O All In One WP Security & Firewall agora se chama All-In-One Security ou AIOS, e continua sendo simples de configurar, salvo alguns cuidados. O plugin é bastante recheado de recursos, dos básicos aos mais avançados, e, quando bem ajustado, pode ser um poderoso aliado na proteção do seu site WordPress.
Este é um dos tutoriais mais antigos do meu blog, e também um dos mais famosos. Demorei um pouco para fazer a atualização deste post, até porque pouca coisa mudou do ano passado para cá.
De qualquer forma, aqui está a atualização de 2024: tutorial completo para você configurar o All-In-One Security (AIOS), antigo All In One WP Security & Firewall, sem colocar seu site WordPress em apuros.
Recomendo dividir a tela e já seguir fazendo as configurações no seu site, pois o tutorial é do tipo mão na massa, ok? Bora lá!
Navegue ou siga a leitura!
- 1. Entenda o All-In-One Security (AIOS), o novo All in One WP Security & Firewall
- 2. Faça backup
- 3. Instale e ative o All-In-One Security (AIOS)
- 4. Settings (Configurações)
- 5. User Security (Segurança do Usuário)
- 6. Database Security (Segurança do DB)
- 7. File Security (Segurança de arquivos)
- 8. Firewall
- 9. Brute Force (Força bruta)
- 10. SPAM Prevention (Prevenção SPAM)
- 11. Scanner (Verificador)
- 12. Tools (Ferramentas)
- 13. Two Factor Auth
- 14. Premium Upgrade
1. Entenda o All-In-One Security (AIOS), o novo All in One WP Security & Firewall
O nome mudou um pouco, mas continua fazendo justiça ao plugin. O All-In-One é um verdadeiro tudo em um que se destaca não só pelo grande número de funcionalidades, mas, principalmente, por oferecer quase todas elas de forma gratuita.
Outro destaque é a interface, que, à primeira vista, não parece ser das mais amigáveis, mas conta com uma abordagem gamefication que simplifica bastante a configuração do usuário. Para ser sincero, é um bocado conservadora, bem no jeitão WordPress, o que agrada uns e desagrada outros.
No painel, temos o clássico medidor de força de segurança (que mais parece um medidor de combustível) cuja nota aumenta a medida que você configura o seu site corretamente e, consequentemente, o torna mais seguro.
É importante esclarecer que o WordPress é um sistema relativamente seguro, mas precisamos fazer a nossa parte, pois ele é muito popular.
Saiba que os riscos não se restringem a sites que fazem transações financeiras ou armazenam dados sensíveis. Na realidade, o principal alvo de robôs maliciosos e hackers são os serviços de hospedagem.
Eles podem invadir os servidores para armazenar arquivos ilegais de forma oculta, criar páginas fraudulentas, driblar sistemas de rastreamento ou, simplesmente, roubar processamento para rodar aplicaçoẽs maliciosas ou minerar criptomoedas.
Isso significa que até quem acabou de criar um site corre risco de ser lesado. Por isso, recomendo instalar e configurar o All-In-One Security o quanto antes. Vamos lá?
2. Faça backup
Você sabe como fazer backups? Se sim, ótimo. Se não, dê uma conferida no artigo “Saiba como fazer backup do WordPress usando o Softaculous” antes de prosseguir — o link abrirá em uma nova guia para você retornar facilmente para cá.
Recomendo expressamente que você faça um backup completo do seu site antes de configurar o All-In-One Security. De maneira geral, as alterações que o plugin realiza são básicas, mas há ajustes delicados que merecem atenção.
Recursos de proteção de login, por exemplo, são capazes de bloquear o site quando mal configurados. Além disso, determinadas edições no banco de dados podem apresentar problemas em alguns serviços de hospedagem.
O objetivo deste tutorial é ajudar usuários a montarem uma estrutura de segurança básica no WordPress, mas para fazer isso é necessário realizar alterações em diversas camadas do site. Cautela, portanto, é essencial.
Já fez o backup? Então faça logo e volte para cá!
3. Instale e ative o All-In-One Security (AIOS)
Sei que muitos já estão com o plugin instalado — se você chegou aqui pelo tutorial “Passo a passo para configurar um site WordPress do zero”, provavelmente já concluiu esse passo.
Se ainda não fez isso, acesse “Plugins” no menu do painel WordPress, clique em “Adicionar novo” e busque por “All-In-One Security (AIOS)“. Na sequência, instale e ative o plugin.
Finalizada a ativação, você verá a opção “WP Security” (ou “Segurança WP“) no menu lateral. Repousando o mouse sobre ela, uma série de itens surgirá, todos eles relacionados às funções do plugin.
Eu instalei o plugin com interface em inglês (como você notará nos prints a seguir), até porque ele não está totalmente traduzido. Para quem usa a versão em português, coloco a tradução entre parênteses na frente do título de cada item do menu, ok?
O primeiro item do menu é o “Dashboard” (ou “Painel“), no qual se encontra o “medidor de combustível” que citei.
Se nunca usou o plugin, sua pontuação deve estar no vermelho ou, no máximo, no amarelo. É hora, então, de melhorar esse número configurando, passo a passo, cada item do menu. Vamos lá!
4. Settings (Configurações)
O primeiro item do menu é o Settings (Configurações).
Nessa primeira seção, verifique na aba Delete plugin settings se as duas opções estão ativadas. Isso fará com que todos os dados residuais de plugins removidos sejam deletados da sua hospedagem, livrando você de bastante lixo.
Logo ao lado, temos a aba WP Version Info. Nela, faremos alguns ajustes também.
O que o plugin nos explica é que o WordPress, por padrão, gera meta dados que informam a versão instalada para os visitantes. Isso pode ajudar hackers ou robôs a identificarem instalações desatualizadas que podem conter brechas de segurança. Logo, o ideal é desativar essa função.
Aproveito para lembrar do quão importante é manter o seu WordPress atualizado. Configure-o para instalar atualizações automaticamente, caso ainda não tenha feito isso.
Voltando às configurações do WP Version info, você deve desativar esta função selecionando a opção que se encontra abaixo: “Enable this if you want remove the version and meta info produced by WP from all pages“. Depois de marcar, é só salvar (Save Settings ou Salvar configurações).
Observe que esta simples ação nos deu 5 pontos no medidor (essa informação fica nos blocos em cinza, assim como os níveis de complexidade de cada operação).
Atualizando: o visual dos indicadores mudou. Agora no lugar no marcador é uma chave, e a cor de destaque é lilás.
Por aqui, faremos apenas isso. Existem outros ajustes disponíveis, incluindo uma interessante autenticação em dois fatores adicionada recentemente, mas são necessárias configurações mais específicas que, por não ter muito conhecimento e experiência, prefiro não abordar.
Neste tutorial, focamos no essencial, tudo bem? E não se preocupe. Os ajustes que faremos nos próximos passos são mais do que suficientes para proteger o seu site. Vamos em frente.
5. User Security (Segurança do Usuário)
Seguimos agora para User Security (antes se chamava “Use Accounts, como você no print abaixo) no menu de configurações do All In One Security.
As configurações das abas dessa área são descritas na sequência.
User Accounts (Contas de usuários)
Na primeira aba, são listadas algumas recomendações de seguranças para os usuários administradores, que aparecem na Lista de contas de administrador. Caso alguma alterações seja solicitada, você precisará realizá-la e depois retornar ao plugin, ok?
Alterar nome de usuário admin
Se o nome do seu usuário for “admin”, ou seja, o nome de usuário padrão da instalação WordPress, você provavelmente estará com zero nesse quesito por razões óbvias — essa será a primeira opção que robôs e hackers amadores usarão para tentar acessar o seu site.
Se for o seu caso, altere o nome acessando o link “Edit User”. Isso lhe renderá 15 pontos.
No meu caso, eu já havia escolhido um nome diferente, então o plugin não indica nenhuma ação, como você vê abaixo.
Display Name (Segurança do nome de exibição)
O Display Name é o nome do autor exibido nos artigos (quando seu tema conta com essa funcionalidade).
O All In One alertou que o meu nome de autor é idêntico ao meu login — essa é a configuração padrão.
Se o primeiro termo que um hacker amador tentará usar para acessar o site é “admin”, o segundo certamente será o nome do autor.
Para alterá-lo, vá até Usuários e acesse seu perfil de usuário.
Role a página e informe dados básicos, como nome e apelido (se desejar). Após preencher, clique na caixa de seleção “Mostrar nome publicamente como” e selecione uma opção que não seja igual ao seu login. Se existirem outros usuários, faça o mesmo com eles.
Aproveite para preencher outras informações que achar relevante para o seu perfil, como redes sociais. Quando terminar, clique em “Atualizar perfil“.
Retorne à aba do WP-All-In-One, recarregue e você terá uma pontuação um pouco melhor.
Evitar enumeração de usuários
Por padrão, o WordPress numera os usuários registrados no site, o que deixa uma brecha para robôs e rackers descobrirem qual deles é o administrador principal (geralmente o usuário 1).
Se o seu site tem um único usuário, isso é irrelevante. Se há vários, é interessante desabilitar essa função.
Entenda, porém que o cancelamento da numeração só ocorre nos usuários que são criados após realizar essa configuração. Logo, para ficar seguro, precisará recriar todos os seus usuários.
Login lockout
De cara, caímos nas configurações de bloqueio de conta. O que faremos aqui é definir como o WordPress deverá se comportar diante de tentativas de login mal sucedidas, como erros de login e senha.
Nas opções abaixo, recomendo marcar a primeira opção (que habilitará o bloqueio de login) e a segunda (que permite gerar um link de solicitação de desbloqueio automatizado).
Na sequência, configuramos:
- o número máximo de tentativas de login antes do bloqueio do acesso;
- o intervalo mínimo entre as tentativas;
- o tempo de bloqueio.
Optei por 3, 5 e 60 minutos, respectivamente, mas você pode configurar da forma que achar melhor.
Se desejar, na caixa de marcação Display Generic Error Message (Exibir mensagem de erro genérico), você pode habilitar uma mensagem de erro para ser exibida quando o login falhar.
Não recomendo marcar a opção seguinte, Instantly Lockout Invalid Usernames (Bloquear instantaneamente nome de usuário inválido), pois ao ativar esse recurso, o WP bloqueará o login instantaneamente quando um nome de login inserido for inválido. Muitas vezes nós mesmos cometemos erros de atenção ou digitação.
A última opção é para você ser notificado por e-mail sempre que alguém for bloqueado no login. Se não marcar, será apenas notificado dentro do WordPress.
É interessante ser notificado quando alguém tenta acessar o seu site sem sucesso. Entretanto, a maior parte das tentativas de acesso forçadas são realizadas por robôs. Sendo assim, é um pouco desnecessário e irritante ficar recebendo esses alertas, especialmente se você não abre seu site para membros ou gerencia mais de um WordPress.
Para finalizar, clique em “Save Settings” (Salvar configurações).
Force Logout (Forçar saída)
Nossa próxima parada é o Force Logout (Forçar saída). Marque essa opção para deslogar automaticamente o WP depois de um tempo pré-definido (lembre-se que isso também vale para você). Se colocar 60 minutos, por exemplo, a cada hora precisará relogar.
Essa opção é mais interessante caso você use diferentes dispositivos para acessar o painel do seu site. Deslogando automaticamente, você não corre o risco de deixar o seu site aberto no computador de outra pessoa, por exemplo.
Lembre-se de desativar esta função, caso habilite o “modo manutenção” ou não tenha acesso direto ao painel da hospedagem do site. Você pode correr o risco de ser deslogado e não conseguir entrar de novo.
Marque, se assim desejar, escolha um tempo em minutos e clique em “Save Settings” (Salvar configurações) para ganhar 5 pontos.
Relatórios de acesso
As duas próximas abas são apenas relatórios de controle de acesso. Na primeira, você confere os usuários logados atualmente no site e na segunda, é onde você encontra a lista com login’s pendentes para aprovar manualmente.
Salt
“Salts” são frases secretas que são combinadas com senhas de usuários quando essas senhas são armazenadas, com o resultado final de que elas se tornam muito mais difíceis de serem quebradas por um invasor, mesmo que ele consiga roubar o banco de dados do seu site.
É mais uma camada de proteção, então recomendo ativar.
Additional settings
O WordPress 5.6 introduziu um novo recurso chamado “Senhas de aplicativos”.
Isso permite que você crie um token no painel do WordPress que pode ser usado no cabeçalho de autorização.
Essa função do All-In-One permite desativar senhas de aplicativos, pois elas podem deixar seu site vulnerável a engenharia social e golpes de phishing. Pode ativar!
6. Database Security (Segurança do DB)
O próximo item do menu do All-in-One é o Database Security (Segurança do DB).
As configurações por aqui são um pouco mais delicadas. Se você não for um usuário avançado, recomendo ficar apenas nos ajustes que apresentarei a seguir.
Observe que logo de cara o plugin recomenda a realização de um backup. Já fizemos isso no início do tutorial — você fez, não é? —, mas se quiser fazer outro para garantir as alterações já feitas até aqui, fique à vontade.
DB Prefix (Prefixo do DB)
Na primeira aba, mudaremos o prefixo do banco de dados do WordPress, que, por padrão, é nomeado como “wpfp_”. Como dito, as opções padrão da instalação do WP são o primeiro caminho trilhado por invasores.
Marque a caixa indicada para que o plugin gere um novo nome aleatório ou digite um nome de sua preferência no campo abaixo. Para fazer a alteração, clique em “Change DB Prefix (Alterar prefixo do banco de dados)“.
Os detalhes do procedimento serão listados abaixo (não se preocupe com isso). Quando surgir em azul “DB prefix change tasks have been completed (As tarefas de alteração de prefixo de banco de dados foram concluídas)” e o novo nome for exibido em frente a Current DB Table Prefix (Atual prefixo da tabela BD), saiba que a alteração foi concluída com sucesso.
Após fazer isso, recomendo dar uma conferida no seu site (acesse o domínio em outra aba para não sair do All-In-One). Como esse procedimento é um pouco “invasivo”, digamos assim, falhas não são impossíveis.
Nunca tive problemas fazendo isso em hospedagens Hostgator ou Hostinger, mas não posso responder por outros serviços. Se seu site apresentou alguma falha após o procedimento, tente consertar nesse mesmo local retornado o prefixo para o nome padrão: wpfp_.
No último caso: restaure o seu backup!
DB Backup (Backup do DB)
O backup do banco de dados foi desabilitado no All-In-One. Os desenvolvedores optaram por remover essa função e indicam o plugin UpdraftPlus em substituição, pois ele utiliza mecanismos mais modernos e robustos para essa tarefa.
Sendo assim, não há nada a fazer nessa área e é provável que ela desapareça do menu no futuro — se bem que já faz um bom tempo que está assim, o que pode sugerir que algum tipo de integração ou recurso novo está sendo desenvolvido.
Lembre-se, porém, que o ideal é realizar backups periódicos por meio do seu serviço de hospedagem. Os plugins geralmente apresentam uma série de limitações nas versões gratuitas, principalmente no processo de restauração de arquivos, que é quando você mais precisa.
7. File Security (Segurança de arquivos)
Próximo item: File Security (Segurança de arquivos).
File Permissions (Permissões de arquivos)
Na primeira aba, o plugin verificará se as permissões de acesso para cada tipo de arquivo do WordPress são coerentes, dadas as suas funções.
Se você é iniciante, saiba que o WordPress tem um sistema hierarquia para controle de usuários. Isso permite que produtores de conteúdo, por exemplo, não façam alterações no banco de dados ou outra área que não lhe diz respeito.
Quando instalado, o WordPress já define uma configuração segura para essas permissões, mas elas podem ser alteradas por plugins ou manualmente, por engano.
Se houver algum alerta, como no meu caso (imagem abaixo), providencie os ajustes solicitados. Clicando em “Set recommended permissions” (Conjunto recomendado de permissões), o plugin corrigirá o problema.
File Protection
Na aba seguinte, File Protection, várias ações são recomendadas para proteger os arquivos do seu site WordPress.
Impedir o acesso a arquivos padrão do WP
Marcamos essa opção para ocultar algumas informações relevantes sobre sua instalação do WordPress, que ficam disponíveis nos dados do seu site.
Evitar hotlinking
Aqui, você tem a opção de impedir estes arquivos — que nada tem a ver com os links de afiliado da Hotmart, ok?
Os hotlinks, nesse caso, são imagens do seu WordPress exibidas em outros sites, como uma espécie de embed. A questão é que isso pode consumir processamento do seu servidor.
Especialmente se você usa hospedagem compartilhada, nem pense duas vezes: marque e salve tranquilamente!
Desativar edição de arquivo PHP
Aqui, você pode desabilitar a edição do código PHP por meio do painel do WordPress. Se você não pretende fazer alterações no código do seu site, o ideal é marcar essa opção e salvar (Save Settings ou Salvar configurações).
Host System Logs (Logs do sistema hospedeiro)
Na aba Host System Logs (Logs do sistema hospedeiro), você pode verificar registros de erro da sua hospedagem.
É algo apenas informativo, requer algum conhecimento técnico para compreender e só será útil no caso de falhas muito graves no site. Podemos ignorar essa parte.
Proteção de cópia
Ao ativar essa função, você impedirá que os usuários marquem e copie textos do seu site.
É interessante no que diz respeito à proteção de textos protegidos, mas compromete a experiência do usuário, pois muita gente gosta de marcar termos para pesquisar no Google, por exemplo.
Fica a seu critério.
Quadros
Ao ativar essa função, você impede que outros sites exibam conteúdos do seu por meio de frames ou iframes, o que pode roubar processamento da sua hospedagem ou fazer seu conteúdo aparecer em locais indesejados. Sendo assim, ative!
8. Firewall
Chegamos agora no Firewall do All-In-One WP Security.
Basicamente, a função de um firewall é gerenciar o tráfego de um site. Como uma espécie de “segurança de eventos”, ele adota regras de entrada e saída para avaliar os usuários e banir acessos suspeitos.
Nas últimas atualizações do All-In-One geralmente surge uma mensagem do plugin no topo da página para instalar o Firewall e definir as regras de forma automática (até porque essa seção é mais técnica).
Basta clicar e estará tudo pronto!
De qualquer forma, vou passar em cada aba e deixar claro as opções que costumo marca em cada uma. Confere aí!
PHP firewall settings
Não vou entrar em detalhes aqui (até porque não sei muita coisa), mas QUASE todas as opções dessa aba são importantes para proteger o seu site e devem ser ativadas.
As únicas exceções são a Completely Block Access To XMLRPC, no primeiro bloco (que pode interferir no funcionamento de outros plugins do seu site) e a Disable WordPress RSS and ATOM feeds, no segundo bloco (que impede usuários e ferramentas de usarem os feed RSS de conteúdo, o que também por atrapalhar seu site).
Marque as demais sem medo e salve.
.htaccess rules
Na próxima aba, recomendo marcar todas as opções e salvar.
Devo confessar que não sei exatamente como todas essas funções agem no site. Entretanto, os desenvolvedores do plugin as recomendam e já fiz essa configuração pelo All-In-One Security em vários projetos sem nenhum problema.
6G firewall rules
Na próxima aba, 6G Blacklist Firewall Rules (Regras do firewall de lista negra 6G), também recomendo marcar todas as opções e salvar.
Internet Bots (Robôs da internet)
Na aba Internet Bots (robôs da internet), o Firewall apresenta um recurso capaz de bloquear falsos Googlebots, ou seja, rastreadores não oficiais que podem roubar informações do seu site.
A questão é que outras plataformas da internet também enviam bots para fazer análises, especialmente as ferramentas de SEO, e existe o risco de elas também serem bloqueadas. Sendo assim, prefiro não ativar esse serviço, mas a escolha é sua.
Tenha em mente que ativar essa função não prejudicará seu desempenho no Google, mas existe a possibilidade dela prejudicar as análises do seu site em plataformas de SEO, como Semrush ou Ahrefs.
Blacklist
Na lista negra, você tem a possibilidade de bloquear acessos por IP. Caso isso seja viável para você, é aqui que poderá efetuar este bloqueio.
WP REST API
Este recurso permite bloquear o acesso à API REST do WordPress para solicitações não autorizadas.
Quando ativado, esse recurso só permitirá que solicitações REST sejam processadas se o usuário estiver logado.
Esta funcionalidade, porém, pode prejudicar o funcionamento de plugins e não é algo tão relevante na escala de segurança. Acho melhor não marcar.
Advanced settings
Na última aba, você tem a opção de fazer o Downgrade do Firewall, revertendo as configurações feitas pelo plugin. Isso só é necessário se você estiver usando ou deseja usar outro plugin de Firewall, e evitar conflitos.
No fim, em Allow list, você pode “imunizar” alguns endereços IP das ações do Firewall. Isso é útil quando há algum conflito em alguma função. Aqui, você pode adicionar o IP da ferramenta para que ela não seja afetada pelo Firewall.
9. Brute Force (Força bruta)
No próximo item do plugin, Brute Force (Força bruta), protegeremos o site de tentativas de acesso por “força bruta” (softwares que testam diversas combinações de login e senha em sequência para tentar acessar o site).
Atenção: as configurações de força bruta só podem ser realizadas por um único plugin para evitar conflitos. Se você estiver usando outro, como o Loginizer, desative-o ou ignore essa etapa do All-In-One.
Rename Login Page (Renomeação da página de login)
A primeira opção disponível nessa área é mudar o endereço do login. Por padrão, a página de login do WP é “domínio/wp-admin”. Aqui, você tem a oportunidade de criar um endereço personalizado.
Marque a primeira opção para mudar a URL de login e digite a nova URL (após o domínio) no campo abaixo. Escolha algo que não seja muito óbvio.
Observe que, ao fazer isso, você pode ser deslogado. Se isso acontecer, será preciso acessar o login pelo novo endereço e entrar novamente.
Cookie Based Brute Force Prevention (Prevenção baseadas em cookies de força bruta)
Vamos pular a segunda aba, pois suas funções são mais avançadas. Seguimos, então, para a terceira: Login Captcha (Captcha login).
Captcha settings
O objetivo aqui é habilitar captcha do All-In-One ou o reCAPTCHA do Google em vários formulários e logins do WordPress. O serviço do Google não é infalível, mas é muito mais aprimorado que o nativo do All-In-One, por isso, vamos seguir com ele.
Marcando e salvando a primeira opção, pré-ativamos o recurso reCAPTCHA em todos os formulários. Observe, porém, que essa função está atrelada ao reCAPTCHA v2 do Google, versão que requer dois códigos de utilização: o site key e o secret key.
Para gerá-los, acesse https://google.com/recaptcha e clique em v3 admin console — certifique-se de estar logado com um e-mail Google, preferencialmente o utilizado no seu Analytics para evitar configurações adicionais.
Preencha os dados solicitados e prossiga. Você chegará na página com os códigos que precisa. Bastará, então, copiar e colar nos campos indicados do plugin.
Se não quiser usar isso agora, desmarque a primeira opção e marque todas as outras. Fazendo isso, será ativado o captcha padrão do plugin — ele apresenta uma continha de matemática no login.
Atenção: se não for usar o reCAPTCHA do Google, deixe a primeira opção desmarcada! Ao ativá-la sem inserir os códigos do Google, ocorre um erro no login que impede o acesso.
Se isso acontecer com você, entre no WordPress usando o seu serviço de hospedagem (ou use alguma ferramenta, como o Softaculous). Dentro do painel, retorne ao All In One para desmarcar a opção e, em seguida, limpe o cache do site com algum plugin de otimização.
Login Whitelist (Lista branca de login)
Também vamos pular a aba Login Whitelist (Lista branca de login). Esse recurso serve para limitar o acesso à página de login aos IPs cadastrados em uma lista.
É uma excelente forma de proteger o seu site, mas que pode gerar alguma inconveniência. Pense que você precisará pedir o endereço IP de todos os usuários que solicitarem o acesso ao seu site, como desenvolvedores, redatores ou webdesigners.
Considero isso dispensável. No entanto, se achar relevante para o seu site, não se esqueça de adicionar o seu IP na lista (Your Current IP Adress) para não ser banido do seu próprio site, além do IP de outros dispositivos que for utilizar para editá-lo.
404 Detection (Detecção 404)
404 Detection (detecção 404) é um recurso para monitorar os acessos a endereços não encontrados (que retornam o erro 404) e bloquear IPs que erram URLs muitas vezes.
A questão é que nós mesmos costumamos cair em páginas 404 ao digitar com pressa ou acessar, por engano, páginas apagadas, por exemplo. Eu prefiro deixar desmarcado.
Honeypot (Pote de mel)
Nessa aba, habilitaremos essa função na página de login e registro de usuário. O Honeypot adiciona campos invisíveis nos formulários que servem como armadilha para robôs. Basta marcar tudo e salvar.
10. SPAM Prevention (Prevenção SPAM)
Próximo item: SPAM Prevention (Prevenção SPAM).
Comment SPAM (SPAM de comentário)
Nesta primeira aba, você tem a possibilidade de habilitar a detecção de comentários gerados por robôs e definir o que fazer com eles (marcar como spam ou deletar direto, por exemplo). Selecione ambas e salve.
Comment SPAM IP Monitoring (Monitoramento de IP SPAM de comentário)
Esta função habilita um recurso para bloquear IPs que enviam spam, mas tenho um pouco de receito em relação ao que o plugin pode reconhecer como spam.
Como é algo básico na escala de segurança do All-In-One, prefiro deixar desmarcado para evitar problemas no futuro.
11. Scanner (Verificador)
O próximo item é o Scanner (Verificador).
As opções aqui lembram as de um antivírus. Rolando até File Change Detection Settings (Configuração de detecção de alterações de arquivo), o que você deve fazer é definir um intervalo entre as verificações de segurança.
O plugin traz o intervalo de 4 semanas por padrão, mas eu coloco duas. Há quem diga para colocar uma. Fica a seu critério.
Os campos seguintes você pode ignorar se não souber utilizar.
No fim, você pode marcar a opção de receber uma notificação por e-mail sempre que alguma alteração for detectada nos arquivos do host. Deixando em aberto, as notificações e os dados serão exibidos apenas no painel do plugin, no WordPress.
Não esqueça de salvar.
A guia seguinte, Malware Scan (Examinar malware), traz apenas uma sugestão de plugin pago, o que não nos interessa agora.
12. Tools (Ferramentas)
De maneira geral, essa seção nada mais é do um apanhado com as funções do plugin que não tem uma área certa para ficar. O “resto”, digamos assim.
Atualmente, são 4 abas:
- Ferramenta de senha: aqui você pode testar a qualidade das suas senhas com uma ferramenta que estima quanto tempo um robô levaria para quebrá-la num ataque de força bruta;
- Pesquisa WHOIS: WHOIS é um protocolo de consulta da internet que permite verificar a propriedade de sites (para descobrir ações suspeitas), e aqui você tem um atalho para a consulta;
- Regras .htaccess personalizadas: aqui, você pode definir regras personalizadas de firewall, se precisar, mas é um recurso avançado que só deve ser feito por quem tem conhecimento;
- Bloqueio de visitantes: nada mais do que o famoso “modo manutenção”, onde você pode ativar e definir uma mensagem para os visitantes que chegarem.
13. Two Factor Auth
Como diz o nome, isso é um recurso de autenticação em dois fatores que gera códigos de verificação inéditos constantemente, semelhante ao que encontramos em diversos aplicativos de celular.
Tenho um pouco de receio com esses recursos por medo de ficar preso do lado de fora do site — o que costuma acontecer com frequência com usuários desavisados.
Como nunca testei, não tenho o que dizer por aqui. Caso tenha usado e gostado, conte nos comentários!
14. Premium Upgrade
Citando esta seção para deixar o tutorial completo mesmo. A versão paga do AIOS conta com alguns recursos extras, como detecção automática de malware, relatórios de segurança mais completos, funções para multisite e muito mais.
Vale a pena? Sinceramente, acho que não. Se o seu projeto requer um nível de segurança maior, acho que o caminho ideal é contratar alguma empresa ou profissional especializado com boa reputação por aqui, no Brasil. Um plugin sozinho não vai te salvar de todos os problemas.
Para projetos simples, como sites institucionais, blogs pessoais e portfólios, os recursos gratuitos e seu bom senso (usar boas senhas, manter tudo atualizado e instalar só aplicações confiáveis) é mais do que suficiente para dormir tranquilo.
É isso ai. Terminamos de configurar o All In One WP Security! Vamos voltar ao Dashboard para conferir a nossa pontuação?
Por aqui, o meu site está com 405 pontos e ocupa a região verde do marcador, o que indica que ele está seguro.
Poderíamos realizar outros ajustes para aumentar a força de segurança, mas, como vimos, algumas funções demandam conhecimento técnico e outras podem comprometer o funcionamento de elementos importantes.
Não vale a pena arriscar o pleno funcionamento do site ou a experiência dos visitantes por uns pontinhos a mais. Tal como no Yoast SEO e em outros plugins, é bom não ficar obcecado com essas pontuações.
Como você deve ter percebido, há muita tentativa e erro por aqui, e recomendo que faça o mesmo.
Sempre que mudar algo no seu WordPress, dê um pulinho no seu site e limpe o cache para conferir se está tudo bem. Se algo estranho ocorrer, desfaça o último ajuste e tente algo diferente. É assim que descobrimos o que funciona e o que não dá certo, mesmo sem repertório técnico.
Este tutorial acaba aqui. Volte sempre que precisar configurar o All-In-One Security, o velho conhecido All In One WP Security & Firewall!