20 Dicas de Segurança Para WordPress
Segurança para WordPress é um assunto antigo, vasto, e que continuará a fazer correr muita tinta e objectivo de muitas discussões. O facto é que enquanto o WordPress for a solução preferida para criar websites, blogs, e todo o tipo de plataformas online, ele continuará a ser vítima de vários ataques online.
Actualmente WordPress é usado por cerca de 30% da web, isso é muita gente e esse número tende a crescer, isso também significa que WordPress é a solução mais usada para criar websites e todo o tipo de publicações online. Com esse nível de popularidade facilmente chama a atenção dos meninos maus da web.
De acordo com os dados o WordPress já sofreu vários ataques por parte de hackers, sempre explorando vulnerabilidades em plugins, temas, ou até mesmo através de ataques a força bruta de modo a tirar proveito da falta de precaução dos donos dos sites.
Com todos esses ataques que o WordPress tem estado a sofrer você deve estar se perguntando se o WordPress é seguro, o facto é que WordPress é seguro sim. Com a sua vasta equipa de desenvolvedores dedicados exclusivamente à segurança e com o apoio de uma comunidade extremamente apaixonada, segurança é algo que WordPress leva muito a sério.
Mas então porque é que sofre muitos ataques? A maioria dos ataques sofridos por WordPress não são por causa da plataforma em si, mas sim porque as pessoas que usam o WordPress é que não tem hábitos de segurança. Por essa razão, decidi escrever este artigo com o objectivo de lhe guiar mostrando vários passos que pode tomar para proteger e robustecer o seu site.
#1 Mudar o Nome de Utilizador “Admin“
Por definição o WordPress vem com o nome de utilizador “admin”, e os hackers sabendo disso quando querem atacar um site em WordPress, a primeira coisa que fazem é tentar adivinhar o nome de utilizador usando o “Admin”, por isso o primeiro passo que deve tomar como medida de segurança é alterar o nome de utilizador para algo que também não seja fácil de adivinhar.
É também aconselhável que não use o nome do seu site como nome de utilizador porque isso é óbvio e também fácil de adivinhar. Se as pessoas conseguem descobrir o nome de utilizador elas já estão um passo a frente para poderem penetrar no seu site.
#2 Criar Senhas Fortes
As senhas são o outro aspecto importante a ter em conta como medida de segurança do seu site. Muitos cometem o erro de usar senhas muito fracas e que sejam fáceis de adivinhar como por exemplo 12345, abcd, e coisas assim como essas que são óbvias. É importante saber que isso não são senhas.
A melhor coisa a fazer é criar senhas muito fortes usando a combinação de letras maiúsculas e minúsculas, números, e caracteres especiais de modo a robustecer a sua senha e dificultar o acesso ao seu site. Por definição WordPress dá senhas muito fortes para si, você pode usar ferramentas como o Lastpass e o 1Password para encriptar as suas senhas.
#3 Desabilitar a Edição de Ficheiros
O WordPress por definição permite que edite os ficheiros de plugins e do tema do seu site a partir do painel administrativo. Ora, se os hackers conseguem penetrar o seu site o primeiro lugar por explorar serão esses ficheiros onde eles irão inserir códigos maliciosos. Você precisa desabilitar a edição desses ficheiros através do ficheiro wp-config.php, inserindo o código abaixo:
define(
'DISALLOW_FILE_EDIT'
, true );
#4 Limitar a Tentativa de Logins
Uma das tácticas usadas pelos hackers para atacar o seu site é através de uma táctica chamada em Inglês Brute Force Atack, ou ataque a força bruta em Português. Este tipo de ataque consiste em usar bots para adivinhar o nome de utilizador e senha, e esses bots fazem isso por dezenas e até centenas de vezes seguindo um sequência de nomes e senhas pré-programadas para o efeito.
De modo a impedir que esses ataques continuem é limitar o número de tentativas de logins no seu site, isso é fácil de fazer usando um plugin como o WP Limit Login Attempts. Esse plugin é grátis e pode encontrá-lo no directório de plugins do WordPress.
#5 Mudar o Prefixo da Base de Dados
A base de dados contém toda a informação e conteúdo do seu site, se alguém consegue ter acesso a ela terá também acesso a todo o seu conteúdo. E quem sabe o que essa pessoa poderá fazer com isso, mas o facto é que você não deve permitir que ninguém tenha acesso à sua base de dados.
Uma das formas de proteger a sua base de dados é alterar o seu prefixo para um qualquer que não seja wp-, que vem por definição com o WordPress. Você pode alterar isso para um outro prefixo que não seja fácil de adivinhar.
#6 Desabilitar a Execução de Ficheiros PHP
Limitar o acesso aos ficheiros php faz com que os hackers enviem ficheiros php, e isso pode acontecer se um plugin ou tema permite o envio de ficheiro sem usar o API do WordPress, permitindo que potencialmente sejam inseridos códigos malicioso. Para desabilitar a execução ficheiros php insira o código que se segue no ficheiro .htaccess:
<Directory "/var/www/wp-content/uploads/"> <Files "*.php"> Order Deny,Allow Deny from All </Files> </Directory>
#7 Desactivar XML-RPC
O XML-RPC permte conectar o WordPress ao seu smartfone, trackbacks e pingbacks quando outros sites fazem referência o teu site, e Jetpack. Mesmo sendo uma função que tem a sua utilidade para WordPress, hackers podem usar ataques a força bruta para penetrar o seu site, por isso, a melhor opção é desactivar esta funcionalidade.
Você pode desactivar essa funcionalidade usando o plugin Ithemes Security.
#8 Actualizar WordPress
O WordPress core faz actualizações frequentes seja de segurança ou até grandes actualizações para novas versões, e sempre que isso acontece deixa algumas lacunas para traz. Se não tiver o hábito de actualizar o WordPress para a versão mais recente então tornará o seu site vulnerável. E está provado que uma das principais razões porquê sites com WordPress são facilmente comprometidos é por falta de actualização.
Por isso, é importante actualizar o seu site para a versão mais recente sempre que existir uma, não deixe o seu site vulnerável.
#9 Actualizar Plugins e Temas
Os temas e plugins também precisam de ser actualizados sempre que há uma nova actualização por fazer. Os autores de temas e plugins fazem constantes actualizações dos seus temas e plugins, quer seja para tapar alguma vulnerabilidade ou até mesmo para trazer novas funcionalidades. Por isso é importante que sempre que houver actualizações para temas e plugins você o faça.
#10 Remover Temas e Plugins Que Não Estiver a Usar
Por vezes há temas e plugins instalados no seu site que não está a usar, a melhor coisa a fazer é desinstalar esses temas e plugins. Isso porque primeiro não faz sentido tê-los instalados no seu site e também porque eles podem conter vulnerabilidades que podem ser exploradas por hackers.
Portanto, a melhor coisa a fazer é desinstalar todos os temas e plugins que não usa.
#11 Evite Instalar Temas e Plugins de Lugares Desconhecidos
Os únicos lugares donde deve baixar temas e plugins são o directório de temas e plugins do WordPress, que é o lugar oficial e se for o caso na agência onde terá adquirido o plugin. Fora disso evite baixar e instalar plugins e temas de lugares desconhecidos, muitas vezes esses temas e plugins contém linhas de códigos suspeitos que podem comprometer o seu site. Portanto, seja prudente.
#12 Usar Certificado SSL
O uso de certificado SSL é de extrema importância para a segurança do seu site. Google por exemplo começou a penalizar sites que não tem o certificado SSL. Enquanto que antes este tipo de certificados era importante para encriptar informação de dados em sites de venda por exemplo, esse já não é o caso. Para Google todos os sites tem que ter o certificado SSL.
Isso também é muito bom para a segurança do seu site porque força a quem quer que seja a aceder o seu site através do protocolo https. O que é muito bom.
#13 Dar Acesso à Administração a Pessoas Confiáveis
O acesso a área administrativa do seu site não deve ser dado a qualquer pessoa, apenas pessoas que você confia e que são administradores do site é que devem ter acesso à area administrativa. Caso contrário apenas dê acesso a áreas restritas do site.
#14 Usar a Autenticação de Dois Factores
A autenticação de dois factores é uma das formas mais eficazes de proteger o seu site, com esse tipo de autenticação a pessoa que aceder ao site usando password seguido por uma questão, um código secreto, ou uma série de caracteres, isso será predefinido pelo dono
#15 Proteja o Ficheiro wp-config.php
O ficheiro wp-config.php é o ficheiro mais importante do seu site, ele contém informação da sua base de dados, nome de utilizador, e também a sua senha. Se alguém tiver acesso a esse ficheiro então todo o seu site estará comprometido, porque ele é que é a entrada para o seu site. Por isso, é importante protegê-lo de modo a que ninguém tenha acesso a esse ficheiro a não ser você.
Para proteger o ficheiro insira esse código no ficheiro .htaccess:
- # Protect wp-config Apache 2.2
- <files wp-config.php>
- order allow,deny
- deny from all
- </files>
- #Protect wp-config Apache 2.4
- <Files “wp-config.php”>
- Require all denied
- Require ip 1.1.1.1
- </Files>
#16 Excluir Arquivos Desnecessários do Core
Toda a instalação de WordPress contém alguns arquivos que por definição são apenas usados no momento da instalação, e outros contém apenas informação sobre o WordPress. Para além disso esses arquivos não tem nenhuma outra função no seu site e não são necessários. Por isso, a melhor coisa que pode fazer é excluí-los do seu site.
Os arquivos que deve excluir do seu site são os seguintes:
- /wp-config-sample.php
- /readme.html
- /license.txt
- /wp-admin/install.php
#17 Instalar Um Plugin de Segurança
Existem vários plugins de segurança que pode usar para proteger o seu site, eu uso e recomendo o Ithemes Security. Muitas das tácticas que recomendo neste artigo como limitar o número de logins, esconder ficheiros, alterar a página de logins, e outros podem se fazer através deste plugin.
Este plugin é grátis e você pode baixar no directório de plugins do WordPress, ele também tem uma versão paga mas muitas das funcionalidades para a proteção do seu site podem ser feitas com a versão grátis.
#18 Esconda a Página de Login de WordPress
A página de logins de WordPress é wp-admin, ou login.php, toda gente que usa WordPress sabe disso, e principalmente os hackers. O que você tem que fazer é alterar o nome da página de login, usando uma outra página que não sejam essas duas. Assim estará dificultando ainda mais a tarefa daqueles que querem invadir o seu site, plugins como Ithemes Security permitem fazer isso com relativa facilidade.
#19 Faça Backups Regulares
Fazer backups regulares do seu site é uma das principais regras de proteção e prevenção contra ataques. Na verdade os backups não servem para prevenir ataques, mas servem como mais uma camada de segurança no caso do seu site for comprometido. É importante criar backups regulares da base de dados e também de todos os ficheiros no seu site, usando plugins como BackupBuddy e Updrafts torna a sua tarefa fácil.
É aconselhável fazer backups do seu site no mínimo uma a duas vezes por semana.
#20 Remova a Versão do WordPress
A versão do WordPress que estiver a usar é visível a qualquer pessoa que procurar e estiver interessado em saber. O que acontece é que se estiver a usar uma versão com vulnerabilidades conhecidas, os hackers podem tirar proveito disso para penetrar o seu site.
É possível remover a versão do WordPress usando grande parte dos plugins de segurança, com o Ithemes Security também pode fazer isso.
Conclusão
Como pode perceber através deste artigo a segurança para WordPress é algo que deve levar a sério se quiser evitar com que o seu site seja atacado. O seu site poder não ter sido penetrado hoje, mas não significa que um dia não será atacado, quanto mais popular o seu site se tornar, mais vulnerável a ataques será.
Os hackers gostam de sites populares, por isso é importante que siga esses passos para proteger o seu site contra ataques e tenha um site seguro. Melhor é prevenir do que remediar, assim, poderá descansar em paz e sem temor do que poderá acontecer com o seu site. Seja seguro e aplique todas as regras de segurança para proteger o seu site.