São grandes as chances que você use o WordPress para criar um site pessoal, de empresa ou mesmo uma loja – afinal, a plataforma move mais de 30% de toda a web e é, de longe, a mais popular.

Por isso, você já deve ter ouvido falar que, assim como qualquer software, o WordPress está propenso a vulnerabilidades de segurança. De fato, por ser o sistema de gerenciamento de conteúdo mais popular, acaba também sendo alvo preferido de ataques automatizados – é o mesmo que acontece com o sistema operacional Windows, que é mais visado por ser mais popular (em comparação ao macOS, Linux, etc).

Nossa equipe tem notado, nos últimos meses, um aumento expressivo de ataques automatizados (bots) a instalações WordPress de todo tamanho. Isso é um sinal de alerta importante para todo proprietário de site, porque todo cuidado é pouco. A boa notícia é que ações simples podem melhorar substancialmente a segurança do seu site.

Versões antigas do WordPress são um risco certo

Sua versão do WordPress está abaixo da 5.0? Então seu site está exposto a cerca de 135 vulnerabilidades conhecidas e exploradas por hackers. Se seu WordPress está abaixo do 4.0, esse número salta para mais de 400, segundo um conhecido banco de dados de vulnerabilidades.

Lembre que apenas 1 vulnerabilidade já é algo sério e que exige atenção. Dezenas ou centenas, então… é como deixar uma placa de “boas-vindas” para hackers e bots maliciosos…

Felizmente, a solução é simples: mantenha o WordPress sempre atualizado. Como a comunidade de desenvolvedores é grande, vulnerabilidades são corrigidas rapidamente – às vezes em questão de horas após serem descobertas. Para sites bem atualizados, o impacto é mínimo.

Se o seu WordPress está muito desatualizado, faça um bom backup antes de atualizá-lo. Atualizações que saltam muitas versões podem gerar incompatibilidades com temas e plugins que impedem o bom funcionamento do seu site. Um backup permite voltar rapidamente ao estado anterior e avaliar o que deu errado.

Temas e plugins são potenciais portas de entrada para malware e ataques

O WordPress é conhecido por sua enorme quantidade e variedade de temas e plugins, que podem transformar uma simples plataforma em um poderoso site de membros, loja virtual, site corporativo, etc.

A questão é que a maioria desses temas e plugins são desenvolvidos por terceiros, ou seja, não são criados e garantidos pela mesma equipe que desenvolve o WordPress. Isso não é um problema – veja novamente o exemplo do Windows, em que a maioria dos programas não é desenvolvida pela própria Microsoft.

O problema é que nem todos os desenvolvedores de temas e plugins levam segurança a sério ou mantêm seus códigos sempre atualizados.

Mais frequente que não, as vulnerabilidades do WordPress vêm através de plugins com brechas de segurança. Você pode ver uma lista atualizada aqui. Nossa equipe acompanha isso de perto, e todo dia há novas vulnerabilidades reportadas.

Como esses temas e plugins não ganham atualizações frequentes necessariamente (exceto os mais populares e os pelos quais você pagou), a regra de ouro é mantê-los sempre atualizados e, caso estejam em uma lista de vulnerabilidades, desative-o e busque uma alternativa com as mesmas funções.

Se o plugin é premium (ou seja, você pagou por uma licença), procure o desenvolvedor e exija uma solução para o problema de segurança!

Agora… se o plugin é premium e você usa uma licença pirata (também conhecida como “nulled”), atenção: sua situação pode ser ainda mais grave. Não só esses plugins e temas vêm completamente sem garantia e atualizações, mas muitas vezes contêm vírus e brechas de segurança propositais. São inúmeros os casos em que um site vira um “zumbi” digital e passa a veicular anúncios de terceiros porque usa plugins ou temas pirateados.

A regra de ouro ainda prevalece: só instale temas e plugins a partir do instalador de dentro do WordPress ou baixados de desenvolvedores confiáveis (como a sempre excelente Elegant Themes, por exemplo). Não caia na tentação de baixar temas e plugins pirateados. Fazer isso é não apenas dar as boas-vindas a hackers, mas também servir um café e emprestas as chaves de casa. Em bom português: você vai ter problemas.

Sua plataforma de hospedagem não se preocupa com segurança

Isso é frequente em hospedagens comuns, que muitas vezes sequer oferecem um certificado SSL (que coloca o https no endereço). O certificado de SSL não é garantia absoluta de segurança, mas apenas o começo. Se você não tem acesso a isso, então provavelmente sua hospedagem não toma outras medidas de segurança fundamentais. Aqui, na BlogLite, todo site tem acesso a medidas como:

  • Certificado de segurança SSL em todos os sites (sem custo extra)
  • Defesa contra brute force de login (tentativas em massa para descobrir a senha)
  • Scan de malware específico para WordPress
  • Firewall de alto desempenho
  • Geobloqueio
  • Bloqueio de bots e user agents conhecidamente maliciosos
  • Defesa contra ataques DDoS (ataque em massa que visa sobrecarregar o servidor até tornar o site indisponível)
  • Atualizações automáticas e rápidas do WordPress, temas e plugins
  • Backups diários com armazenamento em nuvem externa e retenção de 1 ano completo

Nossa equipe procura complementar esse conjunto (que consideramos básico) com medidas específicas para cada caso. Não existe uma solução pronta que atenda a todos os casos, então personalizamos a segurança para cada cliente, ao mesmo tempo em que isso tudo fica completamente transparente para o administrador do site, sem aumentar a complexidade de uso. Todo o gerenciamento fica a cargo dos especialistas.

Se sua hospedagem não oferece os recursos de segurança acima, peça que eles sejam implementados ou migre seu site para um de nossos planos de hospedagem WordPress (a migração é gratuita e feita por um especialista, sempre).

Vulnerabilidades no WordPress: você deve levar a sério!

Ter o site invadido, transformado em um zumbi digital propagador de vírus ou perder dados não é algo divertido. Ao mesmo tempo, ao contrário do que muitos imaginam, não é uma realidade abstrata ou exclusiva de grandes sites: com os ataques automatizados se proliferando, qualquer instalação do WordPress pode se tornar vítima. Evite a dor de cabeça: leve a segurança a sério e certifique-se de seguir as diretrizes deste artigo. Seu sono e tranquilidade agradecem :)