Free Press

Antes de mergulharmos em alguns plugins de segurança WordPress, vamos começar com um exemplo. Digamos que você compra uma casa nova. Este novo e excitante investimento requer um alto nível de pagamento que você provavelmente não está acostumado a gastar. E, é claro, você é atingido com taxas de inspeção antes de comprar. Depois vêm os pagamentos da hipoteca e do seguro, que saem todos directamente do seu bolso.

Dizem que comprar um imóvel é um dos melhores investimentos que se pode fazer, mas esse investimento é caro. Para um investimento de tão alto valor (e algo que poderia lhe dar muito dinheiro no futuro), você não gostaria de protegê-lo o melhor possível?

É por isso que você compra um seguro e considera a possibilidade de criar um sistema de alarme ou algumas câmeras de segurança. Muitos especialistas sugerem pelo menos colocar um sinal de sistema de segurança na sua porta, para afugentar aqueles que não querem arriscar. Toda essa segurança destina-se a proteger o investimento inicial, juntamente com o potencial para esse investimento no futuro.

E você deve pensar da mesma forma quando se trata do seu site WordPress.

Iniciar um blog, site de comércio eletrônico ou site de pequenas empresas requer um investimento inicial para itens de serviços e produtos como hospedagem, temas, plugins e desenvolvimento de sites. Isso não inclui qualquer ajuda que você deve contratar, como representantes de atendimento ao cliente ou vendedores.

Este investimento inicial por si só é suficiente para garantir o seu site desde o início. Mas mais importante, você está se certificando de não esquecer de proteger o dinheiro potencial que você vai ganhar no futuro.

Por padrão, o núcleo do WordPress tem algumas medidas de segurança em vigor, mas não é nada comparado ao que um plugin de segurança respeitável faz por você. Por exemplo, os principais plugins de segurança do WordPress fornecem o seguinte:

• Monitorização de segurança activa
• Varredura de ficheiros
• Varredura de malware

>

• Monitorização da lista negra

>

• Têmpera de segurança
• Póshack actions
• Firewalls
• Proteção de ataque por força bruta
• Notificações para quando uma ameaça de segurança for detectada
• Muito mais

>

>

Sua primeira prioridade deve ser a hospedagem segura

>

A segurança do seu site é tão boa quanto o backend e a base sobre a qual ele está rodando. É por isso que é importante, antes de procurar plugins de segurança, que você escolha um host WordPress que já tenha medidas de segurança em vigor, como o Kinsta. Muitas destas salvaguardas são feitas a nível de servidor, e podem ser muito mais eficazes, sem prejudicar a performance do seu site. Sem mencionar que você não tem que gastar tempo mexendo com um monte de configurações de segurança em plugins que em você pode nem mesmo entender sua funcionalidade ou propósito.

Aqui estão alguns recursos de segurança que Kinsta oferece em todos os planos de hospedagem gerenciada pelo WordPress.

• Kinsta detecta ataques DDoS, monitora o tempo de atividade e proíbe automaticamente IPs que tenham mais de 6 tentativas de login falhadas em um minuto.
• Apenas conexões SFTP e SSH criptografadas (sem FTP) são suportadas ao acessar seus sites WordPress diretamente (aqui está a diferença entre FTP e SFTP).
• Firewalls de hardware, juntamente com medidas adicionais de segurança ativa e passiva para impedir o acesso aos seus dados.
• As nossas restrições open_basedir também não permitem a execução de PHP em diretórios comuns que são propensos a scripts maliciosos.
• Kinsta usa containers Linux (LXC) no topo da plataforma Google Cloud Platform (GCP), que fornece isolamento completo não apenas para cada conta, mas para cada site WordPress separado. Este é um método muito mais seguro do que o oferecido por outros concorrentes. O GCP também emprega criptografia de dados em repouso.
• Kinsta só executa versões suportadas do PHP: 7.2, 7.3, e 7.4. Versões não suportadas do PHP são perigosas devido ao fato de que elas não têm mais atualizações de segurança e estão expostas a vulnerabilidades de segurança não corrigidas.
• Nada é 100% à prova de hack, e é por isso que Kinsta fornece correções de hack gratuitas para todos os clientes.

É importante notar que muitos plugins de segurança causam problemas de desempenho devido às suas funcionalidades sempre ligadas e de varredura. É por isso que o Kinsta proíbe alguns (não todos) plugins de segurança. Kinsta também utiliza balanceadores de carga com a plataforma Google Cloud, o que significa que em alguns casos os recursos de bloqueio de IP de alguns plugins de segurança não funcionarão como pretendido.

Se você é um cliente Kinsta, recomendamos fortemente a utilização de uma solução como Cloudflare ou Sucuri, juntamente com Kinsta, se você precisar de proteção extra ou ajuda para diminuir o tráfego de bot e ou proxy. Confira nosso post no blog sobre como a Sucuri ajudou a mitigar facilmente um ataque DDoS. Para usuários do Cloudflare, estas são nossas configurações de firewall recomendadas.

No entanto, nem todo host vai ter a segurança tão apertada quanto o Kinsta, e é onde os plugins de segurança WordPress podem ser muito benéficos.

Best WordPress Security Plugins in 2021

Se você estiver com pressa, sinta-se livre para clicar nos links a seguir para testar os plugins de segurança e tomar suas próprias decisões. Se você gostaria de ver nossa análise aprofundada, continue lendo!

Os plugins de segurança mais valiosos têm uma etiqueta de preço, mas há alguns que vêm com funcionalidade limitada de graça.

Falaremos sobre o preço, mas é mais importante entender o que cada plugin vai fazer por você. Em última análise, trata-se de descobrir a melhor maneira de manter os maus da fita longe do seu investimento – e às vezes isso significa gastar um pouco de dinheiro.

1. Sucuri Security – Auditing, Malware Scanner e Security Hardening

O plugin Sucuri Security oferece versões gratuitas e pagas, mas a maioria dos sites deve estar bem com o plugin gratuito. Por exemplo, o firewall do site exige que você pague por um plano Sucuri, mas nem todo webmaster sente que precisa desse tipo de segurança.

Como para os recursos gratuitos, o plugin vem com auditoria de atividade de segurança para ver o quão bem o plugin está protegendo seu site. Ele possui monitoramento de integridade de arquivos, monitoramento de listas negras, notificações de segurança e endurecimento de segurança. Os planos premium abrem canais de atendimento ao cliente e varreduras mais frequentes. Por exemplo, você pode querer que uma varredura seja concluída a cada 12 horas. Para isso, você pagaria cerca de $17 por mês.

Faatures That Make Sucuri Security a Great Choice:

• Propõe múltiplas variações de certificados SSL. Você tem que pagar por estes, mas está disponível nos pacotes.
• O serviço ao cliente está disponível na forma de chat instantâneo e e-mail.
• Você recebe notificações instantâneas quando algo está errado com o seu site.
• Proteção DDoS avançada está disponível através de alguns planos.
• Se você não quiser pagar nenhum dinheiro você ainda recebe ferramentas valiosas para monitoramento de listas negras, verificação de malware, monitoramento de integridade de arquivos e endurecimento de segurança.

Outras leituras: Como configurar o Firewall Sucuri (WAF) no seu site WordPress

iThemes Security

O plugin iThemes Security (anteriormente conhecido como Better WP Security) é uma das formas mais impressionantes de proteger o seu site, com mais de 30 ofertas para prevenir coisas como hacks e intrusos indesejados. Ele tem um forte foco no reconhecimento de vulnerabilidades de plugins, software obsoleto e senhas fracas.

Embora alguns recursos básicos de segurança estejam incluídos na versão gratuita, nós recomendamos fortemente a atualização para o iThemes Security Pro pelo baixo preço de $80 por ano. Isso fornece suporte a ticketed, um ano de atualizações de plugins e suporte a dois sites. Se você gostaria de proteger mais sites, você tem a opção de atualizar para um plano mais caro.

Como para os principais recursos da versão pro, o iThemes Security Pro fornece uma forte aplicação de senha, o bloqueio de maus usuários, backups de banco de dados e autenticação de dois fatores. Estas são apenas algumas das formas de proteger seu site com este plugin de segurança WordPress. Você pode ativar 30 medidas de segurança total, fazendo do iThemes Security Pro um grande valor.

Faatures That Make iThemes Security a Great Choice:

• O plugin de segurança oferece detecção de mudança de arquivo, o que é importante, já que a maioria dos webmasters não notam quando um arquivo é mexido.
• Adicione uma camada extra de proteção ao seu login usando a integração com o Google.
• O plugin compara seus arquivos principais do WordPress com a versão atual do WordPress, ajudando você a entender se algo malicioso é colocado nesses arquivos.
• Atualize seus sais e chaves do WordPress para adicionar uma camada extra de complexidade às suas chaves de autenticação.
• Você pode definir um “Away Mode” para quando você não estiver fazendo atualizações constantes em seu site e quiser bloquear completamente seu painel de controle do WordPress de todos os usuários.
• Outros essenciais como 404 detecção, proteção contra força bruta e forte aplicação de senha.

Segurança do WordPress

Segurança do WordPress é um dos plugins de segurança mais populares, e por uma boa razão. Esta jóia combina simplicidade com poderosas ferramentas de proteção, tais como os robustos recursos de segurança de login e as ferramentas de recuperação de incidentes de segurança. Uma das principais vantagens do Wordfence é o fato de que você pode obter uma visão geral das tendências de tráfego e tentativas de hack.

Wordfence tem uma das soluções livres mais impressionantes, com tudo desde blocos de firewall até proteção contra ataques de força bruta. No entanto, uma versão premium é vendida a partir de cerca de $99 por ano para um site. Os criadores de plugins também o tornam mais barato para os desenvolvedores, oferecendo descontos íngremes quando você se inscreve para várias chaves de site. Por exemplo, se você comprar mais de 15 licenças, você receberá 25% de desconto ou $74,25 por licença. No geral, compensa considerar Wordfence se você estiver desenvolvendo vários sites e quiser protegê-los todos.

Features That Make WordFence Security a Great Choice:

• A versão gratuita é poderosa o suficiente para sites menores.
• Desenvolvedores podem economizar toneladas de dinheiro quando se inscrevem para múltiplas chaves de sites.
• Tem um conjunto completo de firewall com ferramentas para bloqueio de país, bloqueio manual, proteção contra força bruta, defesa contra ameaças em tempo real e um firewall de aplicativo web.
• A parte de verificação do plugin combate malware, ameaças em tempo real e spam. Ele verifica todos os seus arquivos em busca de malware, não apenas arquivos do WordPress.
• O plugin monitora o tráfego ao vivo visualizando coisas como a atividade de rastreamento do Google, logins e logouts, visitantes humanos e bots.
• Você ganha acesso a algumas ferramentas exclusivas como a opção de fazer login com o seu celular e auditoria de senha.
• O filtro de spam de comentário remove a necessidade de instalar um plugin separado para isso.
• Monitora seus plugins e avisa se eles foram removidos do repositório de plugins do WordPress (geralmente por serem inseguros ou por serem invadidos) não estão mais sendo atualizados e foram abandonados.

WP fail2ban

WP fail2ban fornece um recurso, mas é um recurso bastante importante: proteção contra ataques de força bruta. O plugin tem uma abordagem diferente que muitos vêem como mais eficaz do que o que você obtém de alguns dos plugins do conjunto de segurança listados acima. O WP fail2ban documenta todas as tentativas de login, independentemente da sua natureza ou sucesso, para o syslog usando LOG_AUTH. Você tem a opção de implementar um soft ou hard ban, que é diferente da abordagem mais tradicional de escolher apenas um.

Não há muito a saber em termos de configuração para o plugin WP fail2ban. Na verdade, tudo o que tem de fazer é instalá-lo e deixá-lo fazer a sua magia. Além disso, o plugin de segurança brute force é completamente gratuito para que você não tenha que se preocupar em gastar nenhum dinheiro. Este plugin é verdadeiramente um destaque, uma vez que os utilizadores reportam consistentemente que funciona sem falhas.

Faatures That Make WP fail2ban a Great Choice:

• Escolha entre blocos rígidos ou moles.
• Integração com CloudFlare e servidores proxy.
• Comentários de registo para prevenir spam ou comentários maliciosos.
• O plugin também regista informação sobre spam, pingbacks, e enumeração de utilizadores.
• Você também tem a opção de criar um atalho que bloqueia os usuários imediatamente antes mesmo de ter a chance de alcançar o processo de login.

All In One WP Security & Firewall

Como um dos plugins de segurança gratuitos mais completos, All In One WP Security & Firewall fornece uma interface fácil e um suporte decente ao cliente sem nenhum plano premium. Este é um plugin de segurança altamente visual com gráficos e medidores para explicar aos iniciantes métricas como força de segurança e o que precisa ser feito para tornar o seu site mais forte.

Os recursos são divididos em três categorias: Básico, Intermediário e Avançado. Portanto, você ainda pode tirar vantagem do plugin se você for um desenvolvedor mais avançado. As principais maneiras deste plugin funcionar é protegendo suas contas de usuário, bloqueando tentativas forçadas no seu login e aumentando a segurança do registro do usuário. A segurança de banco de dados e arquivos também é empacotada no plugin.

Faatures That Make All In One WP Security & Firewall a Great Choice:

• O plugin de segurança WordPress tem uma ferramenta de lista negra onde você pode definir certos requisitos para bloquear um usuário.
• Você pode fazer backup de arquivos .htaccess e .wp-config. Há também uma ferramenta para restaurá-los se algo der errado.
• O plugin mostra um gráfico para especificar o quão forte é seu site e um gráfico que designa pontos para certas áreas do seu site. É um dos melhores recursos para o usuário médio visualizar o que está acontecendo com a segurança de um site.
• O plugin é gratuito, sem nenhum tipo de problema no caminho.

Jetpack

A maioria das pessoas que usa WordPress está familiarizada com Jetpack, e é principalmente porque o plugin tem muitas características, mas é também porque o plugin é feito pelas pessoas do WordPress.com. O Jetpack está cheio de módulos para fortalecer as suas redes sociais, a velocidade do site e a protecção contra spam. Existem tantas funcionalidades no Jetpack que definitivamente vale a pena explorar.

Algumas ferramentas de segurança também estão incluídas no Jetpack, tornando-o um plugin apelativo para aqueles que querem poupar dinheiro e dependem de uma solução respeitável. Por exemplo, o módulo Protect é gratuito e bloqueia atividades suspeitas de acontecer. A proteção contra ataques por força bruta e whitelisting também é suportada pela funcionalidade básica de segurança do Jetpack.

Que dito isto, as versões pagas do Jetpack são mais poderosas quando se trata de segurança. Por exemplo, o plano de $99 por ano inclui verificação de malware, backups programados de sites e restauração se algo der errado. Além disso, o plano de $299 por ano oferece varreduras de malware sob demanda e backups em tempo real para a melhor proteção.

Faatures That Make Jetpack a Great Choice:

• O plano gratuito fornece uma quantidade decente de segurança para um site pequeno, então você pode atualizar para os planos premium com preços razoáveis e obter suporte completo e um plugin que é um dos melhores do mercado.
• Os planos premium transformam o plugin em mais um conjunto, com benefícios como backups, proteção contra spam e verificação de segurança.
• Atualizações do plugin são gerenciadas inteiramente através do Jetpack.
• Você também recebe monitoramento de downtime.
• Jetpack também é um plugin que elimina a necessidade de outros plugins. Por exemplo, ele tem recursos para e-mail marketing, mídia social, customização de sites e otimização.

SecuPress

SecuPress é um plugin de segurança mais novo no mercado (originalmente lançado como freemium em 2016), mas é definitivamente um plugin que está crescendo rapidamente. Ele é desenvolvido por Julio Potier, um dos co-fundadores originais da WP Media, que você pode reconhecer, enquanto eles desenvolvem o WP Rocket and Imagify. Existe tanto uma versão gratuita como uma versão premium que inclui muitas funcionalidades adicionais.

Se você quer um plugin de segurança que tem uma ótima interface de interface e fácil de usar, SecuPress é definitivamente o plugin a ser usado. A versão gratuita possui login anti-brute force, IPs bloqueados, e um firewall. Ele também inclui proteção das suas chaves de segurança, bem como bloqueia visitas de bots ruins (que você normalmente tem que pagar em outros plugins de segurança).

Se quiser ainda mais funcionalidades, as suas versões premium começam a $59 por ano por site e inclui funcionalidades adicionais tais como alertas e notificações, autenticação de dois factores, bloqueio GeoIP, scans de malware PHP e relatórios PDF.

Funcionalidades que fazem do SecuPress uma excelente escolha:

• A IU no SecuPress é provavelmente uma das melhores! Isto o torna muito fácil de usar, mesmo para iniciantes.
• A versão premium definitivamente adiciona muito valor. Verifique 35 pontos de segurança em 5 minutos, obtenha um bom relatório, e depois endureça seu site WordPress.
• Inclui a habilidade de alterar sua URL de login do WordPress para que os bots não a encontrem.
• Ajuda você a detectar temas e plugins que são vulneráveis ou que foram adulterados para incluir código malicioso.

Segurança BulletProof

O plugin de segurança BulletProof tem versões gratuitas e premium. A opção paga vende-se por um pagamento único de $69.95 e é activamente desenvolvida, actualizada e provavelmente contém mais funcionalidades que a maioria dos outros plugins de segurança no mercado. Eles fornecem uma garantia de 30 dias de devolução do dinheiro, e você recebe recursos para quarentenas, alerta por e-mail, anti-spam, auto-restore, e muito mais.

Sugiro que você experimente primeiro o plugin gratuito, já que ele oferece as seguintes ferramentas:

• Segurança de login e monitoramento.
• Base de dados de backups e restauração.
• Scan Malware Scanner.

>

• Anti-spam e ferramentas anti-hacking.
• Um log de segurança.
• Oculta pastas plugin.
• Modo de manutenção.

>

• Um assistente de configuração completo.

Não é o plugin de segurança WordPress mais fácil de usar, mas faz o trabalho para desenvolvedores avançados que querem tirar vantagem de configurações e recursos exclusivos como o guarda anti-exploração e o decodificador Base64 online. Ele também tem um recurso de auto-fixação do assistente de configuração para ajudar a torná-lo um pouco mais fácil.

Faatures That Make BulletProof Security a Great Choice:

• Ele tem algumas das ferramentas de segurança avançadas mais exclusivas do mercado, com recursos como o BPS Pro ARQ Intrusion Detection and Prevention System (ARQ IDPS) soluções de criptografia, bem como crons agendados, cURL scans, bloqueio de pastas, e muito mais.
• A versão gratuita está repleta de recursos suficientes para o site médio.
• As cópias de segurança da base de dados são fornecidas na versão gratuita.
• Pode esconder pastas de plugins individuais.
• A funcionalidade do modo de manutenção não é algo que você encontraria na maioria dos outros plugins de segurança.

WPScan – WordPress Security Scanner

O plugin de segurança do WPScan WordPress tem uma abordagem diferente para a segurança, uma vez que tira partido de uma base de dados de vulnerabilidades, manualmente avaliada, que é actualizada diariamente por especialistas em segurança dedicados e pela comunidade em geral. Patrocinado pela Automattic, o banco de dados inclui mais de 21.000 vulnerabilidades de segurança conhecidas.

O plugin WPScan é capaz de verificar sua versão principal do WordPress, plugins e temas em busca de vulnerabilidades de segurança conhecidas.

Adicionalmente, o plugin também tem várias outras verificações de segurança, tais como a verificação de arquivos de log de depuração expostos, arquivos wp-config.php com backup, usuários com senhas fracas e muito mais. O WPScan tem um plano de API Livre que deve ser adequado para a maioria dos sites WordPress, no entanto, também tem planos pagos para usuários que podem precisar de mais chamadas de API.

Faatures That Make WPScan a Great Choice:

• Ele usa seu próprio banco de dados de vulnerabilidades constantemente atualizado
• Ele tem opções gratuitas e pagas dependendo de suas necessidades
• Verificações adicionais de segurança
• Opções para enviar notificações por e-mail quando forem descobertas vulnerabilidades
• Pode agendar varreduras para executar em horários específicos

VaultPress

É importante não esquecer o VaultPress, já que funciona como plugins como o iThemes Security Pro e o Sucuri Scanner. Você precisa pagar para obter qualquer tipo de proteção, mas os planos começam em apenas $39 por ano, tornando-o um dos plugins de segurança premium mais acessíveis. O site afirma que este plano é mais para pequenas empresas e bloggers, mas você também tem a opção de atualizar para um plano mais poderoso por $99 por ano ou $299 por ano.

Os backups diários e em tempo real são o pão e a manteiga da operação, com uma bela vista de calendário para especificar quando você gostaria de completar seus backups. Você também pode completar as restaurações do site com um rápido clique do mouse. Além disso, os arquivos de restauração são registrados no painel, e vários deles são armazenados para que você possa escolher qual deles você quer. A melhor parte do VaultPress em relação aos backups é que eles são incrementais. Isso é ótimo para o desempenho.

As principais ferramentas de segurança monitoram atividades suspeitas em seu site, com abas para visualizar seu histórico e ver quais ameaças foram tratadas ou ignoradas. Você também pode verificar estatísticas e gerenciar todos os seus detalhes de segurança a partir da conveniência de um painel limpo.

Faatures That Make VaultPress a Great Choice:

• O preço é melhor do que a maioria dos outros plugins de segurança WordPress premium.
• O painel parece limpo e fácil de entender para todos os usuários.
• Você pode fazer backups manuais ou em tempo real usando um calendário.
• A guia de estatísticas revela informações sobre os horários de visita mais populares em seu site, enquanto também mostra quais ameaças ocorreram durante esses horários.
• Você pode contatar os especialistas do VaultPress para ajudá-lo com tarefas como restaurações e backups de sites.