O Defender é um plugin de segurança feito para o Wordpress que oferece uma grande gama de recursos que irão proteger seu site contra inúmeras ameças como força bruta, execução de scripts, injeção de código, tentativas de login na página padrão usando usuário admin, malware e outras. O plugin é gratuito e possui uma versão paga com alguns recursos extras e ele pode ser instalado à partir dos repositórios oficiais do Wordpress; clicando aqui você pode ver a página oficial do plugin.
Neste artigo vamos tratar das principais configurações do Defender. O primeiro passo é instalar e ativar o plugin
1 - Instalar, ativar o plugin e aplicar as configurações iniciais
Para iniciar as configurações vamos acessar Defender → Recomendações (recommendations) no painel administrativo do Wordpress e clicar no botão ACTIVATE & CONFIGURE (ativar e configurar)
Ao clicar no botão o plugin iniciará um procedimento de configuração inicial padrão ativando diversos recursos
Ao final deste procedimento inicial basta clicar no botão Finish (finalizar)
Neste momento o site já está bem mais seguro. Mas ainda existe muitas configurações extras que podem ser feitas para deixar o site com um nível de segurança maior.
2 - Verificação de malware
A próxima etapa é verificar se algum arquivo foi detectado com malware ou com algum outro aviso dado pelo Defender; por padrão ele executa uma verificação inicial ao fazer a ativação do passo anterior, mas você pode fazer o procedimento manualmente. Para isso vamos em Defender → Malware Scanning e olhar os possíveis problemas. Lá podemos clciar no botão New scan para executar uma nova verificação sempre que acharmos conveniente.
Nem tudo o que aparece ou possa aparecer na lista é realmente um problema.
Alguns servidores podem criar arquivos nas pastas do Wordpress para que possam executar tarefas importantes; como esses arquivos não fazem parte do Wordpress, o plugin entende como uma possível ameaça. Por isso você deverá verificar se o arquivo é realmente perigoso ou não antes de excluir ou tomar qualquer atitude que possa comprometer o funcionamento do site.
Faça sempre um BACKUP do site antes de executar ações que possam comprometer o funcionamento do site.
Caso você fique em dúvida procure ajuda.
No exemplo da print acima o arquivo foi criado pelo servidor durante a instalação do site e não há necessidade de excluir ou ter qualquer tipo de preocupação com ele e por essa razão vou ignorar. Para fazer isso podemos simplesmente deixar o plugin avisar e ignorar a mensagem sem lê-la, ou então podemos fazer com que o plugin não nos avise mais sobre o arquivo; mas atenção: faça isso apenas se tiver certeza que não se trata de uma ameaça verdadeira. Vamos em Bulk actions, selecionamos Ignore e depois clicamos em Apply (aplicar)
Se os arquivos se tratarem de ameaças reais, então devemos ativar a opção Delete. Geralmente arquivos com nomes aleatórios e que se encontram em pastas incomuns são ameaças reais.
Observação aos clientes Hostnet:
Se você é cliente Hostnet e usou o instalador no painel da hospedagem para realizar a instalação do seu site, o Defender irá acusar 6 arquivos como sendo ameaças. Não se preocupe pois não se trata de ameaça alguma mas sim da forma como o instalador age; ele copia alguns arquivos durante o procedimento e como esses arquivos não fazem parte da estrutura padrão de arquivos do Wordpress, o defender vai dar um aviso. Você pode seguramente ignorar essa falsa ameaça. Essa é a lista de arquivos:
- http.php
- gerararquivos.php
- installer-bootlog.txt
- installer-log.txt
- wp-cli.phar
- wp_config_instalador.php
3 - Configurações de Firewall
Vamos em Defender → Firewall para acessar o painel inicial de informações e configurações do firewall do plugin. Alí podemos ver algumas tentativas de acesso indevido ao site e ações maliciosas. Esses números podem ser expressivos dependendo do site, mas não se assuste pois o plugin está funcionando perfeitamente ao realizar as ações de bloqueio.
[NOVIDADE: recurso AntiBot conteúdo adicionado em 20/02/2025]
3.0 - AntiBot
Recentemente o Defender lançou um novo recurso chamado AntiBot Firewall Protection, que ajuda a bloquear tráfego malicioso com base em padrões de tráfego e dados de ameaças coletados de uma rede de mais de 500.000 sites. Siga o passo a passo para ativar essa funcionalidade:
Acesse a funcionalidade de AntiBot
É possível que você receba uma mensagem de aviso ao acessar qualquer opção do Defender.
Se esta mensagem aparecer para você, basta clicar no botão connect site to activate for free (conecte ao site para ativar gratuitamente). Caso a mensagem não apareça, acesse Defender > Firewall e a primeira opção será agora a de global firewall com as opções do AntiBot.
Acesse o painel do WordPress e navegue até a seção do Defender > Firewall. Você verá uma nova opção chamada AntiBot Firewall Protection. Clique nela para começar a configuração.
Basta clicar no botão connect site for full protection.
Conecte seu site ao sistema AntiBot
Para ativar o recurso, você precisará conectar seu site ao WPMU DEV. Na tela seguinte, você terá duas opções: “Sou um novo usuário” ou “Sou um usuário existente”. Se você já tem uma conta no WPMU DEV, selecione a segunda opção. Caso contrário, crie uma conta gratuita.
Se você já tem uma conta, insira suas credenciais para fazer login. Você pode fazer login diretamente com o Google ou usar seu e-mail e senha.
O exemplo da print abaixo mostra as opções para quem já possui uma conta. É possível colocar as credenciais de acesso ou se conectar através do Google.
Observação: não é necessário usar uma conta para cada cliente ou site, você pode ter uma única conta e utilizá-la em todos os sites que você administra. Isso irá poupar bastante tempo, principalmente se vincular sua conta ao Google, assim poderá fazer o login com poucos cliques.
Feito o procedimento, seja criando uma nova conta ou se conectando com uma conta existente, uma tela de carregamento da conexão irá aparecer indicando que a conexão está sendo processada.
Em alguns casos pode ocorrer uma falha na comunicação entre o seu site e o servidor do WPMU e com isso uma mensagem de erro poderá aparecer. Caso aconteça, simplesmente atualize a página apertando F5 para fazer uma nova tentativa.
Se tudo correr bem, uma mensagem de sucesso irá aparecer na tela; cloque em close para fechá-la.
Ative o AntiBot
Após fazer a conexão do site com o servidor do WPMUDEV você poderá ativar a funcionalidade. Dependendo de como você fez a conexão, o recurso pode ser ativado automaticamente ou então uma janela para ativação irá aparecer e então é só clicar em ativar.
Assim que o recurso estiver ativo acessando Defender > Firewall > AntiBot você poderá ver informações do novo recurso.
Opcional: recurso unlock me
O recurso Unlock Me é uma funcionalidade adicional do AntiBot Firewall Protection que permite desbloquear seu site caso você seja erroneamente identificado como um bot. Isso pode acontecer, por exemplo, se o sistema bloquear seu IP por engano. Com o Unlock Me, você pode gerar um link de desbloqueio temporário que permite acessar seu site mesmo que o firewall esteja ativo. Essa funcionalidade é especialmente útil para administradores que precisam garantir acesso contínuo ao seu site, mesmo em cenários onde o firewall pode ser mais restritivo.
Para usar o Unlock Me, basta acessar as configurações do Defender, navegar até a seção do AntiBot Firewall Protection e gerar o link de desbloqueio. Esse link pode ser compartilhado com você mesmo ou com outros usuários autorizados, garantindo que o acesso ao site nunca seja perdido devido a bloqueios acidentais.
Considerações finais sobre o AntiBot
Ativar o AntiBot Firewall Protection no plugin Defender é um processo simples que pode aumentar significativamente a segurança do seu site. Ao conectar seu site ao WPMU DEV, você ganha acesso a uma rede global de proteção contra tráfego malicioso, com uma lista dinâmica de IPs bloqueados e atualizações regulares do banco de dados de ameaças.
Se você ainda não ativou esse recurso, siga os passos acima e proteja seu site hoje mesmo!
3.1 - Proteção de login
Em seguida vamos clicar nas opções de Login protection (proteção de login). Essas configurações irão tratar do bloqueio dos IPs que fizerem sucessivas tentativas falhas de login, seja porque o nome de usuário não exista no site ou seja porque a senha está incorreta. Os valores do padrão de configuração são bastante razoáveis, mas você pode alterar os valores de acordo com as necessidades do site.
Uma configuração que particularmente acho bastante importante é a de bloqueio por tentativa de login com nomes de usuários específicos. É muito comum os sites em wordpress terem contas administrativas com o nomes de usuário adm, admin, administrator ou administrador.
Se a sua conta possui um desses nomes então recomendo fortemente mudar porque toda tentativa de login indevida com certeza irá começar com esses nomes de usuário. Então na opção Banned usernames (nomes de usuários proibidos) coloque os que citei logo acima. Lembre-se que se você colocar seu nome de usuário na lista, caso ele seja “admin”, você ficará impossibilitado de efetuar login novamente a menos que coloque seu IP na lista branca (será abordado logo abaixo).
Veja como mudar seu nome de usuário através do Defender no tópico 5.
3.2 - Proteção contra acesso a arquivos não existentes (404)
Os famosos robôs que ficam vasculhando sites por vulnerabilidades procuram por arquivos que possam dar acesso a alguma funcionalidade do seu site com objetivo de causar danos dos mais diversos. Felizmente o Defender possui uma forma de bloquear esses acessos.
Para acessar vamos na opção 404 detection do firewall. A configuração padrão já é muito boa e irá bloquear o endereço de IP se tiver 20 tentativas de acesso a arquivos não encontrados num período de 5 minutos. Uma alteração que gosto de fazer, mas fica a seu critério, é colocar o bloqueio como permanente e não temporário. Algumas vezes as pessoas podem sim chegar ao erro 404, mas com certeza um visitante não vai errar paǵinas 20 vezes seguidas, mas um robô que está tentando fazer ações maliciosas sim.
3.3 - Bloqueio / desbloqueio de IPs
Nesse momento vamos acessar a opção IP banning do firewall. Podemos colocar IPs na “lista negra” de forma que qualquer tentativa de acesso ao site pelo(s) endereço(s) na lista será bloqueada. De forma oposta podemos colocar um ou mais IPs na “lista branca”, assim caso o IP faça qualquer ação que seja considerada maliciosa pelo firewall, não irá ocorrer bloqueio. Essa opção é muito boa para ser usada com o IP do(s) administrador(es) do site.
Só tome cuidado para nunca colocar o IP de um administrador na lista negra ou ele não terá mais acesso ao site.
As demais configurações de firewall não serão tratadas nesse artigo porque não considero elas fundamentais, mas sinta-se à vontade pra abrir, verificar o que elas fazem e se são interessantes para seu site ou não.
4 - Autenticação em dois fatores (2FA) [opcional]
Uma configuração muito boa que o plugin oferece é a autenticação de dois fatores; é aquele tipo de autenticação que obriga o usuário a digitar uma sequência de números ou caracteres após realizar o login. Se o usuário não colocar a sequência correta ele não terá acesso à conta efetivamente; é uma camada extra de proteção muito boa caso a senha tenha sido roubada ou crackeada.
Para ativar essa opção acessamos Defender → 2FA e clicamos em Activate.
Na tela de configurações que aparece a seguir é possível escolher quais os níveis de usuários (baseado na role) poderão fazer uso da autenticação de dois fatores. Também é possível deixar a configuração como sendo obrigatória ou facultativa.
Essa configuração é totalmente dependente das necessidades do site e somente o dono ou admin do site deverá decidir quais opções ativar ou desativar. A configuração padrão, que é a mesma da imagem acima, é recomendada para a maioria dos sites. Nesse exemplo vou alterar o campo App title que será usado para identificar o site no aplicativo de autenticação; vou colocar Site Ajuda que é o nome do site usado para fazer o artigo.
4.1 - Configurar a autenticação na página do usuário
Após ativa, a configuração de autenticação de dois fatores deverá ser feita também na página do usuário. Cada usuário deverá realizar sua própria configuração, pois a informação é particular e cada um terá seu próprio código aleatório gerado.
Neste exemplo vou configurar para o meu usuário do site. Para isso vou até o canto superior direito da tela onde na barra superior aparecem as informações do usuário, passo o mouse sobre o nome ou sobre a imagem e no menu que aparece clico na opção editar perfil.
Depois disso devemos rolar a página até chegar na parte de configurações de segurança e ativar a opção TOTP Authenticator App. Neste artigo vou trabalhar com essa opção; caso você prefira outra opção basta ler a descrição e verificar se atende sua necessidade.
Assim que ativar a opção TOTP irá aparecer uma imagem com um QR-Code e um código que é criado especificamente para o usuário que está configurando. Esta configuração é totalmente individualizada. Nesse momento é necessário instalar um dos aplicativos disponíveis no seu smartphone: Google Authenticator, Microsoft Authenticator ou Authy. Eu irei utilizar o Google Authenticator.
4.2 - Configurar o aplicativo no smartphone
Com o aplicativo aberto no seu smartphone clique no botão “+” que fica no canto inferior direito, e escolha a opção ler Qr Code. Caso não seja possível fazer a leitura do código, é possível usar a opção inserir chave de configuração e colocar a sequência de letras e números que fica logo abaixo do Qr Code.
Após fazer a leitura do código irá aparecer as informações do site no app. Como nesse artigo eu configurei o nome do app como Site Ajuda, é assim que ele irá aparecer na lista do Google Authenticator. O próximo passo é digitar o código gerado pelo aplicativo lá no site, abaixo do código de barras que foi lido, no campo 3. Digite a senha-chave e depois clicar em Verificar.
A configuração de autenticação agora está completa. A partir de agora toda vez que você ou qualquer usuário que também tenha feito essa configuração fizer o login no site, antes de conseguir o acesso será necessário abrir o aplicativo, ver qual é o código gerado no momento e digitar ele no campo que irá aparecer na tela.
Esse código é dinâmico e será trocado para qualquer valor aleatório com 6 dígitos a cada 30 segundos. Significa que você não poderá reutilizar ele em um outro momento que for realizar o login. Assim, sempre será necessário abrir o app e verificar o código que foi gerado no momento.
5 - Verificação de recomendações
Para finalizar o procedimento vamos mais um vez em Defender → Recommendations (recomendações). Aqui vamos ver se todas as opções estão ativas ou não. É comum que duas delas não se ativem, mas elas são opcionais: ocultar relatórios de erros e desabilitar o editor de arquivos. Você pode ativar ambas, mas caso você precise editar arquivos do tema ou de plugins pelo painel do Worpdress não ative a últia opção mencionada.
Clicando na opção actioned tenho a seguinte lista ativa:
Dependendo do site é necessário desativar uma ou outra dessas configurações, como por exemplo desabilitar pingbacks e trackbacks ou desativar XML-RPC. Por isso caso tenha problema com algum plugin que utilize algum desses recursos, desative a opção aqui no Defender; caso contrário mantenha todas elas ativas.
Se você usar o nome de usuário como sendo admin, recomendo fortemente trocar para outro nome já que é o nome de usuário padrão mais comum entre administradores de sites. Isso significa que usar esse nome de usuário pode trazer uma grande vulnerabilidade ao site pois crackers e robôs irão tentar invadir usando uma conta com este nome de usuário.
Para fazer essa alteração clique na opção de recomendações, selecione a opção, preencha o campo com o novo nome de usuário e clique em ativar.
Ao ativar essa opção você será automaticamente deslogado e precisará realizar o login novamente.
6 - Fortalecendo a segurança
Com todas as configurações feitas nos tópicos anteriores o site já estará bastante seguro. Contudo vamos fazer mais algumas configurações para que possamos deixar o site tão seguro quanto for possível. Vamos acessar no painel do Wordpress Defender → Painel e rolar a página até chegar na seção tools (ferramentas).
6.1 - Alterando a url de login
Nessa etapa vamos fazer uma das principais configurações de segurança de um site Wordpress, que é “mascarar” a url de login. Por padrão todo site desenvolvido em Wordpress após ser instalado terá a sua url de login como sendo endereco-do-site/wp-admin. Como todos os crackers e pessoas mal intencionadas sabem disso, a primeira página a tentar ser acessada para fazer um ataque de força bruta é a página de login. Vamos trocar essa url para evitar esses ataques.
IMPORTANTE: se você utilizar o plugin Hide Login você deve DESATIVAR ele para poder ativar essa opção do Defender. Se você não fizer isso poderá ter problemas de conflito e não conseguir mais efetuar login. O Hide Login não será mais necessário, podendo ser excluído do seu site.
Vamos clicar no “+” da opção mask login area para poder ativá-la. Uma alternativa é clicar no botão inactive (inativo), o resultado será o mesmo.
Na tela seguinte clicamos no botão activate para efetivamente ativar a opção; depois disso seremos levados à tela de configuração.
Na opção de masking URL slug (mascarando de URL de login) coloque o valor que desejar. Não use acentos, espaços em branco ou “ç”. Use apenas letras, números hífen ou underline. No meu exemplo usei o padrão da Hostnet que é site-admin.
Na opção de redirect traffic o padrão é off (desativado), assim sempre que alguém tentar acessar o padrão wp-admin será redirecionado para a página de erro 404. Particularmente prefiro redirecionar para a página principal do site, aqui nomeada como home apenas para exemplo. Para isso vamos ativar a opção choose redirect page e selecionar a página procurando pelo nome. Se preferir você pode escolher qualquer outra página, inclusive de fora do site indo na opção custom url e digitanto ou colando a url desejada. Por fim vamos clicar em save changes.
6.2 - Cabeçalhos de segurança
Indo na aba de security headers (cabeçalhos de segurança) vamos ativar todas as opções disponíveis. As opções que possuem opções internas de configuração vamos deixar no padrão; se preferir se aprofundar nelas, verifique cada uma e altere de acordo com as necessidades do seu site. Por fim vamos clicar em save changes (salvar alterações). A print abaixo mostra apenas as primeiras opções, mas todas as que não aparecem também foram ativadas.
Se você tiver algum problema para carregar a página no Microthemer após configurar o Defender, mantenha a primeira opção X-Frame-Options desativada.
6.3 - Google ReCaptcha
Uma configuração extremamente importante para evitar diversos tipos de ataques com robôs é fazer o uso do recaptcha nos formulários de login, registro e mudança de senha. Para ativar ela vamos na seção de Google Recaptcha das opções de ferramentas do painel e então vamos clicar em activate.
Observação: não é possível fazer uso desse recurso em sites hospedados localmente.
Logo após, na tela seguinte nós temos que escolher qual versão usar. Fica a seu critério definir qual é a melhor para o seu site. Neste exemplo vou usar a versão 2 invisível. Esteja ciente que a versão 3 pode trazer alguns problemas no checkout de lojas virtuais, por isso se seu cliente reportar problemas no checkout relacionados ao captcha, sugiro usar a versão 2.
Acesse o site de gerenciamento do Google Recaptcha, selecione o desejado para o site ou crie um novo caso você não possua nenhum. Copie e cole tanto o site key quanto o secret key e cole nos devidos campos.
Ao rolar a tela um pouco mais é possível ver as opções de mensagem de erro e onde o recurso deverá estar ativo. Recomendo ativar o ReCaptcha em TODOS os formulário possíveis e isso inclui o WooCommerce caso seu site seja uma loja virtual. No exemplo da minha print eu não possuo o WooCommerce e por isso não posso ativar as opções dele, mas se você tiver o WooCommerce ativo, os campos de formulário dele ficarão disponíveis. Ative-os e só desative caso realmente passe por algum problema específico.
No final da tela basta clicar na opção de salvar as configurações. Na sequência a página será recarregada e você poderá ver uma pré-visualização do funcionamento do ReCpatcha do seu site. Caso a chave esteja correta e apontando para o domínio certo irá aparecer a bandeira do ReCaptcha corretamente, caso contrário irá aparecer a bandeira juntamente com uma mensagem de erro.
Se na pré-visualização do Recaptcha apresentar a mensagem de erro, revise as chaves e o domínio. Se você deixar essa configuração errada e efetuar logout, depois não conseguirá logar novamente no site.
7 - Considerações finais
Nesse artigo abordei as principais e mais importante configurações da versão gratuita do Defender. Outras configurações são opcionais, mas fica o convite para você olhar, estudar elas e verificar se elas fazem sentido para o seu site.
Se você tiver algum problema qualquer para acessar o site após configurar o Defender, como por exemplo o erro do ReCaptcha, ou então não conseguir o código de autenticação em dois fatores ou mesmo se seu IP acidentalmente for banido, para acessar o site novamente você deverá desativar o plugin.
Desativar um plugin sem acessar um site requer acesso via FTP ou SSH. Usando a ferramenta de sua preferência entre na pasta raiz do site (geralmente www, como na Hostnet, mas em alguns servidores pode ser public_html), entre na pasta plugins e renomeie a pasta defender-security. Você pode fazer isso simplesmente mudando o nome da pasta de defender para defender-security2 por exemplo.
Após alterar o nome da pasta você deverá acessar a área administrativa do site usando o caminho padrão, como nesse exemplo:
www.seu-dominio.com.br/wp-admin
Nesse momento volte o nome da pasta do plugin para o nome original defender-security. No painel do Wordpress vá em Plugins, procure pelo Defender e ative-o. Acesse as configurações do plugin e execute o que for preciso, como colcoar seu IP em lista branca, desativar a autenticação de dois fatores, rever as configurações do ReCaptcha, etc (de acordo com o problema que você tiver).
