Blog, Ferramentas, Wordpress,

Segurança no WordPress: a importância de proteger seu website

Por Content em 7 de julho de 2017
WordPress é considerado vulnerável se comparado com outras plataformas, será? Confira ações para Segurança no WordPress e a importância dessas práticas.
Leitura de 7 minutos
Segurança no WordPress: a importância de proteger seu website
5 (100%) 4 votes

Sim, já falamos recentemente sobre o motivo de escolhermos o WordPress como nosso CMS. Mas sabemos que muitos desenvolvedores de sites preferem outras plataformas, argumentando sobre a (falta de) segurança do WordPress.

De fato, a popularidade desse gerenciador de conteúdo fez com que ele se tornasse extremamente visado. Porém, com as medidas certas de proteção, você não precisará passar noites em claro, pensando se está tudo bem com o seu site.

Neste artigo, você verá algumas ações para proteger seu WordPress, assim como a importância dessas práticas para seu site. Boa leitura!

Por que alguém invadiria o meu WordPress?

Uma das perguntas mais frequentes feitas sobre ciberataques é: “Por que um hacker iria querer invadir meu site?”.

Não tem nada a ver com suas informações pessoais ou destruir seu conteúdo. Um motivo principal é utilizar seu servidor para enviar e-mails de SPAM. Assim, eles enviam, no nome de seu servidor, centenas de e-mails – daqueles que costumamos apagar sem nem abrir – e  usam sua capacidade de servidor, gastando os serviços que deveriam ser para você.

Pior do que isso: muitos servidores entram nas listas negras de provedores de e-mail, sem você saber. Isso significa que o que você enviar, vai para a lixeira, automaticamente.

Por isso, se você tem uma rotina de disparos de e-mail, é preciso que você se preocupe com a proteção de seu WordPress. Vejamos algumas medidas simples que podem colaborar – e muito – nesse propósito:

Segurança no WordPress 1:
Senhas e Logins

Se você é uma pessoa que gosta de senhas fáceis de lembrar, saiba que é alvo fácil de invasores. Não coloque informações pessoais em senhas, como datas de aniversário, nem palavras com sentido completo. Hackers são experientes e vão procurar esses dados em redes sociais. Quer ver uma senha ideal para seu WordPress?

F45gh#als

Agora veja uma senha ruim:

sapinho123

Não vai ser fácil de lembrar no começo, mas com o tempo, você vai decorar com a mesma facilidade de uma senha normal.

Da mesma forma, esconder seus nomes de usuário de hackers é fundamental para evitar acessos não-autorizados. O WordPress automaticamente gera o login do administrador como apenas “admin”. Muitos hackers sabem disso e tentam se aproveitar desse costume para invadir sites. Uma ação segura, mas prática, é modificar para “suaempresa_login”.

[Extra] “Prove que você não é um robô”

Existem programas que podem tentar incansavelmente as infinitas combinações de números, letras e símbolos para descobrir sua senha. São os chamados ataques de força bruta.

E se você não tem uma senha longa e complexa, pode ser que esteja sujeito a um ataque desses. Para evitá-lo, coloque limites de tentativas de senha ou um Captcha, o verificador de que você não é um bot tentando acesso.

Segurança no WordPress 2:
Atualizar plugins e temas

Uma das tarefas mais básicas do WordPress, mas muitas vezes protelada, é a atualização do CMS. Caso alguma vulnerabilidade seja reportada no núcleo do WordPress pelos seus desenvolvedores ou usuários, é na atualização que esses problemas são resolvidos.

No mesmo sentido – e ainda mais frequente -, são as brechas dentro dos plugins e temas do WordPress, por onde atividades maliciosas podem comprometer o conteúdo de quem os utiliza. Essas atualizações devem ser constante e feitas o mais rápido possível, de preferência, sendo delegadas para alguém responsável por essa função.

Segurança no WordPress 3:
Backups frequentes

Regularmente, mantenha sua base de dados, incluindo MySQL, salvas em algum lugar seguro, no seu computador ou na nuvem. Se algo acontecer com seu site, sua estratégia de backups pode ter imagens diferentes de sua instalação completa do WordPress – mesmo se você não souber exatamente quando o problema ocorreu.

Para a rotina de backup, utilize um plugin (estamos falando de WordPress, lembre-se um dos principais motivos de usar o WP é justamente esse, essa infinidade de soluções). Nós aqui estamos utilizando o BackUpWordPress, que gerar um backup regularmente (colocamos para gerar semanalmente já que temos 2 artigos por semana no blog), e avisa um e-mail quando foi realizado o backup, de modo que assim possamos guardar em nosso dropbox.

Além de que é bem simples de usar. Depois de instalado o plugin, basta ir em Ferramentas > Backup. Em configurações pode adicionar o e-mail que será avisado e já é indicado rodar o primeiro backup. Depois entra na rotina.

Segurança no WordPress 4:
Detalhes mais avançados

Tudo o que falamos até aqui ainda poderia ser considerado básico, no melhor sentido do “você já deveria estar fazendo” (se não, corre para revisar esses pontos). Agora vamos um pouco mais fundo em nível de segurança.

Configurar corretamente permissões de arquivo

Como no seu sistema, você precisa ser administrador para ter acesso às configurações de seu computador. Em servidores Web, é a mesma coisa. No WordPress, para você ter acesso aos arquivos que compõem o CMS, você precisa de liberação de sistema.

Não quero entrar em muitos detalhes técnicos, mas o que você precisa ter em mente é que, o código que libera o acesso total para qualquer arquivo é o 777. Se for exigido que seus arquivos tenham esse modo de permissão, evite fazê-lo, principalmente se for um usuário leigo.

As permissões para arquivos e para pastas, respectivamente, são essas: 644 e 755.

Procure implementar um certificado SSL

O SSL (Secure Socket Layer) era considerado ferramenta de segurança exclusiva de e-commerces e bancos. Ele fornece criptografia de dados, dificultando a sua interceptação e garantindo uma troca segura entre servidor e navegador. Um certificado visível dessa medida, atualmente fornecida no lado esquerdo de sua barra de navegação, também oferece credibilidade a sua empresa.

Por fim, a última vantagem é o SEO. Sites com essa certificação são vistos pelo Google como negócios que oferecem melhores experiências de visita e, assim, se posicionam melhor nas SERPs. Ficou interessado por esse assunto, temos um ebook de SEO para blog que vale conferir.

Lista negra de IPs: você vai precisar

Se você é o único que possui as senhas de acesso ao seu WordPress, porque um computador do Taiwan estaria tentando entrar no seu site? Coloque esse e todos os outros IPs suspeitos em uma lista-negra. Assim, seu firewall vai bloquear todas essas tentativas de lugares suspeitos.

[Extra] Plugins para melhorar sua segurança

Para tornar sua segurança mais efetiva e amigável, trouxemos alguns plugins para você implementar em seu WordPress:

1. QR Code Authenticator (Clef like)

Com esse plugin, você pode implementar uma segunda etapa de login, para evitar que não baste apenas descobrir uma senha. A segunda etapa depende de seu celular, com um código de login por SMS, chamada de telefone ou autenticação por QR Code.

QR Code Authenticator (Clef like)

2. Wordfence

Ele monitora visitantes em tempo real, avisando seu cliente de possíveis ameaças. Com ele, você pode bloquear acessos de outros países, auditar senhas, verificar se seu IP está sendo utilizado de forma maliciosa por hackers (mandando SPAM, etc), entre outros.

Wordfence Security – Firewall & Malware Scan

3. Login LockDown

Esse plugin grava a data e hora das tentativas falhas de login. Se muitas tentativas forem detectadas vindas de um mesmo IP, o login é bloqueado, evitando acessos por meio da força bruta.

Nos últimos tempos, ciberataques são cada vez mais frequentes. Sendo assim, é essencial manter seus dados seguros, para evitar que acessos indesejados minem seus esforços em Marketing Digital.

Login LockDown

Você já usa algumas dessas dicas? Compartilhe com a gente!

Você gostou do nosso artigo? Compartilhe nas Redes Sociais!

Content

Content

Artigo produzido pela nossa equipe de Content Marketing.
Content