Dicas de segurança para o WordPress
O WordPress é o CMS mais utilizado no mundo por vários motivos: é gratuito, flexível, open source e completo. Por ser muito utilizado, é um alvo muito evidente para ataques e descoberta de vulnerabilidades. Fique sempre atento para evitar problemas, hacking, defaces e problemas de segurança.
O WordPress é seguramente a plataforma de gerenciamento de sites mais completa no mercado atual e seus números são impressionante:
- 30% de todos os sites publicados na Internet usam WordPress;
- Isso representa 60% do mercado CMS (gerenciadores de conteúdo);
- Mais de 409 milhões de pessoas visualizam mais de 21,5 bilhões de páginas;
- Os usuários do WordPress produzam cerca de 83,6 milhões de novos posts e 44,9 milhões de novos comentários, tudo isso a cada mês;
- Os usuários do WP desfrutam das facilidades de mais de 55.215 plugins que autorizam a mudar o funcionamento e adicionar funcionalidades a esse CMS;
- É adotado em sites como: portal G1, montadora de automóveis Ford, revista Forbes e MTV, entre muitos outros.
Nós usamos o WordPress em todos os nossos projetos e indicamos aos nossos clientes.
O WordPress é seguro?
Para manter seu computador, smartphone ou tablet seguros é recomendado que você tenha alguns cuidados e mantenha o sistema operacional sempre atualizado. Caso você não mantenha os sistemas dos seus dispositivos atualizados as chances de serem infectados com vírus e ameças virtuais é muito maior. Com o WordPress não é diferente, por mais segura que a plataforma seja, se você não tomar as medidas de segurança necessárias correrá o risco de ter seu site ou loja virtual comprometido por uma brecha de segurança ou ameça virtual.
Separamos algumas dicas de segurança para você. Veja a lista abaixo.
Seu WordPress protegido
1. Faça backups com frequência
É muito importante que você tenha sempre uma cópia dos arquivos e do banco de dados do seu site ou loja virtual. Se acontecer alguma falha, a recuperação será mais fácil e rápida.
Na hora de escolher uma empresa de hospedagem dê preferência para as empresas que ofereçam backup da conta de hospedagem, banco de dados e e-mails.
ATENÇÃO: Existem muitas empresa que só oferecem o backup dos arquivos de configuração dos seus e-mails e não fazem o backup das mensagens. Geralmente essas empresas só disponibilizam essa informação no contrato, então fique atento.
Você também pode manter um segundo backup além do fornecido pela empresa de hospedagem e para isso existem inúmeros plugins para WordPress que auxiliam e automatizam os backups do seu site.
2. Mantenha a plataforma atualizada
Assim como carros e imóveis, os sites, lojas virtuais e sistemas também precisam de manutenção para um bom funcionamento e segurança.
Mantenha o seu WordPress atualizado constantemente. Quando uma nova versão é lançada, seja com grandes novidades ou pequenos updates, várias correções de bugs serão corrigidos, portanto é muito importante que você mantenha o seu WordPress sempre na última versão da ferramenta.
3. Atualize os plugins e temas
Além manter o WordPress atualizado, você também deve atualizar os plugins e temas utilizados em seu site. Os desenvolvedores lançam correções e otimizações com bastante frequência, então fique atento as notificações de atualização em seu painel administrativo para deixar todos os complementos atualizados e seguros. É importante verificar a compatibilidade da versão do WordPress com os plugins e temas para evitar conflitos e causar problemas ao seu site.
Se você não está usando algum plugin, ou ele não possui atualização para a sua versão do WordPress, desabilite-o e delete sem pensar. Isso é de extrema importância, pois muitos hackers têm invadido sites e lojas em WordPress através de vulnerabilidades conhecidas em plugins, principalmente os mais antigos e populares.
4. Permissões de arquivos e diretórios
Geralmente os usuários do WordPress acreditam ser mais fácil trabalhar aplicando permissão de escrita para todos os diretórios ou para a pasta principal do site, entretanto não sabem que essa ação irá permitir a gravação de dados nesses diretórios. Por isso, é muito importante que você mantenha apenas as permissões de escrita para os diretórios que realmente necessitam.
Segue uma tabela com as permissões recomendadas para os arquivos e pastas:
| Arquivo/diretório | Permissão |
|---|---|
| .htaccess | 644 |
| wp-config.php | 644 |
| index.php | 644 |
| wp-blog-header.php | 644 |
| /wp-admin | 755 |
| /wp-includes | 755 |
| /wp-content | 755 |
5. Endereço de administração
Todos os sites da internet são alvos de tentativas constantes de invasão e com o WordPress não é diferente. A maioria dos sites em WordPress usam por padrão o endereço http://site.com.br/wp-admin, sabendo disso os hackers utilizam uma técnica chamada de “brute force” para conseguir o acesso a administração.
Alterando a URL de administração os hackers terão muito mais dificuldade para acessar seu WordPress e você se livra dos programas automatizados que usam este endereço padrão para tentar acessar a administração do seu site.
Recomendamos o uso do plugin Cerber Security, Antispam & Malware Scan para isso, mas lembramos que existem muitos outros que possuem a mesma função.
6. Usuário para administração
Na grande maioria dos sites desenvolvidos em WordPress o usuário de administração é o "admin", o que torna mais fácil a invasão por força bruta. Caso você utilize "admin" como seu usuário, altere imediatamente para outro usuário menos sugestivo. Para fazer isso crie um novo usuário e dê a ele a permissão de "Administrador". Em seguida, logue-se com este novo usuário e apague o usuário "admin".
7. Use senhas fortes
Para deixar seu site ou loja mais seguro, é recomendável que você utilize sempre senhas fortes, com duas ou mais palavras, números e caracteres especiais.
8. Bloqueio da administração por IP
Se você utiliza um IP fixo, você pode bloquear o acesso do painel do WordPress de forma que só esse IP tenha acesso à área de administração.
Para fazer isso crie um arquivo .htaccess dentro da pasta de administração do WordPress, normalmente a pasta de administração é a: wp-admin
Inclua o código abaixo:
Order Deny,Allow Deny from all Allow from xx.xx.xx.xx
Observação: No lugar de xx.xx.xx.xx informe o seu endereço de IP.
9. Bloqueie o arquivo xmlrpc.php
Muitos ataques são feitos através do arquivo xmlrpc.php, que é instalado por padrão por Sistemas de Gerenciamento de Conteúdo (CMS) como WordPress. O xmlrpc.php é uma API que permite que conteúdos sejam postados por meio de aplicativos remotos, incluindo o próprio app oficial do WordPress, por exemplo.
Se o seu site não necessita desta integração, desative o acesso externo à este arquivo.
Para efetuar esta configuração, edite o arquivo .htaccess e inclua a configuração abaixo:
<Files xmlrpc.php> order allow,deny deny from all </Files>
10. Oculte a versão do WordPress
A instalação padrão do WordPress inclui a metatag generator que contém a versão atual da sua instalação. Quando a versão fica explícita, fica mais fácil que, pessoas mal intencionadas que conheçam uma vulnerabilidade específica da versão que você estiver usando executem um ataque ao seu site. Ocultar essa metatag é muito simples, basta adicionar o seguinte trecho de código no arquivo functions.php do seu tema:
remove_action('wp_head', 'wp_generator');
11. Limite as tentativas de logins
Não permita que qualquer pessoa que descubra a sua página de login possa ficar tentando acessar uma conta infinitas vezes. Essa é uma medida de segurança importante para um site WordPress e impede que programas automatizados tentem combinações de senhas diferentes o tempo todo até que consiga a senha certa.
Quando você limita as tentativas de logins errados, o acesso daquele usuário ficará bloqueado por um tempo determinado por você.
Recomendamos o uso do plugin Cerber Security, Antispam & Malware Scan para isso, mas lembramos que existem muitos outros que possuem a mesma função.
12. Acesso restrito ao diretório wp-content
A pasta wp-content contém todos os plugins, temas e uploads do seu site, então é importante adicionar uma proteção extra ao diretório permitindo o acesso apenas à arquivos CSS, JavaScripts e imagens (ou outros como docs e pdfs se você precisar).
A proposta é ter controle sobre os arquivos da pasta wp-content inteira. Essa medida de segurança requer a criação de um novo arquivo .htaccess a ser inserido dentro da pasta wp-content. Dentro dele insira apenas as seguintes instruções:
Order Allow,Deny Deny from all <FilesMatch "\.(css|js|html|jpg|jpeg|png|gif)$" > Allow from all </FilesMatch>
Ao fazer isso o servidor permitirá que apenas os arquivos com as extensões predefinidas podem ser acessados diretamente através do endereço absoluto (ex: http://seusite.com.br/wp-content/imagem.jpg).
13. Proteja seus formulários
Utilize o Invisible reCaptcha do Google para proteger seus formulários de contato e sua página de login de acesso. Com esse recurso seu site ficará livre de tentativas de acessos indevidos por parte de programas automatizados.
Para isso recomendamos o uso do plugin Invisible reCaptcha for WordPress.
14. Provedor de hospedagem
Não contrate o seu provedor de hospedagem apenas pelo preço, avalie a qualidade dos serviços primeiro. Faça buscas por informações sobre o serviço no Reclame Aqui e se certifique que o provedor escolhido oferece recursos de segurança como backup completo (incluindo suas mensagens de e-mail), CDN, certificado digital e que o mesmo tenha uma reputação no mercado.
15. Mantenha seu computador seguro
Mantenha o sistema operacional do seu computador pessoal atualizado, utilize sempre um programa antivírus e não salve sua senha em seu computador.
16. Contas de e-mail do administrador
Não esqueça de cuidar da segurança das contas de e-mail utilizadas pelos usuários com privilégio de administrador no WordPress. Afinal, se um invasor tiver acesso ao seu e-mail, ele poderá redefinir a senha sem esforço e ter acesso total ao seu site.
Nunca esqueça: muitas vezes o elo mais fraco de segurança é o próprio usuário e por isso de nada vai adiantar você cuidar da segurança do site, mas não adotar bons hábitos de segurança como utilizar uma senha forte para acesso ao seu e-mail ou clicar em qualquer link enviado por desconhecidos.
Conhece mais alguma dica de segurança para WordPress? Compartilhe com a gente nos comentários!
Especialistas em WordPress
A Plumo é uma empresa especializada em hospedagem, construção de sites e lojas virtuais utilizando o WordPress como principal ferramenta de trabalho.
Todos os nossos planos de hospedagem oferecem backup completo, CDN e certificado digital inclusos.
Também oferecemos o serviço Suporte Premium, onde você conta com uma equipe técnica cuidando da manutenção do seu WordPress para manter o ambiente atualizado, seguro, livre de vírus e de invasões da sua conta de hospedagem.
Não se preocupe, a Plumo cuida de tudo para você aparecer na Internet e manter o foco no seu negócio!
