Blog

9 dicas de segurança para o WordPress

Pensar em segurança para sites em WordPress nunca é demais. Por mais segura que a plataforma seja e pelas constantes atualizações de correção pela equipe de desenvolvimento, há diversas medidas que podem ser tomadas para contribuir ainda mais e evitar dores de cabeça com problemas futuros.

1. Mantenha a plataforma atualizada

Começando pelo básico mas muito importante: manter o WordPress atualizado constantemente. Quando uma nova versão é lançada, seja versões de grandes novidades (como a lançada este mês) ou pequenos updates, ela traz várias correções de bugs reportados pelos usuários. Portanto, verifique a compatibilidade com plugins e temas e atualize.

2. Atualize os plugins e temas

Assim como o próprio WordPress, estar sempre com os plugins e temas atualizados é importante para a segurança do seu site. Desenvolvedores lançam correções e otimizações com bastante frequência, então sempre que surgir uma notificação nova de atualização no painel administrativo, confira quais são as novidades do update e execute-o.

3. Permissões de arquivos e diretórios

Por padrão os arquivos e pastas do WordPress recebem algumas permissões em nível de servidor, mas recomenda-se que sejam alteradas tais permissões para impedir o acesso à informações confidenciais e sensíveis do seu site. Para saber como alterar as permissões, assista este vídeo. A seguinte tabela traz os valores recomendados para os arquivos e pastas específicos:

Arquivo/diretório Permissão
.htaccess 644
wp-config.php 644
index.php 644
wp-blog-header.php 644
/wp-admin 755
/wp-includes 755
/wp-content 755

4. Oculte a versão do WordPress

Uma instalação padrão do WordPress insere a metatag generator contendo a versão atual da instalação. Com a versão explícita, alguém mal intencionado poderá conhecer uma vulnerabilidade específica da versão que você estiver usando para direcionar um ataque. Ocultar tal metatag é simples, basta adicionar o seguinte trecho de código no arquivo functions.php do seu tema:

remove_action('wp_head', 'wp_generator');

5. Limite as tentativas de logins

Impedir que qualquer pessoa com acesso à página de login possa tentar acessar uma conta infinitas vezes é uma medida de segurança importante para um site WordPress. Os motivos são óbvios: isso impede que programas automatizados tentem combinações de senhas diferentes o tempo todo até que tenha a senha certa.

Limitando as tentativas, pode ser definido uma quantidade de vezes que uma senha pode estar errada e, então, o acesso àquele usuário fica bloqueado por um determinado tempo. Essa limitação pode ser facilmente conseguia com o uso do plugin Limit Login Attempts, basta instalar e configurar.

6. Chaves de segurança no wp-config.php

Todas as sessões de logins no WordPress são armazenados em cookies, dos quais são protegidos com base em um cálculo complexo entre um hash do nome de usuário, a senha e texto aleatório. Para manter essa proteção ainda mais elevada podemos (e devemos) inserir chaves únicas no wp-config.php. Acessando esta página você terá chaves geradas automaticamente para esta finalidade.

7. Faça backups com frequência

Dica importante e onipresente em qualquer post sobre segurança: cópia de segurança, o famoso backup. No WordPress não é diferente, você precisa ter sempre uma cópia dos arquivos e do banco de dados do seu site. Se acontecer alguma falha, a recuperação será mais fácil e rápida.

Há uma infinidade de plugins para WordPress que auxiliam e automatizam os backups do seu site. Você pode encontrar mais detalhes e plugins recomendados nesse nosso post sobre automação de backup.

8. Servidor e computador pessoal seguros

Assim como o próprio WordPress, é muito importante também garantir a segurança do computador usado para atualizar o site e do próprio servidor de hospedagem do mesmo. Muitas empresas fornecem a hospedagem de sites por um custo mensal ou anual e, na maioria dos casos, esses fornecedores prestam o serviço relativo à segurança do servidor.

Já com o seu computador, mantenha o sistema operacional e softwares atualizados, tenha sempre um programa antivírus para mantê-lo livre de spywares, malwares e outros riscos à máquina.

9. Acesso restrito ao diretório wp-content

Na pasta wp-content estão todos os plugins, temas e uploads do seu site, então é importante adicionar uma proteção extra ao diretório impedindo o acesso direto, permitindo o acesso apenas à arquivos CSS, JavaScripts e imagens. Para isso, o seguinte trecho deve ser adicionado em um arquivo .htaccess a ser criado dentro do diretório /wp-content:

Order Allow,Deny
Deny from all
<FilesMatch ".(jpg|gif|png|js|css)$">
Allow from all
</FilesMatch>

 

Estas são algumas dicas que contribuem para a segurança do seu site. Como qualquer software ou produto digital, sempre haverá riscos de invasão ou problemas do tipo, porém, é sempre bom trabalhar para que esse risco seja o menor possível. Conhece mais alguma dica? Compartilhe com a gente nos comentários!

Deixe um comentário

Hospede seu projeto em WordPress com alto desempenho