9 dicas de segurança para o WordPress

[et_pb_section fb_built=”1″ _builder_version=”3.22″ custom_padding=”20px|0px|54px|0px”][et_pb_row _builder_version=”3.25″ background_size=”initial” background_position=”top_left” background_repeat=”repeat” custom_padding=”20px|0px|27px|0px”][et_pb_column type=”4_4″ _builder_version=”3.25″ custom_padding=”|||” custom_padding__hover=”|||”][et_pb_text _builder_version=”4.6.5″ text_font=”||||||||” text_font_size=”20px” background_size=”initial” background_position=”top_left” background_repeat=”repeat” hover_enabled=”0″ sticky_enabled=”0″]

Pensar em segurança para sites em WordPress nunca é demais. Por mais segura que a plataforma seja e pelas constantes atualizações de correção pela equipe de desenvolvimento, há diversas medidas que podem ser tomadas para contribuir ainda mais e evitar dores de cabeça com problemas futuros.

 

1. Mantenha a plataforma atualizada

Começando pelo básico mas muito importante: manter o WordPress atualizado constantemente. Quando uma nova versão é lançada, seja versões com grandes novidades ou pequenos updates, ela traz várias correções de bugs reportados pelos usuários. Portanto, verifique a compatibilidade com plugins e temas e atualize.

 

2. Atualize os plugins e temas

Assim como o próprio WordPress, estar sempre com os plugins e temas atualizados é importante para a segurança do seu site. Desenvolvedores lançam correções e otimizações com bastante frequência, então sempre que surgir uma notificação nova de atualização no painel administrativo, confira quais são as novidades do update e execute-o.

3. Permissões de arquivos e diretórios

Por padrão os arquivos e pastas do WordPress recebem algumas permissões em nível de servidor, mas recomenda-se que sejam alteradas tais permissões para impedir o acesso à informações confidenciais e sensíveis do seu site. Você pode alterar as permissões de arquivos facilmente via SFTP ou, se preferir, por linha de comando via SSH. A seguinte tabela traz os valores recomendados para os arquivos e pastas específicos:

Arquivo/diretório Permissão
.htaccess 644
wp-config.php 644
index.php 644
wp-blog-header.php 644
/wp-admin 755
/wp-includes 755
/wp-content 755

 

4. Oculte a versão do WordPress

Uma instalação padrão do WordPress insere a metatag generator contendo a versão atual da instalação. Com a versão explícita, alguém mal intencionado poderá conhecer uma vulnerabilidade específica da versão que você estiver usando para direcionar um ataque. Ocultar tal metatag é simples, basta adicionar o seguinte trecho de código no arquivo functions.php do seu tema: 

remove_action('wp_head', 'wp_generator');

5. Limite as tentativas de logins

Impedir que qualquer pessoa com acesso à página de login possa tentar acessar uma conta infinitas vezes é uma medida de segurança importante para um site WordPress. Os motivos são óbvios: isso impede que programas automatizados tentem combinações de senhas diferentes o tempo todo até que tenha a senha certa.

Limitando as tentativas, pode ser definido uma quantidade de vezes que uma senha pode estar errada e, então, o acesso àquele usuário fica bloqueado por um determinado tempo. Essa limitação pode ser facilmente conseguia com o uso do plugin Limit Login Attempts, basta instalar e configurar.

Um plugin excelente e que cobre ainda mais funções é o WP Defender Pro. Além de limitar as tentativas, ele registra os logins incorretos, aplica boas práticas de segurança e escaneia o site em busca de vírus e malware. O plugin é pago, mas está incluso sem custo para os clientes da BlogLite (veja aqui a lista completa de plugins inclusos)

 

6. Chaves de segurança no wp-config.php

Todas as sessões de logins no WordPress são armazenados em cookies, dos quais são protegidos com base em um cálculo complexo entre um hash do nome de usuário, a senha e texto aleatório. Para manter essa proteção ainda mais elevada podemos (e devemos) inserir chaves únicas no wp-config.php. Acessando esta página você terá chaves (também chamadas de ‘salts’) geradas automaticamente para esta finalidade.

7. Faça backups com frequência

Dica importante e onipresente em qualquer post sobre segurança: cópia de segurança, o famoso backup. No WordPress não é diferente, você precisa ter sempre uma cópia dos arquivos e do banco de dados do seu site. Se acontecer alguma falha, a recuperação será mais fácil e rápida.

Há uma infinidade de plugins para WordPress que auxiliam e automatizam os backups do seu site. Você pode encontrar mais detalhes e plugins recomendados nesse nosso post sobre automação de backup. 

8. Servidor e computador pessoal seguros

Assim como o próprio WordPress, é muito importante também garantir a segurança do computador usado para atualizar o site e do próprio servidor de hospedagem do mesmo. É normal que o serviço de hospedagem ofereça backups do seu site (é o caso da BlogLite), então certifique-se de que isso está em dia.

Já com o seu computador, mantenha o sistema operacional e softwares atualizados, tenha sempre um programa antivírus para mantê-lo livre de spywares, malwares e outros riscos à máquina.

Como extra, certifique-se também de cuidar da segurança da caixa de e-mail associada a usuários com privilégio de administrador no WordPress. Afinal, se um invasor tiver acesso ao seu e-mail, é possível redefinir a senha sem esforço e ter acesso integral ao site.

Lembre-se: a segurança do seu site é tão boa quanto o elo mais fraco. Não adianta muito você cuidar da segurança do site e do servidor, mas não adotar bons hábitos pessoalmente.

9. Acesso restrito ao diretório wp-content

Na pasta wp-content estão todos os plugins, temas e uploads do seu site, então é importante adicionar uma proteção extra ao diretório impedindo o acesso direto, permitindo o acesso apenas à arquivos CSS, JavaScripts e imagens. Para isso, o seguinte trecho deve ser adicionado em um arquivo .htaccess a ser criado dentro do diretório /wp-content: 

Order Allow,Deny
Deny from all
<filesmatch ".(jpg|gif|png|js|css)$"="">
Allow from all

Estas são algumas dicas que contribuem para a segurança do seu site. Como qualquer software ou produto digital, sempre haverá riscos de invasão ou problemas do tipo, porém, é sempre bom trabalhar para que esse risco seja o menor possível.

Extra: use uma hospedagem que se preocupa com tudo isso

A forma mais eficiente de garantir que seu WordPress esteja seguro e que você não precise perder tempo com essas preocupações é usar uma hospedagem que faça tudo isso por você.

Na BlogLite, por exemplo, nós levamos segurança muito a sério. Todo site tem:

– Certificado SSL sem custo adicional (adiciona o “cadeado” ao navegador e é fundamental para a segurança do site)

– Boas-práticas de segurança específicas para o WordPress

– Scan de vírus e malware avançado e automático

– Firewall de alto desempenho em 3 camadas

– Barreira avançada contra tentativas de acesso indevidas

– Bloqueio de robôs maliciosos e contra roubo de conteúdo

– Proteção contra ataques em massa (DDoS)

– Proteção avançada contra visitantes suspeitos

Migrar para a BlogLite é o modo mais rápido e fácil de tornar seu WordPress mais seguro.

[/et_pb_text][/et_pb_column][/et_pb_row][/et_pb_section]

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *