Wordpress

• Atualizações de Plugins e Temas
• Acessando o Painel e Atualizando Plugins
• Instalação Wordpress
• Otimização Wordpress
• Protegendo seu Site
• Plugins de Segurança
• Segurança Wordpress

Atualizações de Plugins e Temas

Acessando o Painel e Atualizando Plugins

Para realizar as atualizações de plugins e temas, primeiro temos que acessar o painel administrativo, por padrão o caminho para o painel do Wordpress é: https://seudominio.com.br/admin

Porém, geralmente quando realizamos procedimentos de segurança, alteramos este caminho para: https://seudominio.com.br/meu_acesso

Ao acessar a URL do seu painel administrativo, você precisará usar o Usuário e Senha de administrador:

Após o login bem sucedido, talvez você se depare com uma mensagem de confirmação de e-mail, orientamos por segurança que realize essa confirmação, mas caso não deseje, basta clicar no botão "Lembrar depois".

Ao acessar o painel, iremos clicar em Atualizações:

Após isso, iremos selecionar todos os plugins ou temas com a necessidade de atualização e clicamos em "Atualizar":

Caso o próprio Wordpress tenha atualizações, haverá a possibilidade de ser realizada a sua atualização da mesma maneira.

Instalação Wordpress

Para realizar a instalação do Wordpress na sua plataforma seguir os seguintes passos.

1 - Acesso ao cPanel: 

• Realizar o acesso a sua plataforma cPanel.
  

Clicar no guia abaixo de como realizar acesso a plataforma cPanel

2 - Navegação até o Softaculos Apps Installer:

• Após o login no cPanel, desça até a seção "Ferramentas" e selecione "Softaculous Apps Installer".
  
  

3 - Escolha do Wordpress:

• Após selecionar a opção Softaculous Apps Installer você será redirecionado a uma nova pagina, onde ela terá varias ferramentas que podem ser instaladas de forma simples.
  

Nosso foco no caso é a instalação do Wordpress

• Na aba inicial selecione a opção Wordpress e clica em instalar 
  

4. Configurações Importantes:

Durante a instalação, atente-se aos seguintes pontos:

• Escolha de Domínio: Selecione o domínio para instalar o WordPress.
• Diretório: Por padrão, mantenha este campo em branco para instalar na raiz do domínio.
• Versão do WordPress: Opte sempre pela última versão disponível.
• Credenciais de Acesso: Informe um usuário, senha e e-mail fortes para o painel administrativo do WordPress.

Por padrão manter em branco o campo do diretório, apagar o WP presente. 

• Informar o Usuário, Senha e E-mail de acesso ao painel Administrador do Wordpress.
  

Utilizar uma senha forte para evitar invasões. 

As opções também permite selecionar Plugins e Themas antes da instalação, porem isso pode ser feito após Wordpress ser criado. 

5 - Conclusão da Instalação:

• Clique em "Instalar" para finalizar o processo de instalação

6 - Acesso ao WordPress:

Após a conclusão, o Wordpress estará instalado e acessível pelo link
dominios.com/wp-admin

dominio.com seria o dominio em que o wordpress foi instalado

7 - Ajuste da Versão do PHP

Ao acessar painel administrador Wordpress pode aparecer a mensagem informando que a versão do PHP está incorreta, clicar link abaixo e seguir guia de como realizar o ajuste da versão PHP dominio/subdominio

 

Este guia foi desenvolvido para tornar o processo de instalação do WordPress no cPanel mais claro e eficiente. Caso tenha dúvidas ou precise de suporte adicional, entre em contato para assistência personalizada.

 

Otimização Wordpress

Acessando o painel administrativo após a ativação do litespeed no servidor, acessamos o plugin Litespeed:

Após isso, iremos seguir o seguinte

1: Acessamos a aba General
2: Habilitamos o upgrade automático
3: Solicitamos a chave de domínio (Neste ponto devemos verificar se apresenta alguma mensagem de erro em vermelho, caso tudo esteja correto, aguardamos alguns segundos e recarregamos a página e, aparecerá a chave em ******).
4: Vinculamos o site ao QUIC.Cloud

Em seguida ative as opções Guest Mode e Guest Optimization (essas opções ficam dentro de general)

Agora configurações de Cache.

Na aba de cache, seguiremos a seguinte configuração das imagens abaixo:

Lembre de colocar o valor de 604800 (o equivalente a 7 dia em segundos) no campo Browser Cache TTL.

Lembre também que se haver alguma pagina com erro você pode adicionar o path dela na aba excludes. 

As abas que não foram exemplificadas, já estão com as configurações padrão.

Configurações de CDN.

Nesta opção, apenas será necessário uma pequena alteração:

Pode quebrar na pagina de compras com o plugin do Woocommerce!

Otimização de imagens.

Em Image Optimization, iremos realizar a configuração de imagens para WEBP, extensão mais leve para imagens web e, além disso, deixaremos a opção de cron automática para realizar sempre um request dar imagens:

Devido algumas configurações se comportarem de forma fora do esperado, não realizaremos configurações de página.

Após todas as configurações, realizaremos um Purge All no topo do site no ícone do LiteSpeed e, após isso, navegaremos em algumas páginas do site antes de realizar o scan de performance.

Protegendo seu Site

Plugins de Segurança

Além de manter seu site sempre atualizado, desde a versão do Wordpress, como seus plugins e temas, nós também indicamos a instalação de 3 plugins para a proteção de seu site.

Esta medida não irá deixar seu site invulnerável, porém, irá garantir uma garantia maior de proteção e reduzira fortemente a quantidade de brechas de segurança de seu site.

Abaixo podemos ver as etapas de instalação de cada um deles:

1 - WPS Hide Login

Com este plugin, iremos realizar a alteração da URL padrão do Wordpress que é sempre a primeira tentativa utilizada para as invasões de sites.

Primeiro acessamos o painel administrativo, geralmente para acessar essa página, precisamos acessar uma URL padrão (que iremos alterar com este plugin) que é seudominio.com.br/wp-admin e iremos nos conectar com nosso acesso administrador.

Após acessarmos o painel administrativo, localizaremos na barra lateral esquerda, a opção Plugins e selecionaremos a opção "Adicionar novo".

Após isso no canto superior direito, utilizaremos o campo de busca para localizar o plugin que queremos instalar. Após localizarmos, iremos clicar em "Instalar" e após isso "Ativar".

Após a ativação iremos na lateral esquerda em "Configurações" e selecionaremos "WPS Hide Login".

Para finalizarmos, precisamos descer a página até o final, iremos alterar o campo "Login url" para um nome fora do padrão wp-admin e em seguida iremos clicar em "Salvar alterações".

Com isso, finalizamos as alterações e como neste exemplo, nosso acesso ao painel administrativo passou a ser seudominio.com.br/meu_acesso.

Garantimos assim, a redução de tentativas de acessos por robôs de forma automática com intensões negativas.

2 -Limit Login Attempts Reloaded

Com este plugin, iremos limitar qualquer tentativa de login ao nosso painel administrativo a no máximo 3 vezes, por padrão, o Wordpress não bloqueia as tentativas de acesso recorrentes e, isso caracteriza-se como uma falha de segurança uma vez que uma base de dados com muitas senhas possíveis, podem realizar tentativas de acesso ilimitadamente.

Primeiro acessamos o painel administrativo, geralmente para acessar essa página, precisamos acessar uma URL padrão (que caso você tenha seguido o passo anterior, foi alterada) que é seudominio.com.br/wp-admin e iremos nos conectar com nosso acesso administrador.

Após acessarmos o painel administrativo, localizaremos na barra lateral esquerda, a opção Plugins e selecionaremos a opção "Adicionar novo".

Após isso no canto superior direito, utilizaremos o campo de busca para localizar o plugin que queremos instalar. Após localizarmos, iremos clicar em "Instalar" e após isso "Ativar".

Após a ativação, seremos redirecionados para a página de configurações, caso apresente uma mensagem com a abaixo, devemos inserir nosso e-mail, selecionar a opção "no" e em seguida clicar em "Continue".

Iremos então nas opções do plugin selecionar a opção "Configurações".

Iremos descer a página toda e então, iremos alterar a opção de quantidade de bloqueios que aumento o tempo de bloqueio para 3, após isso devemos então salvar as alterações.

Com isso, após 3 tentativas falhas de acesso ao seu painel administrativo, o possível invasor receberá uma restrição de acesso de 24h que será aumentada de acordo com as tentativas falhas do mesmo.

3 -Wordfence Security

Com este plugin, iremos adicionar um firewall que garantirá uma maior proteção contra possíveis invasões, bloqueando os IP's dos possíveis invasores, nos notificando por email e também, nos dando ferramentas de varredura (como um antivírus) para localização de arquivos maliciosos em todas as pastas do nosso site.

Primeiro acessamos o painel administrativo, geralmente para acessar essa página, precisamos acessar uma URL padrão (que caso você tenha seguido o primeiro passo, foi alterada) que é seudominio.com.br/wp-admin e iremos nos conectar com nosso acesso administrador.

Após acessarmos o painel administrativo, localizaremos na barra lateral esquerda, a opção Plugins e selecionaremos a opção "Adicionar novo".

Após isso no canto superior direito, utilizaremos o campo de busca para localizar o plugin que queremos instalar. Após localizarmos, iremos clicar em "Instalar" e após isso "Ativar".

Após a instalação, seremos redirecionados para a conclusão da ativação do plugin, caso isso não ocorra, devemos apenas buscar na lateral esquerda o plugin "Wordfence" e clicarmos em "Scan".

Iremos nos deparar com a mensagem abaixo e deveremos apenas clicar em "GET YOUR WORDFENCE LICENSE".

Seremos então redirecionados para a página oficial do Wordfence, devemos então selecionar a opção "Free" e selecionaremos então a opção para aguardar 30 dias para atualizações.

Neste ponto, iremos incluir nosso e-mail, selecionar a opção "no" e iremos marcar a opção que concordamos com os termos de uso. Para finalizar, devemos clicar em "Resgister".

Importante! Devemos colocar um e-mail válido e que temos acesso para o próximo passo.

Após clicarmos em Register, iremos receber um email com a licença que precisamos para finalizarmos a instalação do Wordfence. Caso você não localize na sua caixa de entrada, orientamos que verifique na sua caixa de SPAM.

Após acessarmos o email, iremos copiar a licença recebida.

Devemos então acessar novamente nosso painel adminstrativo e selecionar a opção "Install an existing license"

Preenchemos então nosso email novamente e adicionamos a Licença no campo "License Key", marcaremos a opção para concordar com os termos de uso e clicamos em "INSTALL LICENSE".

Clicamos em "GO TO DASHBOARD".

Após toda a instalação, seremos direcionados para a dashboard do Wordfence.

Podemos aproveitar que agora que possuímos um firewall garantindo uma maior segurança para nós e, realizar uma varredura para identificar se existem arquivos maliciosos ou arquivos para restauração.

Iremos na lateral esquerda do Wordfence e selecionaremos a opção Scan.

Devemos então apenas clicar em START NEW SCAN.

Importante! Neste momento, devemos deixar a varredura ser finalizada e não devemos ficar navegando por páginas da internet e em nenhum outro local do computador do contrário receberemos a seguinte informação e o Scan não ocorrerá corretamente.

Após a finalização, caso existam arquivos para remoção ou reparo, devemos clicar nas opções respectivas e confirmar.

Segurança Wordpress

Recomendamos fortemente que alguns passos sejam realizados para melhorar a segurança de plataformas WordPress, sendo

- Renomear usuários padrões para nomes alternativos, exemplo: admin -> Administrador.

Ao realizar o cadastro de uma instalação do WordPress, realizar alteração do nome de usuário, para fugir do padrão e diminuir as chances de um possível ataque de força bruta ao painel Wordpress. 

- Usar senhas fortes para usuários administrativos.

Recomendamos realizar a geração aleatória de senha de pelo menos 16 dígitos, senha seguras é um ponto chave para segurança da sua plataforma Wordpress. 

- Alterar a URL de login do Wordpress e não utilizar o wp-admin.

Alteração de URL normalmente é utilizada com a instalação de plugin, nossa recomendação é o plugin WPS hide login

- Sempre manter a plataforma Wordpress atualizada.

Ambiente Wordpress está sempre em atualizações constantes, adicionando melhorias e correções de bugs, mantenha sempre sua plataforma atualizada. 

Ao atualizar o Wordpress lembre-se sempre de validar plugins, os mesmos podem ficar incompatíveis com a atualização.

- Utilizar plugins e temas sempre atualizados e de fontes seguras.

Manter plugins e temas atualizados é um ponto crucial, maioria das invasões ocorre por falhas na segurança de plugins desatualizados.

- Manter sempre versões de PHP atualizadas.

Manter sempre a Versão PHP atualizada ela da mais segurança e uma estrutura mais robusta ao seu site.

Como o PHP é a estrutura do seu site, ao alterar a versão, plugins desatualizados ou temas antigos, podem acabar quebrando.

- Trocar senhas administrativas regularmente.

Sempre trocar suas senhas mantendo uma rotina e evitar que elas possam vazar e comprometer seu projeto.

- Instalação de plugin limitador de tentativas de acesso ao painel admin.

Realizar instalação de plugin que limita as tentativas de acesso, prevenindo ataques de bots possam interferir na performasse do site.

Recomendamos o plugin Limit Login Attempts Reloaded

- Utilização de firewall em seu website, além de scan regular ao menos uma vez na semana.

É necessário um firewall interno para realizar buscar de possíveis vulnerabilidades internas que seu site pode ter.

Recomendamos a utilização do firewall Wordfence

Além disso também recomendamos algumas boas praticas em relação ao cPanel.

- Sempre acessar a plataforma cPanel/WHM via https
- Não compartilhar a senha de acesso com outras pessoas
- Revisar periodicamente se existe ips liberados para realizar conexões ao banco de dados do servidor
- Excluir qualquer conteúdo que você tenha dúvida

Com estes passos você terá um ambiente mais seguro para a plataforma Wordpress.