Categorias
Tutorial WordPress

Aprenda a configurar o All In One WP Security & Firewall (sem fazer besteira)

Configurar o All In One WP Security & Firewall é relativamente simples, mas é preciso tomar alguns cuidados. O plugin é bastante recheado de recursos, dos básicos aos mais avançados, e, quando bem ajustado, pode ser um poderoso aliado na proteção do seu site WordPress.

O All In One faz justiça ao nome. É um verdadeiro tudo em um que se destaca não só pelo grande número de funcionalidades, mas, principalmente, por oferecer quase todas elas de forma gratuita.

Outro destaque é a interface, que, à primeira vista, não parece ser das mais amigáveis, mas conta com uma abordagem gamefication que simplifica bastante a configuração do usuário. Em seu painel, existe um medidor de segurança (que mais parece um medidor de combustível) cuja nota aumenta a medida que você configura o seu site corretamente e, consequentemente, o torna mais seguro.

É importante esclarecer que o WordPress é um sistema muito seguro, mas precisamos fazer a nossa parte, pois ele é muito popular (40% da web o utiliza!). Os riscos não se restringem a sites que fazem transações financeiras ou armazenam dados sensíveis. Na realidade, o principal alvo de robôs maliciosos e hackers são os serviços de hospedagem.

Eles podem invadir os servidores para armazenar arquivos ilegais de forma oculta, criar páginas fraudulentas, driblar sistemas de rastreamento ou, simplesmente, roubar processamento.

Isso significa que até quem acabou de criar um site corre risco de ser lesado e, por isso, recomendo instalar e configurar o All In One WP Security & Firewall o quanto antes. Vamos lá?

1. Faça backup

Você sabe como fazer backups? Se sim, ótimo. Se não, dê uma conferida no artigo “Saiba como fazer backup do WordPress usando o Softaculous” antes de prosseguir — o link abrirá em uma nova guia para você retornar facilmente para cá.

Recomendo expressamente que você faça um backup completo do seu site antes de configurar o All In One WP Security & Firewall. De maneira geral, as alterações que o plugin realiza são básicas, mas há ajustes delicados que merecem atenção.

Recursos de proteção de login, por exemplo, são capazes de bloquear o site quando mal configurados. Além disso, determinadas edições no banco de dados podem apresentar problemas em alguns serviços de hospedagem.

Não aprofundarei em funções avançadas do All In One, o objetivo deste tutorial é ajudar usuários a montarem uma estrutura de segurança básica no WordPress. Mas para fazer isso é necessário realizar alterações em diversas camadas do site. Cautela, portanto, é essencial.

Já fez o backup? Então faça logo e volte para cá!

2. Instale e ative o All In One WP Security & Firewall

Sei que muitos já estão com o plugin instalado — se você chegou aqui pelo tutorial “Passo a passo para configurar um site WordPress do zero”, provavelmente já concluiu esse passo.

Se ainda não fez isso, acesse “Plugins” no menu do painel WordPress, clique em “Adicionar novo” e busque por “All In One WP Security & Firewall“. Na sequência, instale e ative o plugin.

adicionar plugin para configurar all in one wp security & firewall

Finalizada a ativação, você verá a opção “WP Security” no menu lateral. Repousando o mouse sobre ela, uma série de itens surgirá, todos eles relacionados às funções do plugin.

O primeiro é o “Dashboard“, no qual se encontra o “medidor de combustível” que citei na introdução.

all in one wp securtiy & firewall dashboard

Se nunca usou o plugin, sua pontuação deve estar no vermelho ou, no máximo, no amarelo. É hora, então, de melhorar esse número configurando, passo a passo, cada item do menu. Vamos lá!

3. Settings (Configurações)

O primeiro item do menu é o Settings (Configurações).

configurações all in one security & firewall

Nessa primeira seção, faremos ajustes apenas na a aba WP Version Info.

menu configurações all in one security & firewall

O que o plugin nos explica é que o WordPress, por padrão, gera meta dados que informam a versão instalada para os visitantes. Isso pode ajudar hackers ou robôs a identificarem instalações desatualizadas que podem conter brechas de segurança. Logo, o ideal é desativar essa função.

Para fazer isso, basta selecionar a opção abaixo (Check this if you want remove the version and meta info produced by WP from all pages) e salvar (Save Settings).

remover gerador de meta dados all in one security & firewall

Observe que essa simples ação nos deu 5 pontos no medidor (essa informação fica nos blocos em cinza, assim como os níveis de complexidade de cada operação).

Por aqui, faremos apenas isso. Existem outros ajustes disponíveis, mas neste tutorial nos focaremos no essencial, tudo bem?

4. User Accounts (Contas de Usuários)

Seguimos agora para User Accounts (Contas de Usuários) no menu de configurações do All In One WP Security & Firewall.

user accounts wp security menu

As configurações das abas dessa área são descritas na sequência.

WP Username (Nome de Usuário WordPRess)

Se o nome do seu usuário for “admin”, ou seja, o nome de usuário padrão da instalação WordPress, você provavelmente estará com zero nesse quesito por razões óbvias — essa será a primeira opção que robôs e hackers amadores usarão para tentar acessar o seu site.

Se for o seu caso, altere o nome acessando o link “Edit User”. Isso lhe renderá 15 pontos.

No meu caso, eu já havia escolhido um nome diferente, então o plugin não indica nenhuma ação, como você vê abaixo.

alterando nome do administrador all in one security & firewall

Display Name (Nome de Exibição)

Seguindo para a próxima aba, chegamos ao Display Name. Esse é o nome do autor exibido nos artigos (quando seu tema conta com essa funcionalidade).

display name wp security

O All In One alertou que o meu nome de autor é idêntico ao meu login — essa é a configuração padrão.

Se o primeiro termo que um hacker amador tentará usar para acessar o site é “admin”, o segundo certamente será o nome do autor. Logo, é interessante alterá-lo para esconder o seu nome de login.

Para fazer isso, clique sobre o seu login. Feito isso, uma nova aba se abrirá com o seu perfil de usuário.

Role a página e informe dados básicos, como nome e apelido (se desejar). Após preencher, clique na caixa de seleção “Mostrar nome publicamente como” e selecione uma opção que não seja o seu login. Se existirem outros usuários, faça o mesmo com eles.

mostrar nome publicamente wp security

Aproveite para preencher outras informações que achar relevante para o seu perfil, como redes sociais. Quando terminar, clique em “Actualizar perfil“.

Retorne à aba do WP All In One, recarregue e você terá uma pontuação um pouco melhor.

no action required wp security

Password (Senha)

Na próxima aba, Password, há apenas um teste de força de senha. Se você criou uma boa senha na instalação do WordPress não precisa se preocupar.

O interessante é que a ferramenta apresenta uma estimativa de quantos anos demoraria para um software malicioso descobrir a sua senha em uma tentativa de acesso por força bruta. A minha senha, por exemplo, exigiria mais de um quatrilhão de anos de processamento. Nada mal, não?

força de senha wp security - configurar all in one wp security & firewall

É interessante observar que senhas comuns como “senha” ou “123” demoram menos de um segundo para serem quebradas. Portanto, fuja delas em qualquer plataforma.

5. User Login (Login do Usuário)

Vamos em frente. A próxima seção do menu é o User Login (Login do Usuário).

user login wp seurity

Confira, a seguir, o que deve fazer em cada aba.

Login Lockdown (Bloqueio de Login)

De cara, caímos nas configurações de bloqueio de conta. O que faremos aqui é definir como o WordPress deverá se comportar diante de tentativas de login mal sucedidas, como erros de login e senha.

Nas opções abaixo, recomendo marcar a primeira opção (que habilitará o bloqueio de login), mas não a segunda (que permite gerar um link de solicitação de desbloqueio automatizado). Esse tipo de link, além de não ser muito utilizado por usuários legítimos (não robôs), pode ser solicitado por spams.

Na sequência, configuramos:

  • o número máximo de tentativas de login antes do bloqueio do acesso;
  • o intervalo mínimo entre as tentativas;
  • o tempo de bloqueio.

Optei por 3, 5 e 60 minutos, respectivamente, mas você pode configurar da forma que achar melhor.

opções de bloqueio de login wp security

Se desejar, na caixa de marcação Display Generic Error Message, você pode habilitar uma mensagem de erro para ser exibida quando o login falhar.

Não recomendo marcar a opção seguinte, Instantly Lockout Invalid Usernames, pois ao ativar esse recurso, o WP bloqueará o login instantaneamente quando um nome de login inserido for inválido. Muitas vezes nós mesmos cometemos erros de atenção ou digitação.

A última opção é para você ser notificado por e-mail sempre que alguém for bloqueado no login. Se não marcar, será apenas notificado dentro do WordPress.

Para finalizar, clique em “Save Settings“.

Force Logout (Desconexão Forçada)

Nossa próxima parada é o Force Logout (Desconexão forçada). Marque essa opção para deslogar automaticamente o WP depois de um tempo pré-definido. Lembre-se que isso também vale para você. Se colocar 60 minutos, por exemplo, a cada hora precisará relogar.

Essa opção é mais interessante caso você use diferentes dispositivos para acessar o painel do seu site. Deslogando automaticamente, você não corre o risco de deixar o seu site aberto no computador de outra pessoa, por exemplo.

Marque, se assim desejar, escolha um tempo em minutos e clique em “Save Settings” para ganhar 5 pontos.

force logout wp security

Relatórios de acesso (demais abas)

As abas restantes dessa seção são apenas relatórios de controle de acesso. Os dados exibidos são os seguintes:

  • Failed Login Records: histórico de tentativas de login que falharam;
  • Account Activity Logs: histórico de usuários que acessaram o seu WordPress;
  • Logged In User: usuários logados atualmente.
account activity logs wp security

No último relatório (Logged In Users), caso se depare com algum usuário desconhecido, você pode deslogá-lo à força. É também recomendável trocar a senha de acesso nesse caso.

Siga em frente para continuar a configurar o All In One WP Secuirty & Firewall.

6. User Registration (Registro de Usuário)

Próximo item do menu é o User Registration (Registro de Usuário).

user registration wp security

Manual Approval (Aprovação Manual)

Ao marcar a opção exibida logo na abertura dessa seção, você deverá aprovar manualmente todos os novos usuários que forem cadastrados no seu site. As aprovações pendentes serão listadas no relatório abaixo (Approve Registered Users).

manually approve new registrations wp security

Eventualmente, você precisá abrir o seu site para outros profissionais, como webdesigners, desenvolvedores, analistas de marketing ou produtores de conteúdo. Sendo assim, é interessante ter esse controle. O All In One, inclusive, oferece 20 pontos para quem ativar essa função.

Registration Captcha

Na próxima aba, Registration Captcha, você pode habilitar este recurso na página de registro de usuário. É mais uma forma de prevenir acessos maliciosos.

captcha registration wp security

Registration Honeypot

A última aba dessa seção, Registration Honeypot, é também uma armadilha para robôs. Ao selecionar essa opção, um campo de preenchimento oculto ficará disponível na página de registro.

Usuários reais não o veem, já os robôs, como geralmente preenchem todos os campos de formulários, acabam sendo identificados e bloqueados.

honeypot registration wp security

7. Database Security (Segurança do Banco de Dados)

O próximo item do menu do All in One é o Database Security (Segurança do Banco de Dados).

database security menu wp security

As configurações por aqui são um pouco mais delicadas. Se você não for um usuário avançado, recomendo ficar apenas nos ajustes que apresentarei a seguir. Observe que logo de cara o plugin recomenda a realização de um backup.

change database prefix wp security

Já fizemos isso no início do tutorial — você fez, não é? —, mas se quiser fazer outro para garantir as alterações já feitas até aqui, fique à vontade.

DB Prefix (Prefixo do Banco de Dados)

Na primeira aba, mudaremos o prefixo do banco de dados do WordPress, que, por padrão, é nomeado como “wpfp_”. Como dito, as opções padrão da instalação do WP são o primeiro caminho trilhado por invasores.

Marque a caixa indicada para que o plugin gere um novo nome aleatório ou digite um nome de sua preferência no campo abaixo (o plugin recomenda usar sequências aleatórias com letras, números e símbolos). Para fazer a alteração, clique em “Change DB Prefix“.

change db prefix wp security

Os detalhes do procedimento serão listados abaixo (não se preocupe com isso). Quando surgir em azul “DB prefix change tasks have been completed” e o novo nome for exibido em frente a Current DB Table Prefix, saiba que a alteração foi concluída com sucesso.

Após fazer isso, recomendo dar uma conferida no seu site (acesse o domínio em outra aba para não sair do All In One). Como esse procedimento é um pouco “invasivo”, digamos assim, falhas não são impossíveis.

Nunca tive problemas fazendo isso em hospedagens Hostgator ou Hostinger, mas não posso responder por outros serviços. Se seu site apresentou alguma falha após o procedimento, tente consertar nesse mesmo local retornado o prefixo para o nome padrão: wpfp_.

No último caso: restaure o seu backup!

DB Backup (Backup do Banco de Dados)

Na aba seguinte você pode criar um backup manualmente clicando em “Create DB Backup Now” ou configurar o backup automático das configurações do seu banco de dados na seção abaixo (Automated Scheduled Backups). O mais prático, claro, é automatizar o processo.

Observe que nesse backup são preservadas apenas as definições principais do seu site. Isso serve para reverter eventuais erros ou alterações não autorizadas. Posts e imagens só podem ser recuperados por meio do backup completo.

O plugin deixa pré-configurado o intervalo de 4 semanas entre os backups, o que é aceitável. Entretanto, se você faz modificações no site com muita frequência, recomendo diminuir o intervalo.

automated backups wp security

Na sequência, recomendo manter apenas dois backups, como está, para evitar acúmulo de arquivos. Ou seja, serão mantidos apenas os dois últimos e os demais deletados automaticamente. Não é interessante gastar espaço em disco com isso.

Tal como anteriormente, você tem (na última opção) a possibilidade de ser notificado por e-mail sempre que um novo backup for feito.

8. File system Security (Segurança de Arquivos do Sistema)

Próximo item: File system Security (Segurança de Arquivos do Sistema).

filesystem security menu wp security

File Permissions (Permissões de Arquivo)

Na primeira aba, o plugin verificará se as permissões de acesso para cada tipo de arquivo do WordPress são coerentes, dadas as suas funções. 

Se você é iniciante, saiba que o WordPress tem um sistema hierarquia para controle de usuários. Isso permite que produtores de conteúdo, por exemplo, não façam alterações no banco de dados ou outra área que não lhe diz respeito.

Quando instalado, o WordPress já define uma configuração segura para essas permissões, mas elas podem ser alteradas por plugins ou manualmente, por engano.

Se houver algum alerta, como no meu caso (imagem abaixo), providencie os ajustes solicitados. Clicando em “Set recommended permissions“, o plugin corrigirá o problema.

set recommended permissions wp security

PHP File Editing (Edição do Arquivo PHP)

Na aba seguinte, PHP File Editing, você pode desabilitar a edição do código PHP por meio do painel do WordPress. Se você não pretende fazer alterações no código do seu site, o ideal é marcar essa opção e salvar (Save Settings).

php file editing wp security

Caso algum ajuste dessa natureza seja necessário, lembre-se de desfazer essa opção para liberar o acesso, seja para você, seja para um profissional contratado.

WP File Access (Acesso ao Arquivo WordPress)

Na próxima aba, WP File Access, marcamos essa opção para ocultar algumas informações relevantes sobre sua instalação do WordPress que ficam disponíveis nos dados do seu site.

wp file acess wp security

Host System Logs (Logs do Host/Hospedagem)

Na última aba, Host System Logs, você pode verificar registros de erro da sua hospedagem. É algo apenas informativo, requer algum conhecimento técnico para compreender e só será útil no caso de falhas muito graves no site. Podemos ignorar essa parte.

9. Blacklist Manager (IGNORAR)

O próximo item do menu do All in One é o Blacklist Manager (Gerenciar Lista Negra), funcionalidade que permite banir o acesso de endereços IP inserindo-os em uma lista negra.

Embora a proposta seja fácil de entender, esse tipo de configuração deve ser feita apenas por profissionais especializados. Como o plugin nos alerta, é possível que o recurso não funcione corretamente no site ou exija ajustes mais profundos.

blacklist wp security

Minha orientação, portanto, é ignorar essa seção e seguir para a próxima: Firewall

10. Firewall

firewall wp security

Basicamente, a função de um firewall é gerenciar o tráfego de um site. Como uma espécie de “segurança de eventos”, ele adota regras de entrada e saída para avaliar os usuários e banir acessos suspeitos.

Basic Firewall Ruler (Regras Básicas do Firewall)

Na primeira aba, Basic Firewall Rules (Regras básicas de Firewall), podemos habilitar ou desabilitar algumas dessas regras. Não vou entrar em detalhes aqui, mas todas as opções dessa aba são importantes para proteger o seu site e devem ser ativadas.

A única exceção é a “Completely Block Access To XMLRPC”, um tipo de bloqueio que pode interferir no funcionamento de outros plugins do seu site. Marque as demais sem medo.

Por fim, salve em “Save Basic Firewall Settings”.

basic firewall settings wp security

Additional Firewall Rules (Regras Adicionais de Firewall)

Na próxima aba, Additional Firewall Rules (Regras adicionais de Firewall), recomendo marcar todas as opções e salvar.

Devo confessar que não sei exatamente como todas essas funções agem no site. Entretanto, os desenvolvedores do plugin as recomendam e já fiz essa configuração pelo All In One Security & Firewall em vários projetos sem nenhum problema.

additional firewall rules wp security

6G Blacklist Firewall Rules

Na próxima aba, 6G Blacklist Firewall Rules, também recomendo marcar todas as opções e salvar.

6g blacklist firewall wp security

Internet Bots (Robôs da Internet)

Na aba Internet Bots, o Firewall apresenta um recurso capaz de bloquear falsos Googlebots, ou seja, rastreadores não oficiais que podem roubar informações do seu site.

A questão é que outras plataformas da internet também enviam bots para fazer análises, especialmente as ferramentas de SEO, e existe o risco de elas também serem bloqueadas. Sendo assim, prefiro não ativar esse serviço, mas a escolha é sua.

internet bots google wp security

Tenha em mente que ativar essa função não prejudicará seu desempenho no Google. Existe apenas a possibilidade dela prejudicar as análises do seu site em plataformas de SEO, como Semrush ou Ahrefs.

Na próxima aba, Prevent Hotlinks, você tem a opção de impedir estes arquivos — que nada tem a ver com os links de afiliado da Hotmart, ok?

Os hotlinks, nesse caso, são imagens do seu WordPress exibidas em outros sites, como uma espécie de embed. A questão é que isso pode consumir processamento do seu servidor.

Especialmente se você usa hospedagem compartilhada, nem pense duas vezes: marque e salve tranquilamente!

prevent hotlinks wp security

404 Detection e Custom Rules (IGNORAR)

As duas últimas abas, podemos ignorar.

A primeira delas, 404 Detection, apresenta um recurso para monitorar os acessos a endereços não encontrados (que retornam o erro 404) e bloquear IPs que erram URLs muitas vezes.

A questão é que nós mesmos costumamos cair em páginas 404 ao digitar com pressa ou acessar, por engano, páginas apagadas, por exemplo.

Na última aba, Custom Rules, podemos adicionar regras personalizadas ao Firewall. Naturalmente, você só deve usar isso caso entenda do assunto.

10. Brute Force (Força Bruta)

No próximo item do plugin, Brute Force, protegeremos o site de tentativas de acesso por “força bruta” (softwares que testam diversas combinações de login e senha em sequência para tentar acessar o site).

brute force menu wp security

Atenção: as configurações de força bruta só podem ser realizadas por um único plugin para evitar conflitos. Se você estiver usando outro, como o Loginizer, desative-o ou ignore essa etapa do All In One.

Rename Login Page (Renomear Página de Login)

A primeira opção disponível nessa área é mudar o endereço do login. Por padrão, a página de login do WP é “domínio/wp-admin”. Aqui, você tem a oportunidade de criar um endereço personalizado.

Marque a primeira opção para mudar a URL de login e digite a nova URL (após o domínio) no campo abaixo. Escolha algo que não seja muito óbvio.

Observe que, ao fazer isso, você pode ser deslogado. Se isso acontecer, será preciso acessar o login pelo novo endereço e entrar novamente.

rename login page wp security

Vamos pular a segunda aba, pois suas funções são mais avançadas. Seguimos, então, para a terceira: Login Captcha.

Login Captcha

O objetivo aqui é habilitar captcha do All In One ou o reCAPTCHA do Google em vários formulários e logins do WordPress. O serviço do Google não é infalível, mas é muito mais aprimorado que o nativo do All In One, por isso, vamos seguir com ele.

google recaptcha wp security

Marcando e salvando a primeira opção, pré-ativamos o recurso reCAPTCHA em todos os formulários. Observe, porém, que essa função está atrelada ao reCAPTCHA v2 do Google, versão que requer dois códigos de utilização: o site key e o secret key.

Para gerá-los, acesse https://google.com/recaptcha e clique em v3 admin console — certifique-se de estar logado com um e-mail Google, preferencialmente o utilizado no seu Analytics para evitar configurações adicionais.

reCAPTCHA home

Preencha os dados solicitados e prossiga. Você chegará na página com os códigos que precisa. Bastará, então, copiar e colar nos campos indicados do plugin.

chaves reCAPTCHA v2

Se não quiser usar isso agora, desmarque a primeira opção e marque todas as outras. Fazendo isso, será ativado o captcha padrão do plugin — ele apresenta uma continha de matemática no login.

Atenção: se não for usar o reCAPTCHA do Google, deixe a primeira opção desmarcada! Ao ativá-la sem inserir os códigos do Google, ocorre um erro no login que impede o acesso.

Se isso acontecer com você, entre no WordPress usando o seu serviço de hospedagem (use alguma ferramenta, como o Softaculous). Dentro do painel, retorne ao All In One para desmarcar a opção e, em seguida, limpe o cache do site com algum plugin de otimização.

Login Whitelist (IGNORAR)

Também vamos pular a aba Login Whitelist. Esse recurso serve para limitar o acesso à página de login aos IPs cadastrados em uma lista.

É uma excelente forma de proteger o seu site, mas que pode gerar alguma inconveniência. Pense que você precisará pedir o endereço IP de todos os usuários que solicitarem o acesso ao seu site, como desenvolvedores, redatores ou webdesigners.

Considero isso dispensável. No entanto, se achar relevante para o seu site, não se esqueça de adicionar o seu IP na lista (Your Current IP Adress) para não ser banido do seu próprio site, além do IP de outros dispositivos que for utilizar para editá-lo.

Honeypot

Nessa aba, habilitaremos essa função na página de login, tal como fizemos anteriormente em outra área do site. Basta marcar e salvar.

honeypot wp security

11. SPAM Prevention (Prevenção de Spam)

Próximo item: SPAM Prevention (Prevenção de Spam).

spam prevention menu wp security

Comment SPAM

As duas opções dessa aba são para habilitar o Captcha nos comentários e para bloquear spambots, respectivamente. Selecione ambas e salve.

comment spam wp security

Comment SPAM IP Monitoring, BuddyPress, BBPress (IGNORAR)

As próximas três abas, podemos ignorar. A primeira delas habilita um recurso para bloquear IPs que enviam spam, mas tenho um pouco de receito em relação ao que o plugin pode reconhecer como spam. As outras não são essenciais e requerem plugins adicionais. Vamos em frente.

12. Scanner (Escaneamento)

O próximo item é o Scanner, ou escaneamento.

scanner wp security

As opções aqui lembram as de um antivírus. Rolando até File Change Detection Settings, o que você deve fazer é definir um intervalo entre as verificações de segurança. O plugin traz o intervalo de 4 semanas por padrão, mas eu coloco duas. Há quem diga para colocar uma. Fica a seu critério.

configurar all in one securiy and firewall no wordpress

Os campos seguintes você pode ignorar se não souber utilizar.

No fim, você pode marcar a opção de receber uma notificação por e-mail sempre que alguma alteração for detectada nos arquivos do host. Deixando em aberto, as notificações e os dados serão exibidos apenas no WordPress.

Não esqueça de salvar.

A guia seguinte, Malware Scan, traz apenas uma sugestão de plugin pago, o que não nos interessa agora.

13. Maintenance (Manutenção)

Chegamos em Maintenance (Manutenção).

maintenance wp security menu

A única funcionalidade disponível nessa área é a possibilidade de exibir o seu site com o status “em construção” ou o aviso que desejar.

Selecionando a opção disponível, todas as URLs do seu site retornarão a mensagem do campo abaixo (que você pode editar inserindo textos, imagens e vídeos) e o conteúdo ficará oculto. Somente quem estiver logado no seu WordPress conseguirá acessar as páginas normalmente.

maintenance wp security - site em construção

Recomendo ativar se o seu site estiver passando por alguma atualização estrutural e recebendo visitantes. Só não esqueça de desativar ao finalizar o serviço!

14. Miscellaneous

Finalmente o último item da configuração do All In One WP Security & Firewall. Em Miscellaneous são apresentados recursos gerais não especificados anteriormente.

miscellaneous wp security menu

Copy Protection (Proteção Contra Cópia)

A primeira opção disponível, Copy Protection, permite bloquear a função “copiar” nos textos, habilitada por meio do clique direito do mouse. Ao ativar o recurso, somente quem estiver logado no site conseguirá copiar os textos das suas páginas.

copy protection wp security

É algo interessante para bloquear materiais protegidos e dificultar plágios, mas prejudica a experiência do usuário. As pessoas costumam copiar palavras que se interessam ou desconhecem para fazer buscas, por exemplo.

Além disso, mesmo que alguém copie seu texto e poste em outro site, isso não será necessariamente um problema. O Google é capaz de detectar essas ações e sempre dá prioridade à primeira publicação indexada nos resultados de pesquisa.

Frames

Na aba seguinte, Frames, você pode evitar que outros endereços exibam o conteúdo do seu site por meio de frames ou iframes. Recomendo marcar, pois essa não é uma prática muito comum nos dias de hoje, o que sugere atividade suspeita. Marque e salve!

frames wp security

User Enumerations (Enumeração de Usuários)

Na próxima aba, temos Users Enumeration. Muita gente não sabe, mas o WordPress numera os usuários cadastrados no site. A questão é que o administrador principal, na maioria das vezes, é o número 1 (ou autor número 1), criado na instalação.

Robôs e hackers podem vascular dados de autores para descobrir qual deles tem acesso às configurações privilegiadas do site, inclusive a numeração de cadastro. Selecionando essa opção, o All In One desabilita a numeração do WordPress e dificulta esse tipo de abordagem.

user enumeration wp security

É claro que se o seu site só tem um usuário, essa ação é irrelevante. Além disso, vale lembrar que a numeração só é desabilitada para os próximos usuários que forem cadastrados, não para os atuais. Logo, para excluir todos os números de usuário, será preciso criar outros após ativar essa função e transferir a autoria dos conteúdos já publicados (se houver).

Você não precisa se preocupar muito com isso. Mas se considera importante, o ideal é providenciar as novas contas antes de iniciar a postagem de artigos, começando pelo novo usuário administrador.

WP REST API (IGNORAR)

A última aba apresenta um recurso para bloquear APIs sem prévia autorização.

API significa Application Programming Interface e são, basicamente, conjuntos de comandos e protocolos definidos para viabilizar a integração entre dois sistemas.

O problema é que ao ativar essa funcionalidade, plugins importantes podem ter funções comprometidas ou exigir ajustes manuais complexos. Tal como em outras seções, se não sabe como fazer, melhor não mexer.


É isso ai. Terminamos de configurar o All In One WP Security & Firewall! Vamos voltar ao Dashboard para conferir a nossa pontuação?

dashboard após configurar all in one wp security & firewall

Por aqui, o meu site está com 370 pontos e ocupa a região verde do marcador, o que indica que ele está seguro. Poderíamos realizar outros ajustes para aumentar a força de segurança, mas, como vimos, algumas funções demandam conhecimento técnico e outras podem comprometer o funcionamento de elementos importantes.

Não vale a pena arriscar o pleno funcionamento do site ou a experiência dos visitantes por uns pontinhos a mais. Para ter uma nota máxima, inclusive, será preciso investir em serviços pagos, o que não considero necessário em sites básicos. Tal como no Yoast SEO e em outros plugins, é bom não ficar obcecado com essas pontuações.

Como você deve ter percebido, há muita tentativa e erro por aqui, e recomendo que faça o mesmo. Sempre que mudar algo no seu WordPress, dê um pulinho no seu site para conferir se está tudo bem. Se algo estranho ocorrer, desfaça o último ajuste e tente algo diferente. É assim que descobrimos o que funciona e o que não dá certo, mesmo sem repertório técnico.

Este tutorial acaba aqui. Volte sempre que precisar configurar o All In One WP Security & Firewall!



Por Leandro Abreu

Produtor de conteúdo com treinamento e experiência em Redação para Inbound Marketing, Storytelling, SEO (essencial, técnico e avançado), planejamento de Marketing de Conteúdo, bem como em criação e gerenciamento de sites WordPress. Saiba mais.

Subscribe
Notify of
guest
0 Comentários
Inline Feedbacks
View all comments