Segundo dados do W3techs, 29,3% de todos os sites na web usam WordPress, o que representa uma cota de 60% do mercado de CMSs. Motivos para tamanha popularidade não faltam: a enorme comunidade, os milhares de plugins e temas e a facilidade em trabalhar com o CMS. Assim como um popstar está exposto aos paparazzis, o WordPress é alvo de hackers que tentam de alguma forma atrapalhar o sucesso do nosso querido WP. Sorte a sua que manter a segurança do seu WordPress não é nenhum desafio para os mais experientes programadores.
Separamos algumas dicas de segurança para seu WordPress que você pode colocar em prática e deixar suas páginas ainda mais seguras. Confere aí 😀
Backup atualizado sempre
“O seguro morreu de velho” já dizia o dito popular. Por isso, manter o backup atualizado do seu site é fundamental. Caso ocorra algum problema seu backup está lá para salvar você.
Alguns itens essenciais que você deve salvar:
- Banco de dados;
- Todos os arquivos do site (plugins, temas, uploads);
- Arquivo .htaccess;
- Arquivo robots.txt;
- Contas de e-mail;
- Subdomínios;
- Entradas personalizadas de DNS;
- Senhas de acesso.
Mantenha o WordPress, plugins e temas atualizados
Outra dica básica é sempre estar com a versão do seu WP atualizado. O mesmo vale para seus plugins e temas. As atualizações, além de atualizar, melhorar o desempenho e inserir novos recursos, servem também para corrigir potenciais vulnerabilidades que podem ser exploradas por hackers.
Crie uma rotina de atualizações constante para seu WP, com isso você garante que várias portas para intrusos sejam fechadas.
Senha forte e dupla autenticação
Um dos ataques mais comuns ao WP são os de força bruta, ou seja, a tentativa de combinar o nome de usuário e a senha de acesso. Para evitar que isso aconteça com seu site duas ações são importantes: uma senha forte e dupla autenticação de login.
Ter uma senha forte não é importante no WordPress, mas na vida. Segundo dados da SplashData, as três senhas mais usadas no mundo continuam sendo 123456, seguida de password, 12345678 e qwerty.
Para fugir do padrão mundial de senhas você pode seguir algumas dicas:
- Sua senha deve ter no mínimo dez caracteres;
- Utilize caracteres maiúsculos e minúsculos, além de caracteres especiais (ex.: !, #, %);
- Utilize palavras concatenadas a números e a sinais de pontuação (ex.: “te5T@ando!”);
- Evite usar senhas com informações pessoais como número de telefone, endereço, data de nascimento, entre outras;
- Evite, também, o uso de palavras simples (ex.: “senha”; “computador”) e combinações de teclado (ex.: “QWERTY”; “123456”).
Além de ter uma senha forte, você deve considerar usar a autenticação em dois fatores em seus logins. Existem alguns plugins que você pode testar para criar essa barreira de proteção em seu WP, como o Google Authenticator ou o Duo Two-Factor Authentication.
Proteja seu banco de dados
Não esqueça de proteger também as informações do seu banco de dados. A dica é optar por um prefixo diferente do “wp_”, por exemplo, “mywp” ou “my_db_wp_5521”. Se o seu banco usa o prefixo “wp_” você deve considerar realizar a troca.
Definir as permissões corretas
Outra dica superimportante é considerar as permissões corretas para os arquivos gerais ( wp-config.php, debug.log e pastas) com as devidas permissões, para não comprometer o funcionamento do sistema.
Considere as permissões para os arquivos da seguinte forma:
-
- Permissão 644 para os arquivos;
- Permissão 755 para os diretórios;
- Remover arquivos sem usuários;
- Permissão 600 no wp-config.php;
- Permissão 600 para o arquivo debug.log.
Excluir arquivos desnecessários do core
Excluir arquivos desnecessários do WP é outra forma de evitar ataques, isso porque alguns arquivos expõe a versão da plataforma que está em uso e com isso acabam facilitando alguns ataques.
Os arquivos do core do WordPress que precisam ser excluídos são:
- /wp-config-sample.php
- /readme.html
- /license.txt
- /wp-admin/install.php
Não use o usuário admin
Outra dica básica é não utilizar o usuário “admin”, pois é um usuário com permissões de administrador e um dos primeiros alvos a ser tentado pelos hackers. Você pode renomear ou remover esse usuário para diminuir as chances de ataques.
Limite o número de tentativas de login
Uma forma de impedir que seu site seja invadido por força bruta é limitar a quantidade de tentativas de login. Para isso você pode instalar o plugin Login LockDown e limitar a quantidade de tentativas que um usuário pode realizar.
Segurança da hospedagem
Você deve garantir que a segurança do seu WordPress seja completa em todos os níveis da sua aplicação: sua página, a hospedagem e o servidor. Por isso, além de seguir todas as dicas de segurança em seu WP é importante que você certifique-se que tanto a sua empresa de hospedagem, quanto o servidor em que seu site estará, estejam seguros e atentos a possíveis vulnerabilidades.
Por isso, quando for escolher a sua hospedagem, você deve levar em consideração as ações que o hosting realiza para manter sua aplicação segura.
Plugins de segurança WordPress
Existem algumas opções de plugins que ajudam a manter seu site WordPress seguro. Você pode testar algumas opções, como:
- WP Security Scan: escaneia seu site em buscando vulnerabilidades. Quando encontra alguma ele sugere ações corretivas.
- Login LockDown: analisa e registra os endereços de IP que falharam na tentativa de fazer login no seu site. Quando ele registra um número considerável de falhas, o plugin bloqueia a caixa de login para o usuário.
- Wordfence Security: mostra se algum arquivo da página foi alterado. Além disso, enviar alertas por e-mail quando algum plugin está com atualização pendente ou quando há tentativa de acesso por pessoas não autorizadas.
Se você curtiu esse post, acreditamos que vai adorar esses conteúdos:
Antes de aplicar todas as medida de segurança em seu site WordPress não se esqueça de cadastrar seu e-mail para receber em primeira mão todas as novidades do nosso blog 😉