Você já deve saber que o WordPress é o CMS mais popular, e que somos grandes defensores da plataforma. O que você talvez não saiba é que muitos desenvolvedores preferem outras plataformas (ou mesmo criar as suas próprias), argumentando que a segurança do WordPress não é das melhores.
É fato que a popularidade desse gerenciador de conteúdo colocou um grande alvo em suas costas. Além de ser o CMS mais utilizado – estando presente em quase 20% de todos os sites da internet – ele é também o CMS mais raqueado, de acordo com o relatório da Securi.
Fonte: Securi, 2017
Entretanto, é importante considerar que, frequentemente, o que torna o WordPress vulnerável é justamente a falta de cuidados por parte dos usuários. Por isso, com algumas medidas extras de proteção, você não precisará passar noites em claro, pensando se está tudo bem com o seu site.
Neste artigo, você verá algumas ações para proteger seu WordPress, assim como a importância dessas práticas para seu site. Boa leitura!
O que você vai encontrar nesse artigo:
Sempre que a questão de invasão de sites é levantada, é comum ouvirmos a pergunta “Por que um hacker invadiria meu site?”.
Muitas vezes essa invasão não tem como motivação a busca por informações pessoais, tampouco sabotagem. Um dos principais motivadores é o sequestro do seu servidor, usando-o para enviar SPAM.
Assim, eles enviam centenas de e-mails – daqueles que costumamos apagar sem nem abrir – e usam sua capacidade de servidor, gastando os serviços que contratou para sua empresa.
Além dos riscos em relação aos dados sensíveis de seu servidor, essa prática de envio de SPAM pode colocar seu servidor em uma lista de bloqueio, fazendo com que todos os emails legítimos que você envie sejam automaticamente considerados SPAM.
Por isso, se você tem uma rotina de disparos de e-mail, é fundamental que você se preocupe com a proteção de seu WordPress. Vejamos algumas medidas simples que podem colaborar – e muito – nesse propósito:
Se você é uma pessoa que gosta de senhas fáceis de lembrar, ou de usar a mesma senha para todas as suas contas, você já deve saber que está muito mais suscetível aos ataques, certo?
Tome cuidado com o uso de informações pessoais nas senhas, uma vez que essas informações muitas vezes podem ser facilmente obtidas – em redes sociais ou compras de dados vazados.
Palavras reais também não são senhas muito seguras. Busque sempre criar códigos, com letras maiúsculas, minúsculas, números e símbolos.
E, antes que você argumente que é difícil de lembrar, vale mencionar que existe muitos serviços de gerenciamento de senhas, como o 1password. Com eles, você precisa decorar apenas uma senha, e o gerenciador faz o restante do trabalho.
O mesmo vale para seu nome de usuário. Se você usa “admin”, ou o nome da sua empresa como usuário, saiba que essas serão as primeiras tentativas de qualquer pessoa que queira invadir seu WordPress.
O WordPress cria o usuário “admin” como padrão, mas você pode alterá-lo no menu “Usuários”.
// Precisa de ajuda para alterar seus usuários ou desempenhar outras funções no WordPress? Confira nossa trilha “Noções essenciais do CMS WordPress”
Se quando falamos de invasão, você imagina um hacker tentando adivinhar manualmente suas senhas, preciso te alertar que existem softwares que são configurados para tentar incansavelmente as infinitas combinações de números, letras e símbolos em busca da sua senha. São os chamados ataques de força bruta.
E se você não tem uma senha longa e complexa, pode ser que esteja sujeito a um ataque desses.
Para acrescentar uma segunda camada de segurança contra esses ataques “automáticos”, indicamos que você configure coloque limites de tentativas de senha ou um Captcha, um verificador de bots.
Você já deve estar familiarizado com a autenticação em dois fatores, que já é amplamente usada em redes sociais e serviços de Internet Banking.
Essa camada extra pede uma autorização extra após a entrada com login e senha, antes de efetivamente liberar o acesso ao seu WordPress.
No WordPress isso pode ser feito através de um Plugin!
Uma das tarefas mais básicas do WordPress, mas muitas vezes protelada, é a checagem de disponibilidade e instalação de atualizações do CMS.
As atualizações são essenciais pois podem conter melhorias justamente no fator segurança, muitas vezes motivadas por brechas identificadas pelos desenvolvedores que trabalham diretamente com WordPress.
O mesmo vale para os plugins ou temas utilizados. Dependendo da quantidade de plugins instalados em seu site, é possível que você encontre notificações de atualizações toda semana! E é importante não deixar essas atualizações passarem.
Além de ser crime, procurar por alternativas gratuitas (e pirateadas) para plugins e temas pagos pode implicar em sérios riscos à integridade do seu WordPress.
Pense por um momento: o que a pessoa que está disponibilizando o plugin pirata tem a ganhar com isso? É possível (e provável) que esses arquivos estejam infectados com malwares (vírus), ou mesmo que sejam uma forma de carregar seu site de links black hat.
Você está disposto a ter seu site invadido ou seu SEO prejudicado em troca de um plugin, ainda mais quando existem milhares de plugins gratuitos disponíveis? Acho que não…
Regularmente, mantenha sua base de dados, incluindo MySQL, salvas em um lugar seguro. Uma boa recomendação é que estejam em um HD externo e também na nuvem – preferencialmente em uma conta que sirva apenas para backups.
Se algo acontecer com seu site, seus backups podem recuperar boa parte do que já foi construído e ajudar a reverter o problema – mesmo se você não souber exatamente qual problema ocorreu.
Para realizar seus backups, indicamos a utilização de um Plugin que automatize o processo.
Aqui, utilizamos o BackUpWordPress, que gera um backup completo semanalmente e nos avisa por e-mail sempre que o backup é finalizado, assim podemos transferir o backup para um local seguro.
Para configurar o backup automaticamente basta instalar o plugin, e acessá-lo através do menu “Ferramentas > Backup”. Em configurações, pode adicionar o e-mail que será avisado e configurar o que será salvo e quando.
Como no seu computador, em que você precisa ser administrador para ter acesso às configurações do sistema, os servidores web possuem uma configuração similar.
No WordPress, para você ter acesso aos arquivos que compõem o CMS, você precisa de liberação de sistema.
Não quero entrar em muitos detalhes técnicos, mas o que você precisa ter em mente é que o código que libera o acesso total para qualquer arquivo é o 777. Se for exigido que seus arquivos tenham esse modo de permissão, evite fazê-lo, principalmente se for um usuário leigo.
As permissões para arquivos e para pastas, respectivamente, são essas: 644 e 755.
O SSL (Secure Socket Layer) era considerado ferramenta de segurança exclusiva de e-commerces e bancos, mas hoje é acessível para qualquer site.
Para entender melhor: além de transformar seu site em “https”, o certificado SSL fornece criptografia de dados, dificultando a interceptação desses dados e garantindo uma troca segura entre servidor e navegador.
Esse certificado também tem efeito para o seu público, reforçando sua credibilidade, uma vez que fica visível nos navegadores, aparecendo ao lado esquerdo da sua barra de certificação.
Por fim, a última vantagem é o impacto no SEO. Sites com essa certificação são vistos pelo Google como negócios que oferecem melhores experiências de visita e, assim, se posicionam melhor nas SERPs.
Se você é o único que possui as senhas de acesso ao seu WordPress, porque um computador de Taiwan estaria tentando entrar no seu site?
Coloque esse e todos os outros IPs suspeitos que já tentaram acesso ao seu site em uma lista-negra. Assim, seu firewall vai bloquear todas essas tentativas de lugares suspeitos.
Também é possível fazer esse bloqueio de forma preventiva, bloqueando todos os acessos que não sejam de IPs conhecidos. Só recomendamos ter cuidado caso muitas pessoas precisem ter acesso ao seu painel de administração ou esteja trabalhando de forma remota e acessando-o de lugares diferentes.
Para identificar as tentativas de acesso indevidas, você pode utilizar alguns plugins, como:
O Wordfence monitora seus visitantes em tempo real, e avisa você sobre possíveis ameaças. Com ele, você poderá bloquear acessos de outros países, auditar senhas, verificar se seu IP está sendo utilizado de forma maliciosa, entre outros.
O Login LockDown, por sua vez, grava a data e hora das tentativas falhas de login. Se muitas tentativas forem detectadas vindas de um mesmo IP, o login é bloqueado, evitando acessos por meio da força bruta.
Passamos por diversas dicas, desde as mais simples às mais técnicas sobre como aumentar a segurança no WordPress. E existem dezenas de outras dicas que podem criar uma verdadeira fortaleza ao redor de seu site. Mas, vale lembrar: é importante fazer o básico bem feito.
Afinal, nem a mais bem construída proteção será impenetrável se seu login for “admin” e sua senha “123456”. Por isso, registramos aqui os itens que acreditamos serem passos fundamentais para aumentar a segurança do seu site WordPress.
Você já teve alguma experiência negativa em relação à segurança no seu site? Ou que outras práticas usa para evitar esses problemas? Por favor, compartilhe com a gente aqui nos comentários (:
Ah! E se quiser aprofundar mais seus conhecimentos sobre o CMS, indico que conheça nossa trilha “Noções essenciais do CMS WordPress”, um mini-curso pensado justamente para mostrar como fazer o básico bem feito dentro do CMS mais utilizado no mundo. Confira o programa de ensino da trilha WordPress.
Segue a gente nas redes sociais
Conexorama Plataforma de Educação | 2024 – Todos os direitos reservados | Privacidade
Made with love [and sugar] in Floripa everywhere.