A plataforma WordPress é uma das melhores opções para quem deseja ter blogs e sites, oferecendo muitos benefícios para edição de temas e conteúdos e atraindo, assim, uma grande base de usuários. Isso infelizmente faz com que a comunidade WordPress seja alvo de ataques, deixando blogueiros sem acesso ou com suas páginas fora do ar. Existem algumas dicas que cada usuário pode seguir para garantir a segurança da sua página no WordPress, vamos conferí-las:
Versões do WordPress
Essa é uma das principais precauções que você pode tomar para garantir a segurança do seu site. O WordPress lança atualizações do seu software com frequência, desde a versão 2.7 essas atualizações são automáticas. É muito importante que você atualize o WP sempre que surgir uma nova versão, pois essas atualizações podem conter correções para problemas de segurança e vulnerabilidades.
Você pode acompanhar o lançamento de atualizações pelo próprio painel do seu WordPress, então fique de olho nas novidades.
Outra precaução é não divulgar a versão do WordPress. Essa é uma dica da Escola de WordPress, que afirma que, sabendo a versão da sua plataforma, pessoas podem atacar vulnerabilidades específicas.
Controle de usuários admin
Quando você faz uma instalação de WordPress, o usuário criado por padrão é chamado de Admin. Isso é um prato cheio para realiza ataques de força bruta, pois saber o usuário já é metade do caminho para conseguir o acesso não autorizado. Por isso, troque o nome do usuário para outro mais complexo, como joao.silva, gerenciador, my.admin, entre outros.
Trocar o usuário é o primeiro passo para garantir a segurança. Para reforçar a proteção aos administradores do seu site, evite que o nome dos usuários apareça na URL das postagens e sempre use senhas fortes.
Isso vale para o banco de dados também: o usuário e o banco de dados também não podem conter um nome ou prefixo padrão. O ideal é sempre colocar um prefixo da tabela que não seja comum e um nome de banco e usuário que não sejam o padrão. Por exemplo, no caso do site redehost.com.br, o banco e usuário não devem ser redehost, e deve-se evitar o prefixo das tabelas rh_.
Senhas fortes
Muitas vezes as pessoas acabam escolhendo senhas mais simples e fáceis de lembrar, principalmente para serviços que utilizam muito, como o WordPress. O problema é que senhas mais fracas são muito vulneráveis, e essa vulnerabilidade é explorada nos ataques de Bots a máquinas com WordPress instalado. É fortemente recomendado usar senhas que contenham pelo menos 12 caracteres, entre eles, números (0-9), letras e caracteres especiais (@#$%¨&$!). Assim como no nome de usuário, é igualmente importante atualizar a senha do seu banco de dados para este padrão. Se você quiser saber mais sobre como criar senhas fortes, veja esse artigo.
Uma forma de aumentar a segurança do WordPress é habilitar a autenticação em dois passos: com isso, além da senha, você deve incluir um código que pode acessar no celular e que é gerado automaticamente. Uma opção é utilizar o Google Authenticator.
Plugins e temas
Sempre tenha muito cuidado com os plugins e temas que você instala no seu WordPress: verifique que são de fontes confiáveis e que não tenham nenhuma brecha ou vulnerabilidade de segurança. Se você tem temas e plugins antigos, que não foram atualizados, atualize ou exclua-os, pois eles podem colocar seu site em risco.
Limite a quantidade de tentativas de login
Uma das formas de garantir a proteção a ataques no seu WordPress é limitar a quantidade de tentativas de login. Usando plugins como o Login Lockdown e Limit Login Attempts você consegue garantir que após um determinado número de tentativas falhadas, o IP do qual as tentativas estão sendo feitas seja bloqueado ou banido, evitando riscos.
Backup
Por último, mas não menos importante: faça backup sempre. Infelizmente, às vezes só percebemos a importância de realizar backups do site quando é tarde demais e acabam tendo que gastar com a recuperação de algum backup, caso a possibilidade de backup ainda esteja disponível. Existem alguns plugins de WordPress que facilitam essa tarefa, como BackUpWordPress, VaultPress e WordPress Backup to Dropbox. Aconselhamos que faça backup dos seus dados regularmente, incluindo seus bancos de dados MySQL.
Link permanente