabilidade aos usuários regulares do site WordPress.
Segue comparação lado a lado dos aspectos de segurança do sistema de arquivos.
| XSS Protection | WAF | DDOS Protection | |
| BulletProof | Yes | Yes | Yes |
| Sucuri | Yes | Yes | Yes |
| iThemes | Yes | Yes | Yes |
| Acunetix | Yes | Yes | Yes |
| AIOWS | Yes | Yes | Yes |
| 6Scan | Yes | Yes | Yes |
| WordFence | Yes | Yes | Yes |
| AntiVirus | No | No | No |
Qual plugin de segurança do WordPress eu deveria escolher?
Todos os plugins mencionados neste artigo dão um bom suporte para a maioria das questões de segurança com as quais você deveria se preocupar na detecção e mitigação dos problemas de segurança que possam aparecer.
Então, em vez de recomendar um plugin específico, deixe-me listar as funcionalidades que eu acho que são importantes quando se trata de serviços de segurança que um plugin do WordPress possa prover.
Veja todas as funcionalidades, veja as comparações lado a lado acima e veja qual plugin provê aquelas funcionalidades e ao mesmo tempo as confere com o preço e o nível de serviço que você deseja.
Alguns dos plugins suportam somente certas funcionalidades nas versões premium. Mas no momento de desespero, quando algo ruim já aconteceu, o dinheiro do custo da versão paga pode ser bem recompensado pela possibilidade de receber o suporte de profissionais qualificados.
- Proteção de força bruta e reforço de senha forte porque você não quer que alguém simplesmente acesse seu painel de administração devido a senhas fracas.
- Backups automatizados enviados para locais seguros, de preferência em um servidor diferente, pois, se algo ruim acontecer, você não quer estar impossibilitado de recuperar seu site WordPress, ao menos parcialmente.
- Monitorar as alterações nos arquivos, como códigos-fonte, modelos, JavaScript, e reparar a partir de backups seguros, pois muitas desconfigurações dos sites são basicamente isso, arquivos que foram alterados pelos atacantes para fazê-los parecer diferentes ou parecer o mesmos, mas espalhar malwares de uma maneira que você não possa notar vendo as páginas.
- Um bom firewall de aplicação Web, pois mesmo que os plugins possam proteger de alguns tipos de exploração, outros ainda podem ser executados no servidor, e os novos arquivos de malware podem ser instalados no sistema para fazê-lo agir de uma maneira que não seja a intencional. Um firewall de aplicação Web vai bloquear o acesso aos novos arquivos de malware, para que seu código não possa ser executado.
E se eu ainda tiver problema de segurança apesar de utilizar um plugin de segurança?
Bem, esses plugins de segurança são ótimos, mas sempre poderá haver casos que eles não anteciparam. A maioria dos mais novos exploits de segurança foi criada por pessoas que eram mais espertas do que os desenvolvedores e violaram aberturas que foram previstas.
Então, quando os ataques de segurança acontecem, você vai precisar da ajuda de um especialista em segurança. Alguns desenvolvedores fornecem serviços adicionais que você pode contratar para ter pessoas resolvendo seus problemas específicos.
Contratar sob demanda geralmente pode ser mais caro do que contratar um serviço fixo de suporte que está pronto para agir no momento em que você descobrir sobre um incidente de segurança.
É por isso que este artigo lista também um serviço de suporte – no caso o WPBuffs. Eles fornecem vários planos de assinaturas baseados no serviço de suporte do WordPress. Isso inclui serviços de segurança, mas também outros serviços não relacionados à segurança, como manutenção.
Os serviços do WPBuffs são acessíveis e podem trazer para você um pouco de paz de espírito e menos dor de cabeça quando os incidentes ocorrerem. Eles têm um serviço de teste de 30 dias que você pode testar para avaliá-los sem o compromisso de pagamento.
Não espere um ataque de segurança acontecer
Segurança é um tópico muito sensível. Muitos desenvolvedores desejariam que nunca tivessem que lidar com problemas de segurança, mas todos os projetos terão seus próprios problemas de segurança, especialmente os grandes, como o WordPress, que é um alvo muito visível devido à sua popularidade.
Então, se o seu site WordPress é muito importante para você, você não deve perder tempo, dinheiro e esforço com eventuais problemas de segurança, então não espere até ter os problemas para começar a agir. Gaste um pouco de tempo agora instale quaisquer plugins que você ache necessários para manter seu site mais protegido.
Outros plugins e serviços de suporte do WordPress
Existem mais plugins de segurança do WordPress por aí. Alguns podem ser antigos e não estarem atualizados por um tempo. Outros podem ser novos e não terem sido cobertos neste artigo.
Se você gostou desse artigo, compartilhe-o com seu desenvolvedor ou amigos proprietários de sites WordPress para que eles possam estar cientes de como proteger seus sites dos riscos de segurança.
***
Haseeb Ahmad Basil faz parte do time de colunistas internacionais do iMasters. A tradução do artigo é feita pela redação iMasters, com autorização do autor, e você pode acompanhar o artigo em inglês no link: https://www.phpclasses.org/blog/post/528-WordPress-Security-Plugins-Comparison.html.
De 0 a 10, o quanto você recomendaria este artigo para um amigo?