Confira a lista com as principais ameaças e dicas para melhorar a segurança geral de seu site.
A popularidade do WordPress é uma faca de dois gumes, pois torna a plataforma vulnerável. Se um hacker encontrar uma brecha, ele pode potencialmente invadir milhares de sites. Os robôs estão constantemente vasculhando a web em busca de sites vulneráveis. Portanto, proteger wordpress de ataques é uma questão essencial hoje!
O WordPress é uma das ferramentas de criação de sites mais populares do mundo e por um bom motivo. Afinal, suas vantagens são muito numerosas: é gratuito, de código aberto e tem uma enorme comunidade.
Portanto, é essencial proteger WordPress de ataques antes ou logo depois de ficar online. Siga nossas recomendações abaixo e você limitará o risco de seu site ser hackeado!
São pequenas dicas simples e fáceis, mas relevantes, especialmente aquelas sobre chaves de segurança, nomes e caminhos de interface, banco de dados e plugin de segurança WordPress. Confira!
1. Atualize o WordPress
Quando você faz login em sua interface de administração, a mensagem de atualização disponível para o WordPress aparece na tela? Se sim, obviamente você deve clicar nesse link assim que tiver 2 minutos para atualizar.
Falamos isso porque você também pode ter muitos motivos para não querer atualizar a instalação do WordPress, como, por exemplo:
- Não tem certeza se o seu tema personalizado incrível será compatível com a versão mais recente;
- Medo de travar seu site e ter que refazer toda a instalação do WordPress.
Então, existe o risco de que a atualização dê errado, mas usar uma versão antiga do WordPress significa continuar a usar uma versão que tem falhas conhecidas. Como dissemos, os robôs estão navegando na web procurando por elas, e mais cedo ou mais tarde eles vão tropeçar no seu site desatualizado!
Você tem a escolha entre atualizar o WordPress com baixo risco de algo dar errado e, assim, proteger wordpress de ataques ou não fazer as atualizações com a certeza de que um dia um robô passará por ele. Escolha corretamente!
2. Atualize os plugins e o tema
Pelo mesmo motivo que você precisa atualizar o WordPress, precisa atualizar os plugins do WordPress. Afinal, plugins são scripts que se conectam ao banco de dados do WordPress e podem, portanto, modificá-lo ou excluí-lo.
Certifique-se de que eles também estão sempre atualizados. Idem para o seu tema WordPress!
3. Proteja a interface de administração
Não torne isso fácil para os hackers! Eles conhecem muito bem o WordPress e sabem que, para se conectar, é necessário acessar, em 99% dos casos, o wp-admin ou o login.php.
Para proteger WordPress de ataques, você deve impedir o acesso direto a esses arquivos ou diretórios e, assim, evitar uma grande quantidade de bots à procura de WordPress mal protegido.
Para fazer isso, recomendamos que utilize o melhor plugin de segurança WordPress, Rename WP-login.
4. Renomeie a conta do administrador
Da mesma forma, por padrão, o apelido da sua conta de usuário principal é “admin”. Altere-o e não mostre seu apelido como o nome do autor de seus artigos no site. Seja criativo!
Recomendamos, inclusive, que você crie outro usuário com direitos de administrador e, em seguida, exclua sua conta de administrador anterior. O apelido básico Admin tem o ID 1. Com essa técnica, seu ID será diferente de 1.
5. Use uma senha única e complexa
Alguns bots usados por hackers tentarão encontrar sua senha com os chamados ataques de “força bruta”. Para fazer isso, eles testam todas as senhas em uma longa lista que possuem. E nem é preciso dizer que “123456789” ou “senha” não durarão muito!
Na medida do possível, tente colocar uma senha diferente das que você usa em outros lugares, para que se a senha do seu site WordPress for encontrada, o hacker não conseguirá acessar seu host, caixa de e-mails etc.
Existem sites que permitem a você criar senhas complexas e exclusivas por site, vale a pena conferir!
6. Use a conta de administrador apenas quando necessário
No WordPress, há muitas coisas que você pode fazer com uma conta de editor simples: escrever artigos, adicionar arquivos à biblioteca de mídia… E você deve sempre executar essas ações a partir de uma conta de editor, porque quando você está logado como administrador o seu site está mais vulnerável: você pode ser atacado de outra forma (cookie / roubo de sessão, por exemplo).
Os códigos maliciosos, se conseguirem se instalar no seu site, serão executados com mais privilégios. Isso é particularmente verdadeiro se você estiver usando outro computador: você não sabe se o computador deste cybercafé não está infectado, cheio de keyloggers. Então não conecte a sua conta de administrador nele, prefira conectar no editor.
Para resumir: você só deve se conectar à conta do administrador a partir de uma máquina segura e fazer alterações no site que só podem ser feitas pelo administrador. Se você deseja modificar ou postar um artigo, você se conecta a uma conta de editor.
7. Faça backups regulares
Apesar de seus melhores esforços para proteger WordPress de ataques, um acidente ainda é possível. O acidente pode não estar ligado a um hacker, uma falha do disco rígido do seu host é, por exemplo, sempre possível – ou mesmo um erro cometido por você.
Para evitar isso, só há uma solução: fazer backup. Assim, duas opções estão disponíveis para você:
- Faça backup manualmente de todos os seus arquivos contidos em wp-content e de seu banco de dados em formato sql;
- Use um plugin para realizar backups agendados. Há muitos, como o BackWPup. Ele permite que você agende backups diários que serão salvos em seu Dropbox, FTP ou conta de e-mail)
8. Defina as chaves de segurança no arquivo wp-config
O WordPress permite que você insira chaves de segurança do WordPress no arquivo wp-config.php. A maioria das pessoas não o faz e deixa a frase padrão. Isso é um erro que pode te custar caro!
Mais uma vez, ao fazer isso, você facilita para os hackers. Então, se você não tem ideia de como fazer, o WordPress fornece um gerador de chave aleatória que você só precisa copiar para os locais apropriados em seu arquivo.
9. Use um scanner de vulnerabilidade de segurança
Existem plugins que podem escanear seu site, detectar o que eles acham que é uma falha de segurança no WordPress e sugerir maneiras de consertá-la. Um dos favoritos é o iThemes Security. Ele protege você contra ataques de força bruta e bane uma série de bots que foram detectados.
10. Tenha cuidado com temas e plugins gratuitos em lojas desconhecidas
Temas e plugins gratuitos não são inerentemente perigosos, mas podem ser, especialmente se forem encontrados em sites pouco conhecidos: 80% oferecem partes criptografadas de seu código-fonte.
Muitas vezes isso é inofensivo, mas às vezes é mais sério. Um tema ou plugin gratuito pode instalar um backdoor em seu site e ser usado para postar spam. Portanto, dê preferência a fontes confiáveis, como o site oficial do diretório de plugins do WordPress.
11. Ocultar o número da versão WP
O site precisa ser atualizado, mas às vezes leva uma ou duas semanas antes que você perceba que uma nova versão está disponível. Uma dica para aumentar um pouco a segurança WordPress é não deixar o hacker saber que você não está usando a versão mais recente do WordPress.
Ao ocultar sua versão, você tornou um pouco mais difícil de ser alcançado. Para fazer isso, exclua o arquivo readme.html na raiz do seu WordPress e, no arquivo functions.php, adicione a seguinte linha:
- remove_action (“wp_head”, “wp_generator”);
12. Ocultar erros de conexão
Enquanto você está no arquivo functions.php, aproveite a oportunidade para ocultar os erros de conexão. Na verdade, por padrão, o WordPress exibe a mensagem de que a senha está incorreta ou o nome de usuário está incorreto.
O hacker, portanto, sabe se encontrou o identificador de conexão correto. Basta adicionar a seguinte linha ao final do arquivo mencionado para tornar o erro menos explícito.
- add_filter (‘login_errors’, create_function (‘$ a’, “return null;”));
13. Altere o prefixo das tabelas do banco de dados
Por padrão, os bancos de dados que o WordPress usa têm o prefixo wp_, por exemplo, a tabela wp_comments contém todos os comentários. Se você não fez isso durante a instalação, existe o plugin Change DB prefix, que faz isso com 1 clique.
14. Desative o editor de arquivos
A primeira ferramenta que um hacker usará uma vez em seu site é o painel de administração do WordPress. A partir deste painel, qualquer administrador tem a possibilidade de modificar todos os arquivos do site desde o editor, para que ele possa executar o código.
Você pode facilmente desabilitar essa possibilidade adicionando esta linha em seu arquivo config.php:
- define (‘DISALLOW_FILE_EDIT’, true);
15. Defina as permissões de acesso ao arquivo
Com o seu cliente FTP, defina as permissões de acesso aos arquivos do WordPress da seguinte forma:
- As permissões devem ser definidas como 0755 para pastas e como 0644 para arquivos
Dessa forma, um hacker não será capaz de explorar o gerenciamento deficiente de direitos para assumir o controle de seu site. Além disso, permissões definidas incorretamente podem causar problemas para atualizar seu site ou instalar um plugin.
Existem milhares de outras coisas que poderíamos ter mencionado, algumas dizem respeito a sites em geral (portanto, seu host deve usar uma versão recente de PHP, um banco de dados recente, …), mas, em resumo, seu site nunca será 100% ” seguro “.
Portanto, faça o máximo de backups possível e siga essas recomendações, assim você evitará a maioria dos riscos e poderá colocar seu site de volta no lugar rapidamente se ele for corrompido.
Confira nosso Webinar completo: Como manter meu site Word Press seguro
Esperamos que essas dicas de segurança wordpress tenham ajudado! Não deixe de conferir outros artigos sobre o tema em nosso Blog.