12 dicas de segurança proteger seu site em WordPress

Share on facebook
Share on twitter
Share on linkedin
Share on telegram
Share on pocket
Share on whatsapp
Share on email
Share on print

Guia de Conteúdo

Sem muita enrolação, vamos logo as 10 dicas básicas para você proteger seu site em WordPress:

  1. Atualize o PHP em seu servidor
  2. Atualize seu WordPress sempre que for solicitado
  3. Atualize seus temas sempre que for solicitado
  4. Atualize seus plugins sempre que for solicitado
  5. Faça backup regulares do seu site
  6. Limite as tentativas de login e altere sua senha com frequência
  7. Instale um Firewall no seu computador e um Firewall no seu site WordPress
  8. Limite os acessos de usuário do seu site
  9. Ative varreduras de segurança
  10. Renomeie seu URL de login
  11. Use SSL
  12. Proteja seu arquivo wp-config.php

Por que eu devo atualizar o PHP do meu servidor?

Com o PHP do seu servidor atualizado, você fica menos suscetível a vulnerabilidades. A cada atualização do PHP vários problemas, especialmente de segurança, são corrigidos. Além da segurança, as atualizações de PHP refletem também em enormes ganhos de desempenho e performance do seu site.

Para saber qual é a última versão do PHP, basta visitar o site oficial da linguagem neste link.

Você verá uma tela parecida com essa:

Ulitmas versões do PHP

Veja que a última versão do PHP no momento que este print foi tirado (10 de Setembro de 2020) é o PHP 7.4.10, lançado em 3 de Setembro de 2020.

Nem sempre os servidores de hospedagem vão estar com a versão mais atualizada do PHP disponível em sua plataforma logo após o seu lançamento. Isso costuma demorar algumas semanas ou até meses.

Para saber se o seu servidor está com a última versão do PHP, basta você fazer login na plataforma do WordPress.

Se você ver a mensagem da imagem abaixo, então, será necessário fazer uma atualização de PHP no seu servidor.

Solicite o seu desenvolvedor para fazer esse procedimento. Geralmente é bem simples.

Por que eu devo atualizar o meu WordPress?

A plataforma de Worpress é desenvolvida por uma atuante e empenhada comunidade focada na melhoria contínua. Sempre que essa comunidade faz uma melhoria na plataforma ou a correção de algum bug, uma nova versão do WordPress é disponibilizada para download.

Para verificar se o seu WordPress está atualizado, basta verificar se há alguma notificação em “Updates” ou “Atualizações”. Isso geralmente fica marcado em vermelho e é visível no momento em que você loga em seu site WordPress.

A página inicial do dashboard do seu site WordPress é onde geralmente são colocados todos os avisos necessários. Abaixo, uma notificação de que o site WordPress já pode ser atualizado para uma versão mais nova:

Não se preocupe, você não precisa refazer o site do zero. O WordPress atualiza apenas os arquivos necessários ao seu próprio funcionamento interno.

Importante: antes de atualizar o WordPress, certifique que o PHP do seu servidor também está atualizado.

Por que eu devo atualizar os meu temas?

Os sites em WordPress possuem temas, que são a maneira de apresentação visual do site. Enquanto o WordPress em si é um emaranhado de códigos e relações entre a linguagem PHP e os bancos de dados MySQL, os temas são arquivos que vão determinar como o seu usuário irá ver o site. Muitos desenvolvedores criam temas personalizados para seus clientes mas a maioria utiliza-se de algum tema pronto, feito por terceiros como base do seu trabalho.

Os temas possuem características específicas, funcionalidades prontas, design específico e podem ser muito úteis para criação de sites ágeis e funcionais.

Assim como o núcleo do WordPress, existem equipes trabalhando na melhoria contínua dos seus temas (ao menos, as equipes sérias, que produzem temas profissionais) e, portanto, estão continuamente corrigindo problemas e fazendo melhorias neles.

Para atualizar um tema, fique de olho também nas notificações de “Updtes” ou “Atualizações”.

Por que eu devo atualizar os meu plugins?

Os plugins são extensões de funcionalidades no site WordPress. Eles cumprem funções muito específicas como por exemplo fazer uma galeria de fotos ou até mesmo criar todo um sistema complexo de e-commerce (como o excelente WooCommerce).

Há plugins para quase tudo no WordPress e, infelizmente, por ter uma biblioteca ampla e diversificada, muitos desenvolvedores abusam do uso de plugins na construção dos seus sites – o que acaba gerando problemas não apenas de segurança mas de performance.

Os plugins são responsáveis pela maior parte da má fama do WordPress justamente por causa disso. Não por culpa da ferramenta, mas a falta de critério e boa curadoria no uso. São eles a maior porta de entrada para vírus no site.

As dicas que damos é a seguinte:

  • Utilize a menor quantidade possível de plugins
  • Apenas utilize plugins confiáveis e de boa reputação
  • Sempre atualize os plugins, quando for necessário

Esta última dica é importante, mas não devemos menosprezar as duas dicas anteriores. Não adianta atualizar um plugin de origem duvidosa, pois seu site continuará correndo risco. Avalie, junto a um desenvolvedor confiável, a real necessidade de cada plugin no seu site WordPress. Tenha apenas plugins de boa reputação (você pode procurar em fóruns e ver o que o pessoal anda comentando sobre ele) e sempre os deixe atualizado.

Por que devo fazer backups regulares no meu site?

Você deve fazer backups sempre por precaução.

Independente da plataforma que você escolher fazer o seu site, seja WordPress ou qualquer outra forma, saiba que seu site nunca estará 100% seguro. Nem mesmo sites governamentais estão, visto que muitos deles já foram invadidos por hackers.

O backup do site é a sua melhor segurança e você pode fazer de diversas formas, desde o download dos arquivos e banco de dados (nunca se esqueça que todo conteúdo do seu site em WordPress está no banco de dados) quanto a utilização de plugins.

Um excelente plugin de backup é o All-in-One WP Migration.

Este plugin exporta o seu site em WordPress incluindo o banco de dados, arquivos de mídia, plugins e temas, sem necessidade de qualquer conhecimento técnico.
Há uma opção de aplicar um número ilimitado de operações de encontrar e substituir no seu banco de dados durante o processo de exportação. O plugin também irá corrigir qualquer
problema de serialização que possa ocorrer durante a operação de encontrar/substituir.

Além de ser um ótimo plugin para backup, ele é o melhor do mercado em migração. Caso queira trocar de servidor de hospedagem, basta você exportar seu site e importar no novo ambiente, utilizando-se do mesmo plugin.

Existe um limite para upload que pode ser resolvido na compra de uma extensão paga deste plugin.

Vale muito a pena gastar uma grana com ele, pois ele te livrará de muitas situações chatas.

Além disso, verifique se o seu servidor de hospedagem não oferece serviços de backups.

Por que devo limitar as tentativas de login e alterar as senhas no meu site WordPress com frequência?

Não deixe seu formulário de login permitir tentativas ilimitadas de nome de usuário e senha, porque isso é exatamente o que ajuda um hacker a ter sucesso. Se você permitir que eles tentem um número infinito de vezes, eles eventualmente descobrirão seus dados de login. Limitar as tentativas disponíveis é a primeira coisa que você deve fazer para evitar isso.

Você pode usar certos plug-ins especializados para limitar possíveis tentativas de logins como Login LockDown e WP Limit Login Attempts.

Além disso, ao alterar suas senhas com frequência, você diminui ainda mais as chances de um hacker invadir seu site. Embora, por “frequentemente”, não quero dizer todos os dias … uma vez em 2-3 meses seria o suficiente.

O LastPass é uma boa ferramenta que armazena seus dados de senha com segurança e também gera senhas fortes, para que você não precise inventá-las sozinho.

Por que devo instalar um Firewall no meu computador e no meu site WordPress?

Os firewalls geralmente protegem seu computador de várias ameaças online. Dessa forma, cada coisa estranha que tentar se conectar com você será bloqueada e interrompida se for suspeita.

Isso não tem nada a ver com seu site WordPress, em si, pelo menos não tem conexão direta, mas instalar um firewall em seu computador ainda vale o esforço por um motivo crucial:

Você usa seu computador para se conectar à área de administração do seu site. Assim, se o seu próprio computador foi comprometido, a sua conexão com o site também pode estar em risco.

Melhor prevenir do que remediar.

Além de instalar um firewall em seu computador, você também pode instalar ferramentas de segurança diretamente no seu site WordPress. Este tipo de firewall protege seu site contra vírus, malware, ataques de hackers, etc.

A Sucuri faz um ótimo trabalho nesse sentido, e é um dos melhores serviços de segurança para WordPress aqui.

Também existem soluções gratuitas para firewalls, como o Wordfence Security – Firewall & Malware Scan e o iThemes Security.

Por que devo limitar os acessos de usuário no meu site?

Se você não é o único usuário que tem acesso ao seu site, tome cuidado ao configurar novas contas de usuário também. Você deve manter tudo sob controle e tentar limitar o acesso de qualquer tipo a usuários que não necessariamente precisam dele.

Se você tiver muitos usuários, poderá limitar suas funções e permissões. Eles devem ter acesso apenas às funcionalidades que são essenciais para a realização de seu trabalho.

Segue os níveis de usuário do WordPress:

  • Administrador: Possui todos os direitos sobre todas as funções do site.
  • Editor: Ele pode criar e editar mensagens, páginas e mensagens de outros usuários. Ou seja, o editor pode controlar as postagens criadas por ele e as criadas por outros usuários.
  • Autor: O autor pode criar e publicar as postagens criadas por ele.
  • Colaborador: O colaborador cria as postagens, mas não pode publicá-las. A postagem só pode ser aprovada mediante aprovação de um editor ou de um administrador.
  • Assinante: O assinante é o último nível da hierarquia. Ele só pode fazer as alterações do seu perfil.

Saiba mais sobre os acessos de usuário aqui.

Force Strong Passwords também pode ajudá-lo com esse problema. Por padrão, o WordPress recomenda uma senha forte, mas não o obrigará a alterá-la se escolher uma senha fraca. Este plug-in não permitirá que você prossiga, a menos que sua senha seja forte o suficiente. Esta pode ser uma boa solução para todas as pessoas que acessam a área administrativa do site. Basicamente, é a sua única maneira de garantir que eles usem senhas fortes, assim como você.

Por que devo ativar varreduras de segurança?

As varreduras de segurança são feitas por softwares/plug-ins especializados que percorrem todo o seu site em busca de qualquer coisa suspeita. Se algo for encontrado, ele é removido imediatamente. Esses scanners funcionam como antivírus.

Para uma solução simples e acessível, você pode usar o plugin Jetpack. Além dos recursos de backup, ele também faz varreduras diárias de malware e ameaças com resolução manual (este plano é de US $ 9/mês). Alternativamente, você também pode usar CodeGuard ou Sucuri SiteCheck.

Por que devo renomear meu URL de login?

Por padrão, o URL que você usa para fazer login em seu painel é wp-login.php ou wp-admin, adicionado após o URL principal de seu site. Por exemplo, seusite.com.br/wp-login.php

E adivinhe, esses dois também são os URLs mais acessados por hackers que querem entrar em seu banco de dados.

Se você alterar esse URL, reduzirá as chances de se encontrar em apuros. Adivinhar um URL de login personalizado é muito mais difícil para os hackers.

O plugin de segurança do iThemes faz esse truque. Por exemplo, seu URL de login pode se transformar em algo como seusite.com/euquerodeixarmeusitesegurohackeraquinao. Esta é uma daquelas dicas de segurança do WordPress que é muito simples de fazer.

Por que devo usar SSL?

SSL (Secure Socket Layer) é uma ótima estratégia por meio da qual você pode criptografar seus dados de administrador.

SSL torna a transferência de dados entre o navegador do usuário e o servidor segura. Existem duas maneiras de obter um certificado SSL:

  1. Compre um de uma empresa terceirizada como RapidSSL.
  2. Solicite um ao seu provedor de hospedagem. Às vezes, isso vem como um recurso em alguns planos de hospedagem. Dependendo do seu host, é possível que você consiga um sem nenhum custo adicional.

Se estiver usando criptografia SSL, você não apenas protegerá seu site, mas também terá uma classificação mais elevada no ranking do Google. O Google favorece sites que usam SSL. Portanto, agora você tem dois motivos para aplicar esta particular de nossas dicas de segurança do WordPress.

Por que devo proteger meu arquivo wp-config.php?

O arquivo wp-config.php é um dos mais importantes, portanto, arquivos vulneráveis em seu site. Ele hospeda informações e dados cruciais sobre toda a instalação do WordPress. Tecnicamente, é o núcleo do seu site WordPress. Se algo de ruim acontecer com ele, você não conseguirá usar seu blog normalmente.

Uma coisa simples que você pode fazer é pegar o arquivo wp-config.php e simplesmente movê-lo um passo acima do diretório raiz do WordPress. Seu site WordPress não será afetado por esta mudança, mas os hackers não serão mais capazes de encontrá-lo.

Neste artigo, há excelentes dicas de como fazer a proteção do seu arquivo wp-config.php.

Resumo

Vimos que é possível criar um site WordPress blindado e a prova de hackers. No entanto, se ainda estiver inseguro com a plataforma, você pode optar pela criação de um CMS personalizado para seu site.