Skip to content

Dicas de segurança para o WordPress

Discas de segurança para WordPress

O WordPress é o CMS mais utilizado no mundo por vários motivos: é gratuito, flexível, open source e completo. Por ser muito utilizado, é um alvo muito evidente para ataques e descoberta de vulnerabilidades. Fique sempre atento para evitar problemas, hacking, defaces e problemas de segurança.

O WordPress é seguramente a plataforma de gerenciamento de sites mais completa no mercado atual e seus números são impressionante:

  • 30% de todos os sites publicados na Internet usam WordPress;
  • Isso representa 60% do mercado CMS (gerenciadores de conteúdo);
  • Mais de 409 milhões de pessoas visualizam mais de 21,5 bilhões de páginas;
  • Os usuários do WordPress produzam cerca de 83,6 milhões de novos posts e 44,9 milhões de novos comentários, tudo isso a cada mês;
  • Os usuários do WP desfrutam das facilidades de mais de 55.215 plugins que autorizam a mudar o funcionamento e adicionar funcionalidades a esse CMS;
  • É adotado em sites como: portal G1, montadora de automóveis Ford, revista Forbes e MTV, entre muitos outros.

Nós usamos o WordPress em todos os nossos projetos e indicamos aos nossos clientes.

O WordPress é seguro?

Para manter seu computador, smartphone ou tablet seguros é recomendado que você tenha alguns cuidados e mantenha o sistema operacional sempre atualizado. Caso você não mantenha os sistemas dos seus dispositivos atualizados as chances de serem infectados com vírus e ameças virtuais é muito maior. Com o WordPress não é diferente, por mais segura que a plataforma seja, se você não tomar as medidas de segurança necessárias correrá o risco de ter seu site ou loja virtual comprometido por uma brecha de segurança ou ameça virtual.

Separamos algumas dicas de segurança para você. Veja a lista abaixo.

Seu WordPress protegido

1. Faça backups com frequência

É muito importante que você tenha sempre uma cópia dos arquivos e do banco de dados do seu site ou loja virtual. Se acontecer alguma falha, a recuperação será mais fácil e rápida.

Na hora de escolher uma empresa de hospedagem dê preferência para as empresas que ofereçam backup da conta de hospedagem, banco de dados e e-mails.

ATENÇÃO: Existem muitas empresa que só oferecem o backup dos arquivos de configuração dos seus e-mails e não fazem o backup das mensagens. Geralmente essas empresas só disponibilizam essa informação no contrato, então fique atento.

Você também pode manter um segundo backup além do fornecido pela empresa de hospedagem e para isso existem inúmeros plugins para WordPress que auxiliam e automatizam os backups do seu site.

2. Mantenha a plataforma atualizada

Assim como carros e imóveis, os sites, lojas virtuais e sistemas também precisam de manutenção para um bom funcionamento e segurança.

Mantenha o seu WordPress atualizado constantemente. Quando uma nova versão é lançada, seja com grandes novidades ou pequenos updates, várias correções de bugs serão corrigidos, portanto é muito importante que você mantenha o seu WordPress sempre na última versão da ferramenta.

3. Atualize os plugins e temas

Além manter o WordPress atualizado, você também deve atualizar os plugins e temas utilizados em seu site. Os desenvolvedores lançam correções e otimizações com bastante frequência, então fique atento as notificações de atualização em seu painel administrativo para deixar todos os complementos atualizados e seguros. É importante verificar a compatibilidade da versão do WordPress com os plugins e temas para evitar conflitos e causar problemas ao seu site.

Se você não está usando algum plugin, ou ele não possui atualização para a sua versão do WordPress, desabilite-o e delete sem pensar. Isso é de extrema importância, pois muitos hackers têm invadido sites e lojas em WordPress através de vulnerabilidades conhecidas em plugins, principalmente os mais antigos e populares.

4. Permissões de arquivos e diretórios

Geralmente os usuários do WordPress acreditam ser mais fácil trabalhar aplicando permissão de escrita para todos os diretórios ou para a pasta principal do site, entretanto não sabem que essa ação irá permitir a gravação de dados nesses diretórios. Por isso, é muito importante que você mantenha apenas as permissões de escrita para os diretórios que realmente necessitam.

Segue uma tabela com as permissões recomendadas para os arquivos e pastas:

Arquivo/diretórioPermissão
.htaccess644
wp-config.php644
index.php644
wp-blog-header.php644
/wp-admin755
/wp-includes755
/wp-content755

5. Endereço de administração

Todos os sites da internet são alvos de tentativas constantes de invasão e com o WordPress não é diferente. A maioria dos sites em WordPress usam por padrão o endereço http://site.com.br/wp-admin, sabendo disso os hackers utilizam uma técnica chamada de “brute force” para conseguir o acesso a administração.

Alterando a URL de administração os hackers terão muito mais dificuldade para acessar seu WordPress e você se livra dos programas automatizados que usam este endereço padrão para tentar acessar a administração do seu site.

Recomendamos o uso do plugin Cerber Security, Antispam & Malware Scan para isso,  mas lembramos que existem muitos outros que possuem a mesma função.

6. Usuário para administração

Na grande maioria dos sites desenvolvidos em WordPress o usuário de administração é o "admin", o que torna mais fácil a invasão por força bruta. Caso você utilize "admin" como seu usuário, altere imediatamente para outro usuário menos sugestivo. Para fazer isso crie um novo usuário e dê a ele a permissão de "Administrador". Em seguida, logue-se com este novo usuário e apague o usuário "admin".

7. Use senhas fortes

Para deixar seu site ou loja mais seguro, é recomendável que você utilize sempre senhas fortes, com duas ou mais palavras, números e caracteres especiais.

8. Bloqueio da administração por IP

Se você utiliza um IP fixo, você pode bloquear o acesso do painel do WordPress de forma que só esse IP tenha acesso à área de administração.

Para fazer isso crie um arquivo .htaccess dentro da pasta de administração do WordPress, normalmente a pasta de administração é a: wp-admin

Inclua o código abaixo:

Order Deny,Allow
Deny from all
Allow from xx.xx.xx.xx

Observação: No lugar de xx.xx.xx.xx informe o seu endereço de IP.

9. Bloqueie o arquivo xmlrpc.php

Muitos ataques são feitos através do arquivo xmlrpc.php, que é instalado por padrão por Sistemas de Gerenciamento de Conteúdo (CMS) como WordPress. O xmlrpc.php é uma API que permite que conteúdos sejam postados por meio de aplicativos remotos, incluindo o próprio app oficial do WordPress, por exemplo.

Se o seu site não necessita desta integração, desative o acesso externo à este arquivo.

Para efetuar esta configuração, edite o arquivo .htaccess e inclua a configuração abaixo:

<Files xmlrpc.php>
order allow,deny
deny from all
</Files>

10. Oculte a versão do WordPress

A instalação padrão do WordPress inclui a metatag generator que contém a versão atual da sua instalação. Quando a versão fica explícita, fica mais fácil que, pessoas mal intencionadas que conheçam uma vulnerabilidade específica da versão que você estiver usando executem um ataque ao seu site. Ocultar essa metatag é muito simples, basta adicionar o seguinte trecho de código no arquivo functions.php do seu tema:

remove_action('wp_head', 'wp_generator');

11. Limite as tentativas de logins

Não permita que qualquer pessoa que descubra a sua página de login possa ficar tentando acessar uma conta infinitas vezes. Essa é uma medida de segurança importante para um site WordPress e impede que programas automatizados tentem combinações de senhas diferentes o tempo todo até que consiga a senha certa.

Quando você limita as tentativas de logins errados, o acesso daquele usuário ficará bloqueado por um tempo determinado por você.

Recomendamos o uso do plugin Cerber Security, Antispam & Malware Scan para isso,  mas lembramos que existem muitos outros que possuem a mesma função.

12. Acesso restrito ao diretório wp-content

A pasta wp-content contém todos os plugins, temas e uploads do seu site, então é importante adicionar uma proteção extra ao diretório permitindo o acesso apenas à arquivos CSS, JavaScripts e imagens (ou outros como docs e pdfs se você precisar).

A proposta é ter controle sobre os arquivos da pasta wp-content inteira. Essa medida de segurança requer a criação de um novo arquivo .htaccess a ser inserido dentro da pasta wp-content. Dentro dele insira apenas as seguintes instruções:

Order Allow,Deny
Deny from all
<FilesMatch "\.(css|js|html|jpg|jpeg|png|gif)$" >
Allow from all
</FilesMatch>

Ao fazer isso o servidor permitirá que apenas os arquivos com as extensões predefinidas podem ser acessados diretamente através do endereço absoluto (ex: http://seusite.com.br/wp-content/imagem.jpg).

13. Proteja seus formulários

Utilize o Invisible reCaptcha do Google para proteger seus formulários de contato e sua página de login de acesso. Com esse recurso seu site ficará livre de tentativas de acessos indevidos por parte de programas automatizados.

Para isso recomendamos o uso do plugin Invisible reCaptcha for WordPress.

14. Provedor de hospedagem

Não contrate o seu provedor de hospedagem apenas pelo preço, avalie a qualidade dos serviços primeiro. Faça buscas por informações sobre o serviço no Reclame Aqui e se certifique que o provedor escolhido oferece recursos de segurança como backup completo (incluindo suas mensagens de e-mail), CDN, certificado digital e que o mesmo tenha uma reputação no mercado.

15. Mantenha seu computador seguro

Mantenha o sistema operacional do seu computador pessoal atualizado, utilize sempre um programa antivírus e não salve sua senha em seu computador.

16. Contas de e-mail do administrador

Não esqueça de cuidar da segurança das contas de e-mail utilizadas pelos usuários com privilégio de administrador no WordPress. Afinal, se um invasor tiver acesso ao seu e-mail, ele poderá redefinir a senha sem esforço e ter acesso total ao seu site.

Nunca esqueça: muitas vezes o elo mais fraco de segurança é o próprio usuário e por isso de nada vai adiantar você cuidar da segurança do site, mas não adotar bons hábitos de segurança como utilizar uma senha forte para acesso ao seu e-mail ou clicar em qualquer link enviado por desconhecidos.

Conhece mais alguma dica de segurança para WordPress? Compartilhe com a gente nos comentários!

Especialistas em WordPress

A Plumo é uma empresa especializada em hospedagem, construção de sites e lojas virtuais utilizando o WordPress como principal ferramenta de trabalho.

Todos os nossos planos de hospedagem oferecem backup completo, CDN e certificado digital inclusos.

Também oferecemos o serviço Suporte Premium, onde você conta com uma equipe técnica cuidando da manutenção do seu WordPress para manter o ambiente atualizado, seguro, livre de vírus e de invasões da sua conta de hospedagem.

Não se preocupe, a Plumo cuida de tudo para você aparecer na Internet e manter o foco no seu negócio!