Pensar em segurança para sites em WordPress nunca é demais. Por mais segura que a plataforma seja e pelas constantes atualizações de correção pela equipe de desenvolvimento, há diversas medidas que podem ser tomadas para contribuir ainda mais e evitar dores de cabeça com problemas futuros.

 

1. Mantenha a plataforma atualizada

Começando pelo básico mas muito importante: manter o WordPress atualizado constantemente. Quando uma nova versão é lançada, seja versões com grandes novidades ou pequenos updates, ela traz várias correções de bugs reportados pelos usuários. Portanto, verifique a compatibilidade com plugins e temas e atualize.

 

2. Atualize os plugins e temas

Assim como o próprio WordPress, estar sempre com os plugins e temas atualizados é importante para a segurança do seu site. Desenvolvedores lançam correções e otimizações com bastante frequência, então sempre que surgir uma notificação nova de atualização no painel administrativo, confira quais são as novidades do update e execute-o.

 

3. Permissões de arquivos e diretórios

Por padrão os arquivos e pastas do WordPress recebem algumas permissões em nível de servidor, mas recomenda-se que sejam alteradas tais permissões para impedir o acesso à informações confidenciais e sensíveis do seu site. Você pode alterar as permissões de arquivos facilmente via SFTP ou, se preferir, por linha de comando via SSH. A seguinte tabela traz os valores recomendados para os arquivos e pastas específicos:

 

Arquivo/diretório Permissão
.htaccess 644
wp-config.php 644
index.php 644
wp-blog-header.php 644
/wp-admin 755
/wp-includes 755
/wp-content 755

 

4. Oculte a versão do WordPress

Uma instalação padrão do WordPress insere a metatag generator contendo a versão atual da instalação. Com a versão explícita, alguém mal intencionado poderá conhecer uma vulnerabilidade específica da versão que você estiver usando para direcionar um ataque. Ocultar tal metatag é simples, basta adicionar o seguinte trecho de código no arquivo functions.php do seu tema:

 

remove_action('wp_head', 'wp_generator');

 

5. Limite as tentativas de logins

Impedir que qualquer pessoa com acesso à página de login possa tentar acessar uma conta infinitas vezes é uma medida de segurança importante para um site WordPress. Os motivos são óbvios: isso impede que programas automatizados tentem combinações de senhas diferentes o tempo todo até que tenha a senha certa.

Limitando as tentativas, pode ser definido uma quantidade de vezes que uma senha pode estar errada e, então, o acesso àquele usuário fica bloqueado por um determinado tempo. Essa limitação pode ser facilmente conseguia com o uso do plugin Limit Login Attempts, basta instalar e configurar.

 

6. Chaves de segurança no wp-config.php

Todas as sessões de logins no WordPress são armazenados em cookies, dos quais são protegidos com base em um cálculo complexo entre um hash do nome de usuário, a senha e texto aleatório. Para manter essa proteção ainda mais elevada podemos (e devemos) inserir chaves únicas no wp-config.php. Acessando esta página você terá chaves (também chamadas de ‘salts’) geradas automaticamente para esta finalidade.

 

7. Faça backups com frequência

Dica importante e onipresente em qualquer post sobre segurança: cópia de segurança, o famoso backup. No WordPress não é diferente, você precisa ter sempre uma cópia dos arquivos e do banco de dados do seu site. Se acontecer alguma falha, a recuperação será mais fácil e rápida.

Há uma infinidade de plugins para WordPress que auxiliam e automatizam os backups do seu site. Você pode encontrar mais detalhes e plugins recomendados nesse nosso post sobre automação de backup.

 

8. Servidor e computador pessoal seguros

Assim como o próprio WordPress, é muito importante também garantir a segurança do computador usado para atualizar o site e do próprio servidor de hospedagem do mesmo. É normal que o serviço de hospedagem ofereça backups do seu site (é o caso da BlogLite), então certifique-se de que isso está em dia.

Já com o seu computador, mantenha o sistema operacional e softwares atualizados, tenha sempre um programa antivírus para mantê-lo livre de spywares, malwares e outros riscos à máquina.

Como extra, certifique-se também de cuidar da segurança da caixa de e-mail associada a usuários com privilégio de administrador no WordPress. Afinal, se um invasor tiver acesso ao seu e-mail, é possível redefinir a senha sem esforço e ter acesso integral ao site.

Lembre-se: a segurança do seu site é tão boa quanto o elo mais fraco. Não adianta muito você cuidar da segurança do site e do servidor, mas não adotar bons hábitos pessoalmente.

 

9. Acesso restrito ao diretório wp-content

Na pasta wp-content estão todos os plugins, temas e uploads do seu site, então é importante adicionar uma proteção extra ao diretório impedindo o acesso direto, permitindo o acesso apenas à arquivos CSS, JavaScripts e imagens. Para isso, o seguinte trecho deve ser adicionado em um arquivo .htaccess a ser criado dentro do diretório /wp-content:

Order Allow,Deny
Deny from all

Allow from all

 

Estas são algumas dicas que contribuem para a segurança do seu site. Como qualquer software ou produto digital, sempre haverá riscos de invasão ou problemas do tipo, porém, é sempre bom trabalhar para que esse risco seja o menor possível.

Conhece mais alguma dica? Compartilhe com a gente nos comentários!