16 Passos Indispensáveis Para Segurança WordPress
Proteger WordPress é tarefa de todos nós, principalmente se você faz o uso desta plataforma para publicar conteúdo online. Quando o fazemos, estamos a contribuir para uma internet mais segura, e isso é tarefa de todos nós.
Alguns dados estatísticos mostram que 25% de sites na internet usam o WordPress. De todos os sistemas de gestão de conteúdos usados, WordPress detém 95%.
Portanto, de acordo com os dados acima, chegamos a conclusão de que WordPress está neste momento liderando como o maior, mais preferido, e mais usado sistema de gestão de conteúdos do mundo. Isso é suficiente para atrair a atenção dos hackers.
WordPress é um sistema robusto e seguro, contudo, por causa da sua extrema popularidade e preferência em termos de utilização, tem atraído muita atenção. Por isso, ultimamente tem havido muitos sites que usam WordPress sendo comprometidos.
A segurança do WordPress é garantida por uma grande comunidade de desenvolvedores e entusiastas que estão constantemente contribuindo para a evolução deste software. Por essa razão, estará seguro usando este software, e é por isso que ele é tão popular.
É muito importante mencionar já agora que não existe 100% de segurança na internet, esse nível de segurança é simplesmente impossível de garantir e já mais existirá. Não é por acaso que grandes empresas investem milhões de dólares para assegurar e proteger os seus sistemas. Mesmo assim eles não estão 100% seguros.
Temos os exemplos recentes da Sony, LinkedIn, e muitos outros grandes sites que foram comprometidos.
Apesar de não ser possível garantir a segurança a 100%, existem acções e passos que todos nós podemos tomar para prevenir e proteger os nossos sites de ataques. E isso é algo que está dentro do nosso controle e que é da nossa responsabilidade. Neste artigo passarei em revista alguns dos passos e acções que cada um de nós pode tomar para proteger os nossos sites.
1. Certifique-se Que o Seu Computador Está Livre de Malware
Antes de começarmos a falar de segurança na web, é fundamental assegurar que a casa está limpa. Se o computador usado para publicar no WordPress estiver infectado com malware, todo o trabalho de prevenção de que iremos falar a seguir será em vão e inútil.
É fundamental que nunca nos esqueçamos das regras básicas de segurança dos nossos PCs antes de aprofundarmos em questões de segurança na Internet. Caso contrário você poderá se tornar no seu maior inimigo neste caso.
Portanto, assegure que o seu computador está livre de todo o tipo de malware possível e que pode usá-lo para publicar com o WordPress. Para tal terá que usar um antivírus e scanar o seu pc.
2. Mudar O Nome De Utilizador “Admin”
Por defeito o WordPress vem com o nome de utilizador “admin”, toda nova instalação do WordPress utiliza este nome do utilizador. Isso é sabido por todos incluindo todos aqueles que querem invadir o seu site, isto é, os hackers. Eles praticamente usam scripts para fazerem o login a força bruta usando o nome de utilizador que vem predefinido com o WordPress.
Portanto, o primeiro passo a tomar logo depois de instalar o WordPress no seu servidor é mudar o nome de utilizador de ADMIN para um outro nome que só você conheça. E por favor não use o nome do seu site como utilizador, isso é muito previsível e fácil de adivinhar.
3. Escolha Um Password Forte e Seguro
O segundo passo a tomar é a escolha de um password muito forte, de preferência que tenha a combinação de maiúsculas, minúsculas, números e caracteres. É importante que tenha no mínimo uma dessas variações de modo a robustecer a segurança do seu password.
É de mencionar que o uso do mesmo password em vários sites é desencorajado. Eu sei que muitos têm o hábito de usar o mesmo password em diferentes sites, mas isso não é aconselhável. Eu mesmo tenho tido esse hábito e estou ciente do quão perigoso isso é.
De modo a evitar usar o mesmo password em vários sites, porque é impossível lembrar-se de muitos passwords, e também complicado ter vários passwords espalhados no seu computador. Aconselho a utilização de uma ferramenta que o ajudará a guardar todos os seus passwords num só local. Eu tenho usado o LASTPASS, mas existe também o ONEPASS.
4. Proteger a Área de Login
Uma das estratégias usadas pelos hackers para violarem o seu site, é a utilização de uma táctica chamada ataque a força bruta ou brute force attack. Este tipo de ataque consiste em tentar várias vezes fazer o login do seu site usando uma combinação de vários passwords e nomes de utilizadores.
É importante saber que isto normalmente não se faz de uma forma manual mas sim com a utilização de certos aplicativos criados exclusivamente para esse tipo de manobras.
De modo a impedir com que hackers sejam bem sucedidos na sua tentativa de penetração do seu site é necessário proteger essa área. Isso é possível usando o plugin login lockdown, como mostra este artigo.
5. Actualizar WordPress Para a Versão Mais Recente
O WordPress é um software dinâmico e que está em constante evolução e desenvolvimento, para além disso, ele conta com uma grande comunidade de desenvolvedores e entusiastas que contribuem com muita frequência para o desenvolvimento desta plataforma.
Por isso é que é usual existirem novas actualizações, e sempre que há uma questão de segurança no WordPress, a equipa logo cai em cima do problema trazendo uma nova actualização. Para além disso, uma nova versão do mesmo aparece em cada quatro meses.
É importante ter esses factores em conta porque sempre que ele for actualizado é fundamental que também atualize o seu site para a versão mais recente do software. Quanto mais você usar uma versão antiga do WordPress mais susceptível estará o seu site de ser atacado e penetrado por hackers. Isso porque não existem actualizações para as versões antigas.
6. Actualizar os Temas e Plugins
Os desenvolvedores de plugins e de temas também trazem novas versões do seus aplicativos de vez em quando. E quando isso acontece há sempre uma necessidade de os manter actualizados, existe um medo que as pessoas têm de actualizar os seus plugins e temas para as versões mais recentes, porque têm o receio de que os mesmos possam quebrar os seus sites.
Mas isso não é algo para que você tema, porque 80% das actualizações de softwares estão relacionadas com a segurança do mesmo, e não com novas funcionalidades. E também quando um plugin chega a quebrar um site, é porque está em conflito com um outro plugin no mesmo site, e isso é relativamente fácil de solucionar.
Se ainda não sabe, neste artigo poderá saber como actualizar plugins para a versão mais recente.
7. Criar Backups Do Seu Site
A criação de backups do seu site é indispensável e é uma medida segura e sábia, enquanto esta medida não serve para proteger o seu site de ser atacado, ela é mais uma medida de precaução. No caso do seu site ser invadido e infiltrado por hackers, você poderá sempre recuperar a última versão do mesmo.
Mesmo sendo que muitas empresas de alojamento prometem fazer backups da sua base de dados com regularidade, é importante que tome isso como sendo sua própria responsabilidade. Afinal de contas o site é seu.
Quando falamos de backups é importante referir que existem dois aspectos por mencionar. Existe o backup da base de dados e o backup dos ficheiros do seu site, é importante fazer o backup dos dois.
Isso pode se fazer manualmente ou por meio de plugins. E embora seja possível fazer backups manualmente, e sou de opinião de que quem trabalha com WordPress deve saber fazê-lo, a melhor opção é sempre recorrer ao uso de plugins especializados para tal de modo a poupar tempo.
Existem vários plugins que lhe poderão auxiliar no backup do seu site, tais como: BackupBuddy, BackWPup, BackupWP, Updraft. É só instalar um desses plugins e começar a fazer os backups do seu site num intervalo determinado por si, tanto para o seu computador, email, FTP, Google Drive, e outros.
8. Usar Um Plugin De Segurança
O processo de proteção de WordPress é um processo relativamente complexo e enquanto que existem aspectos que podemos tratar deles de forma manual, há momento que é necessário recorrermos a plugins para nos auxiliarem.
Os plugins não substituem aquilo que é de sua responsabilidade fazer, eles sim servem de mecanismos auxiliadores de modo a facilitarem e acelerarem o processo técnico que não é desprovido de suas complexidades.
Devido a alguns aspectos avançados que muitos de nós que não somos desenvolvedores, é importante recorrer aos plugins para fazer isso. E um desses plugins que eu recomendo e uso é o Ithemes Security. Instale-o e faça as configurações necessárias no plugin.
Esse plugin é grátis, mas também tem a versão premium que acredito que leva a segurança do seu site para uma dimensão maior.
9. Alterar o Prefixo Da Base De Dados
Muitos dos aspectos que cobri acima estão relacionados com a prevenção do seu site sem ter que sair do painel administrativo. De agora em diante falarei sobre aspectos externos de prevenção, isto é, fora do painel de administração do WordPress.
Uma das componente de proteção do WordPress é a base de dados, ela alberga toda a informação que se encontra no seu site, incluindo alguns plugins que criam tabelas dentro da base de dados. A base de dados do WordPress geralmente tem o prefixo WP_, e isso é sabido por todos incluindo os hackers.
Isso porque normalmente o WordPress vem com o table_prefix: wp-, e muitos por definição assumem que todas as instalações do software usam esse prefixo. Para evitar isso, é importante alterar o table_prefix: wp_ , para algo diferente. Isso chama-se segurança por obscuridade.
Com esta alteração será possível impedir os hackers de fazerem uma SQL Injection dentro da sua base de dados no caso do seu servidor estiver comprometido.
10. Instalar Psalts
O outro nível de proteção do WordPress está relacionado com os PSALTS, estes podem ser encontrados no ficheiro WP_CONFIG.PHP. Este é o ficheiro mais importante do WordPress, porque ele alberga toda informação de acesso à sua base de dados principalmente.
Os PSALTS são a chave de segurança do WordPress, elas são um conjunto de varáveis que servem para encriptar a informação guardada nos cookies do utilizador.
Para obter a sua chave de segurança visite este link: https://api.wordpress.org/secret-key/1.1/salt/
11. Desactivar Os Ficheiros De Edição
Tanto os temas assim como os plugins, ambos têm os seus ficheiros de edição que permitem editar tanto plugins assim como os temas dentro do painel administrativo. Enquanto isto não lhe protege de ataques, mas é também uma forma de prevenção.
Isso porque no caso de ataque e penetração no seu site, o primeiro lugar onde os hackers vão querer modificar é onde estão os ficheiros de edição. Portanto, é importante desactivar esta funcionalidade de modo a que ninguém possa editar plugins ou temas através dos ficheiros de edição no painel de administração.
Para tal é aceder ao arquivo wp-config.php através de FTP ou Fantastico e inserir o seguinte código, antes do lugar onde diz, É TUDO PODE PARAR DE FAZER MUDANÇAS.
12. Faça Um Scan No Seu Site Para Ver Se Tem Malware
De vez em quando é importante fazer um scan do seu site para ver se o seu site foi comprometido por malware ou não. Felizmente existem muitas ferramentas online que permitem fazer isso de forma grátis. Uma dessas ferramentas pode se encontrar no sucuri.net, basta visitar este link e colocar o url do seu site para começar a scanar e procurar por malware.
13. Use Um Serviço de Gerenciamento
Devido ao constante crescimento do ecossistema do WordPress e a complexidade de manutenção, aliados ao uso da plataforma, têm surgido nos últimos anos vários serviços de gerenciamento, segurança e manutenção de WordPress.
Entre eles destacam-se serviços tais como ManageWP, InfiniteWP, Ithemes Sync, e muitos outros serviços que monitoram, fazem backups, e até permitem fazer actualizações do seu site sem que você tenha que entrar no painel de administração do seu site.
Estes serviços são úteis principalmente se você gere mais de um site e ou trabalha como freelancer e tem sites de clientes por gerir. Usando um desses serviços ajuda a poupar tempo e a necessidade de ter que entrar em cada um dos sites para fazer actualizações, backups, etc.
14. Evite Instalar Temas e Plugins Grátis Apartir de Locais Desconhecidos
Existe uma abundância de temas e plugins sendo oferecidos gratuitamente na internet, contudo, é importante saber que o único lugar seguro para baixar plugins e temas grátis é no directório oficial do WordPress. Portanto, todo o plugin que é oferecido fora do directório do plugin por pessoas desconhecidas na comunidade deve ser evitado.
A única excepção é se o tema ou plugin vier de alguém que tenha a credibilidade e confiança dentro da comunidade e do ecossistema do WordPress.
15. Elimine Todos os Plugins e Temas Que Não Estiver a Usar
Todos nós sabemos que WordPress é o que é hoje devido não só a facilidade do uso, mas principalmente por causa da abundância de temas e plugins que permitem que possamos modificar os sites à vontade, e também alargarmos a sua funcionalidade sem limites.
E isso é possível graças aos plugins e temas que a comunidade nos oferece, contudo, não é possível e nem sempre é necessário usar todos os plugins que desejamos ou gostaríamos de usar. Um hábito que muitos têm é de instalar vários plugins e temas e depois não fazer uso deles, isso porque não é sempre necessário usá-los.
Sendo esse o caso é importante desactivar e eliminar todos os plugins e temas que não estão a ser usados no WordPress. Não há necessidade de mantê-los lá se você não faz uso deles, eles podem ser também alvos ou meios pelos quais hackers usam para penetrar no seu site, principalmente se não estiverem actualizados.
Portanto, desative e elimine todos os plugins e temas que não estão em uso no seu site.
16. Mova o Arquivo wp-config.php Para Um Directório Acima
Pode também proteger o wp-config.php movendo-o para o directório logo acima da sua instalação do WordPress. Desse modo, para sites instalados na raíz do servidor, o arquivo wp-config.php poderá ficar inacessível.
É importante notar que este directório pode também ficar apenas um nível acima da instalação do WordPress, onde se encontra a pasta wp-include
Usando o htaccess Para Proteger o wp-config.php
Uma das formas de proteger o acesso ao wp-config seria fazendo o uso do .htaccess no seu servidor. Para tal teria que inserir o código abaixo no arquivo de modo a impedir o acesso a qualquer pessoa que esteja navegando o site atrás dele:
<files wp-config.php>
order allow,deny
deny from all
</files>
Conclusão
Como pode ver existem muitas ações que devemos tomar de modo a prevenir e minimizar os ataques e infiltrações de hackers no seu site. Estas medidas não são garantia de que o seu site não será atacado, mas sim elas são medidas preventivas que todos nós devemos tomar.
Muitos dos ataques sofridos muitas vezes têm a ver com o facto dessas medidas terem sido ignoradas, mas se todos nós tomarmos estas medidas estaremos contribuindo para uma web segura.
Espero que este artigo tenha sido útil para si, tenha a liberdade de partilhar com os outros se achou o artigo útil.
Por Uma Internet Mais Segura!