20 Dicas de Segurança Para WordPress

Segurança para WordPress é um assunto antigo, vasto, e que continuará a fazer correr muita tinta e objectivo de muitas discussões. O facto é que enquanto o WordPress for a solução preferida para criar websites, blogs, e todo o tipo de plataformas online, ele continuará a ser vítima de vários ataques online.

Actualmente WordPress é usado por cerca de 30% da web, isso é muita gente e esse número tende a crescer, isso também significa que WordPress é a solução mais usada para criar websites e todo o tipo de publicações online. Com esse nível de popularidade facilmente chama a atenção dos meninos maus da web.

De acordo com os dados o WordPress já sofreu vários ataques por parte de hackers, sempre explorando vulnerabilidades em plugins, temas, ou até mesmo através de ataques a força bruta de modo a tirar proveito da falta de precaução dos donos dos sites.

Com todos esses ataques que o WordPress tem estado a sofrer você deve estar se perguntando se o WordPress é seguro, o facto é que WordPress é seguro sim. Com a sua vasta equipa de desenvolvedores dedicados exclusivamente à segurança e com o apoio de uma comunidade extremamente apaixonada, segurança é algo que WordPress leva muito a sério.

Mas então porque é que sofre muitos ataques? A maioria dos ataques sofridos por WordPress não são por causa da plataforma em si, mas sim porque as pessoas que usam o WordPress é que não tem hábitos de segurança. Por essa razão, decidi escrever este artigo com o objectivo de lhe guiar mostrando vários passos que pode tomar para proteger e robustecer o seu site.

#1 Mudar o Nome de Utilizador “Admin

segurança para WordPress

Por definição o WordPress vem com o nome de utilizador “admin”, e os hackers sabendo disso quando querem atacar um site em WordPress, a primeira coisa que fazem é tentar adivinhar o nome de utilizador usando o “Admin”, por isso o primeiro passo que deve tomar como medida de segurança é alterar o nome de utilizador para algo que também não seja fácil de adivinhar.

É também aconselhável que não use o nome do seu site como nome de utilizador porque isso é óbvio e também fácil de adivinhar. Se as pessoas conseguem descobrir o nome de utilizador elas já estão um passo a frente para poderem penetrar no seu site.

#2 Criar Senhas Fortes

As senhas são o outro aspecto importante a ter em conta como medida de segurança do seu site. Muitos cometem o erro de usar senhas muito fracas e que sejam fáceis de adivinhar como por exemplo 12345, abcd, e coisas assim como essas que são óbvias. É importante saber que isso não são senhas.

A melhor coisa a fazer é criar senhas muito fortes usando a combinação de letras maiúsculas e minúsculas, números, e caracteres especiais de modo a robustecer a sua senha e dificultar o acesso ao seu site. Por definição WordPress dá senhas muito fortes para si, você pode usar ferramentas como o Lastpass e o 1Password para encriptar as suas senhas.

#3 Desabilitar a Edição de Ficheiros

O WordPress por definição permite que edite os ficheiros de plugins e do tema do seu site a partir do painel administrativo. Ora, se os hackers conseguem penetrar o seu site o primeiro lugar por explorar serão esses ficheiros onde eles irão inserir códigos maliciosos. Você precisa desabilitar a edição desses ficheiros através do ficheiro wp-config.php, inserindo o código abaixo:

define( 'DISALLOW_FILE_EDIT', true );

#4 Limitar a Tentativa de Logins

Uma das tácticas usadas pelos hackers para atacar o seu site é através de uma táctica chamada em Inglês Brute Force Atack, ou ataque a força bruta em Português. Este tipo de ataque consiste em usar bots para adivinhar o nome de utilizador e senha, e esses bots fazem isso por dezenas e até centenas de vezes seguindo um sequência de nomes e senhas pré-programadas para o efeito.

De modo a impedir que esses ataques continuem é limitar o número de tentativas de logins no seu site, isso é fácil de fazer usando um plugin como o WP Limit Login Attempts. Esse plugin é grátis e pode encontrá-lo no directório de plugins do WordPress.

#5 Mudar o Prefixo da Base de Dados

A base de dados contém toda a informação e conteúdo do seu site, se alguém consegue ter acesso a ela terá também acesso a todo o seu conteúdo. E quem sabe o que essa pessoa poderá fazer com isso, mas o facto é que você não deve permitir que ninguém tenha acesso à sua base de dados.

Uma das formas de proteger a sua base de dados é alterar o seu prefixo para um qualquer que não seja wp-, que vem por definição com o WordPress. Você pode alterar isso para um outro prefixo que não seja fácil de adivinhar.

#6 Desabilitar a Execução de Ficheiros PHP

Limitar o acesso aos ficheiros php faz com que os hackers enviem ficheiros php, e isso pode acontecer se um plugin ou tema permite o envio de ficheiro sem usar o API do WordPress, permitindo que potencialmente sejam inseridos códigos malicioso. Para desabilitar a execução ficheiros php insira o código que se segue no ficheiro .htaccess:

<Directory "/var/www/wp-content/uploads/">

<Files "*.php">

Order Deny,Allow

Deny from All

</Files>

</Directory>

#7 Desactivar XML-RPC

O XML-RPC permte conectar o WordPress ao seu smartfone, trackbacks e pingbacks quando outros sites fazem referência o teu site, e Jetpack. Mesmo sendo uma função que tem a sua utilidade para WordPress, hackers podem usar ataques a força bruta para penetrar o seu site, por isso, a melhor opção é desactivar esta funcionalidade.

Você pode desactivar essa funcionalidade usando o plugin Ithemes Security.

#8 Actualizar WordPress

segurança para WordPress

O WordPress core faz actualizações frequentes seja de segurança ou até grandes actualizações para novas versões, e sempre que isso acontece deixa algumas lacunas para traz. Se não tiver o hábito de actualizar o WordPress para a versão mais recente então tornará o seu site vulnerável. E está provado que uma das principais razões porquê sites com WordPress são facilmente comprometidos é por falta de actualização.

Por isso, é importante actualizar o seu site para a versão mais recente sempre que existir uma, não deixe o seu site vulnerável.

#9 Actualizar Plugins e Temas

segurança para WordPress

Os temas e plugins também precisam de ser actualizados sempre que há uma nova actualização por fazer. Os autores de temas e plugins fazem constantes actualizações dos seus temas e plugins, quer seja para tapar alguma vulnerabilidade ou até mesmo para trazer novas funcionalidades. Por isso é importante que sempre que houver actualizações para temas e plugins você o faça.

#10 Remover Temas e Plugins Que Não Estiver a Usar

Por vezes há temas e plugins instalados no seu site que não está a usar, a melhor coisa a fazer é desinstalar esses temas e plugins. Isso porque primeiro não faz sentido tê-los instalados no seu site e também porque eles podem conter vulnerabilidades que podem ser exploradas por hackers.

Portanto, a melhor coisa a fazer é desinstalar todos os temas e plugins que não usa.

#11 Evite Instalar Temas e Plugins de Lugares Desconhecidos

Os únicos lugares donde deve baixar temas e plugins são o directório de temas e plugins do WordPress, que é o lugar oficial e se for o caso na agência onde terá adquirido o plugin. Fora disso evite baixar e instalar plugins e temas de lugares desconhecidos, muitas vezes esses temas e plugins contém linhas de códigos suspeitos que podem comprometer o seu site. Portanto, seja prudente.

#12 Usar Certificado SSL

O uso de certificado SSL é de extrema importância para a segurança do seu site. Google por exemplo começou a penalizar sites que não tem o certificado SSL. Enquanto que antes este tipo de certificados era importante para encriptar informação de dados em sites de venda por exemplo, esse já não é o caso. Para Google todos os sites tem que ter o certificado SSL.

Isso também é muito bom para a segurança do seu site porque força a quem quer que seja a aceder o seu site através do protocolo https. O que é muito bom.

#13 Dar Acesso à Administração a Pessoas Confiáveis

O acesso a área administrativa do seu site não deve ser dado a qualquer pessoa, apenas pessoas que você confia e que são administradores do site é que devem ter acesso à area administrativa. Caso contrário apenas dê acesso a áreas restritas do site.

#14 Usar a Autenticação de Dois Factores

A autenticação de dois factores é uma das formas mais eficazes de proteger o seu site, com esse tipo de autenticação a pessoa que aceder ao site usando password seguido por uma questão, um código secreto, ou uma série de caracteres, isso será predefinido pelo dono

#15 Proteja o Ficheiro wp-config.php

O ficheiro wp-config.php é o ficheiro mais importante do seu site, ele contém informação da sua base de dados, nome de utilizador, e também a sua senha. Se alguém tiver acesso a esse ficheiro então todo o seu site estará comprometido, porque ele é que é a entrada para o seu site. Por isso, é importante protegê-lo de modo a que ninguém tenha acesso a esse ficheiro a não ser você.

Para proteger o ficheiro insira esse código no ficheiro .htaccess:

  1. # Protect wp-config Apache 2.2
  2. <files wp-config.php>
  3. order allow,deny
  4. deny from all
  5. </files>
  6. #Protect wp-config Apache 2.4
  7. <Files “wp-config.php”>
  8. Require all denied
  9. Require ip 1.1.1.1
  10. </Files>

#16 Excluir Arquivos Desnecessários do Core

Toda a instalação de WordPress contém alguns arquivos que por definição são apenas usados no momento da instalação, e outros contém apenas informação sobre o WordPress. Para além disso esses arquivos não tem nenhuma outra função no seu site e não são necessários. Por isso, a melhor coisa que pode fazer é excluí-los do seu site.

Os arquivos que deve excluir do seu site são os seguintes:

  • /wp-config-sample.php
  • /readme.html
  • /license.txt
  • /wp-admin/install.php

#17 Instalar Um Plugin de Segurança

Existem vários plugins de segurança que pode usar para proteger o seu site, eu uso e recomendo o Ithemes Security. Muitas das tácticas que recomendo neste artigo como limitar o número de logins, esconder ficheiros, alterar a página de logins, e outros podem se fazer através deste plugin.

Este plugin é grátis e você pode baixar no directório de plugins do WordPress, ele também tem uma versão paga mas muitas das funcionalidades para a proteção do seu site podem ser feitas com a versão grátis.

#18 Esconda a Página de Login de WordPress

A página de logins de WordPress é wp-admin, ou login.php, toda gente que usa WordPress sabe disso, e principalmente os hackers. O que você tem que fazer é alterar o nome da página de login, usando uma outra página que não sejam essas duas. Assim estará dificultando ainda mais a tarefa daqueles que querem invadir o seu site, plugins como Ithemes Security permitem fazer isso com relativa facilidade.

#19 Faça Backups Regulares

Fazer backups regulares do seu site é uma das principais regras de proteção e prevenção contra ataques. Na verdade os backups não servem para prevenir ataques, mas servem como mais uma camada de segurança no caso do seu site for comprometido. É importante criar backups regulares da base de dados e também de todos os ficheiros no seu site, usando plugins como BackupBuddy e Updrafts torna a sua tarefa fácil.

É aconselhável fazer backups do seu site no mínimo uma a duas vezes por semana.

#20 Remova a Versão do WordPress

A versão do WordPress que estiver a usar é visível a qualquer pessoa que procurar e estiver interessado em saber. O que acontece é que se estiver a usar uma versão com vulnerabilidades conhecidas, os hackers podem tirar proveito disso para penetrar o seu site.

É possível remover a versão do WordPress usando grande parte dos plugins de segurança, com o Ithemes Security também pode fazer isso.

Conclusão

Como pode perceber através deste artigo a segurança para WordPress é algo que deve levar a sério se quiser evitar com que o seu site seja atacado. O seu site poder não ter sido penetrado hoje, mas não significa que um dia não será atacado, quanto mais popular o seu site se tornar, mais vulnerável a ataques será.

Os hackers gostam de sites populares, por isso é importante que siga esses passos para proteger o seu site contra ataques e tenha um site seguro. Melhor é prevenir do que remediar, assim, poderá descansar em paz e sem temor do que poderá acontecer com o seu site. Seja seguro e aplique todas as regras de segurança para proteger o seu site.

About Edgar Chauque

Edgar Chaúque, também conhecido como "The Web Guy" é o fundador do TecnoFala. Ele partilha a sua grande paixão por tecnologias web aliado ao empreendedorismo. Escreve também para o edgarchauque.com e sejaempreendedor.co

Deixe um comentário

avatar
  Subscribe  
Notify of
%d bloggers like this: