Dicas de segurança para WordPress: Como evitar que o seu site seja invadido
O WordPress é a plataforma mais usada para criação de sites e gerenciamento de conteúdo — estima-se que 1 a cada 3 sites da web utilizem essa solução. Ser popular, porém, transforma o WordPress em um alvo: a plataforma é uma das mais atacadas por hackers e invasores.
Muita gente acredita que esses problemas de segurança no WordPress são comuns por causa da vulnerabilidade de uma plataforma de código aberto. Mas se engana quem pensa assim: por ser aberta, ela conta com milhares de colaboradores individuais, além de uma equipe de segurança, que dedicam seus esforços para proteger o sistema, que é uma prioridade para os usuários.
Isso não significa, porém, que você esteja imune a ataques. Aliás, não existe site ou software 100% seguro. Mas é possível minimizar as chances de ter seu site invadido e hackeado.
A seguir, vamos listar as principais dicas de segurança para WordPress que você pode adotar para proteger seu site dos ataques mais comuns. Acompanhe agora:
Mantenha o WordPress, plugins e temas atualizados
Uma das principais formas de vulnerabilidade é a desatualização e a falta de manutenção do sistema. Muitas vezes, plugins, temas e o próprio WordPress têm falhas em versões antigas — corrigidas nas versões posteriores — que deixam as portas abertas para ataques.
Por isso, é importante manter todo o sistema do site atualizado. Desde a versão 3.7, o WordPress pode ser atualizado automaticamente. Você também pode desabilitar essa função se preferir fazer manualmente — nesse caso, é preciso acompanhar as atualizações.
Para temas e plugins, você pode acessar Dashboard > Updates e conferir o que precisa ser atualizado.
Escolha plugins e temas confiáveis
Outra brecha que você pode abrir para os invasores é usar temas e plugins para WordPress de fontes duvidosas. Eles podem representar um risco quando são desenvolvidos sem os devidos cuidados de segurança ou com o único intuito de causar danos aos sites.
Isso é comum de acontecer quando usuários utilizam plugins e temas "nulled". Eles são oferecidos por um valor menor que a versão oficial, em sites de terceiros, mas muitas vezes são infectados com malware. Aqui, vale a máxima de que o barato sai caro.
Portanto, utilize apenas plugins e temas WordPress de fontes confiáveis, oferecidos pelos desenvolvedores em sites oficiais e com boas avaliações da comunidade.
Cuide da segurança dos dispositivos de acesso
Os computadores e celulares que têm acesso ao administrador do WordPress também precisam ser seguros. Então, mantenha os seus próprios dispositivos livres de vírus. Se há mais de um administrador, garanta que todos adotem políticas de segurança para seus equipamentos.
Kaspersky e BitDefender sempre estão entre na frente nos testes internacionais de melhores antivírus, escolha o que melhor se adaptar, mantenha atualizado e faça verificações frequentes.
Utilize certificados SSL
Uma medida essencial de segurança para WordPress é a adoção do certificado SSL (Secure Socket Layer). É possível adquiri-lo por preços acessíveis de empresas dedicadas ou até utilizar um SSL gratuito.
Esse certificado de segurança protege os dados ao garantir que toda comunicação do usuário com seu site seja criptografada. Dessa forma, o site adota o protocolo HTTPS (Hyper Text Transfer Protocol Secure), que é utilizado pelos principais navegadores para mostrar ao usuário que aquele site é seguro.
Essa também é uma medida de SEO, já que afeta o posicionamento do site nos buscadores. O Google já assumiu que o protocolo HTTPS é um dos fatores de rankeamento do seu algoritmo.
Fuja de logins e senhas comuns
Usar senhas fortes já é uma prática comum em qualquer cadastro de usuário na web. No caso da criação de sites, essa medida é essencial para proteger o acesso ao painel de administração do WordPress e à hospedagem do site.
Portanto, utilize uma combinação de números, letras maiúsculas e minúsculas e caracteres especiais e procure atualizar a senha periodicamente. Se há uma equipe de administradores, você pode usar um plugin de WordPress que force os usuários a criarem senhas fortes.
O acesso também pode ser protegido com a mudança do nome de usuário e da URL da página de login. Por padrão, o nome de usuário é "admin" e a URL da página contém "/wp-admin.php" ao final. Mas isso facilita o trabalho dos invasores. Então, você pode trocar o nome (utilizar seu e-mail, por exemplo) e personalizar essa URL.
Outra forma de garantir a segurança do login é usar a Autenticação de Dois Fatores (2FA). Com ela, o usuário precisa passar por dois passos de login, que podem ser a senha regular e uma pergunta ou um código secreto. Existem plugins para isso, como o Google Authenticator.
Limite o número de tentativas de login
Limitar o número de tentativas de login é uma forma de evitar os ataques de força bruta. Eles consistem na verificação sistemática de todas as possíveis senhas de acesso até que a correta funcione — como se estivesse testando todas as chaves de um chaveiro para abrir uma porta.
Os plugins de segurança para WordPress costumam incluir essa função, que impede tentativas repetidas de login e notifica o administrador sobre essa atividade.
Você também pode impedir tentativas não autorizadas de login ao restringir os IPs com acesso ao WordPress. Por meio de um código, é possível incluir quantas permissões quiser. Essa medida só não é recomendada para quem utiliza um endereço de IP dinâmico.
Proteja a tabela do banco de dados do WordPress
Como já vimos, o WordPress utiliza padrões de nomenclatura que facilitam o trabalho de hackers. Esse é o caso também do nome da tabela do banco de dados, que adota o prefixo "wp-table". Esse padrão, no entanto, torna o site propenso a ataques de injeção de SQL. Então, o recomendado é alterar esse prefixo, o que pode ser feito com um plugin.
Além disso, também é importante fazer backups regulares dos arquivos e do banco de dados. Com essa medida, se você tiver qualquer problema com o site, pode restaurá-lo rapidamente para um estado anterior.
Cuide da segurança da hospedagem
Garantir a segurança para WordPress também diz respeito ao servidor de hospedagem do site. Ele precisa ser hospedado em um ambiente seguro, protegido de ataques e vírus e, no caso de hospedagem compartilhada, isolado de outros usuários para não ser infectado. Por isso, é importante contratar uma hospedagem segura para o seu site.
Além disso, você pode proteger o servidor de hospedagem com um WAF (Web Application Firewall), que funciona como uma barreira aos ataques antes que os invasores cheguem aos servidores.
Enfim, agora você já conhece as principais dicas de segurança para WordPress. Algumas medidas podem ser adotadas mudando comportamentos, como o uso apenas de plugins confiáveis. Outras exigem aplicação de códigos, certificados e plugins para proteger o site de ataques.
Mas todas as medidas são facilmente aplicáveis, mesmo que você não seja especialista no assunto. Então, comece a cuidar da segurança do seu site para não correr riscos.
Agora, se você tem alguma dúvida ou quer deixar alguma dica de segurança para WordPress, deixe seu comentário logo abaixo.
Conteúdo produzido em parceria com Denilson Marcos, especialista em segurança de sistemas na BH Tech Informática.
- Blog/
Cadastre-se e teste o JivoChat agora mesmo!