WordPress é um sistema livre e aberto de gestão de conteúdo para internet, é de longe a plataforma CMS mais utilizada no planeta, baseado em PHP com banco de dados MySQL, executado em um servidor interpretador, voltado principalmente para a criação de páginas eletrônicas e blogs online de maneira simplificada.
A popularidade da plataforma traz ônus e bônus, pois de um lado temos muito material disponível na internet para aprender e utilizar, mas por outro lado o sistema é muito atacado.
A boa notícia é que podemos tornar nosso ambiente em WordPress mais seguro com passos simples. Vamos aos 10 principais, em minha opinião.
1. Mantenha seu ambiente atualizado
O WordPress recebe atualizações regulares visando melhorar a experiência do usuário, e principalmente a segurança do ambiente.
Por padrão, o WordPress instala automaticamente pequenas atualizações que não oferecem grande risco para a estabilidade do site. Para versões principais, você precisa iniciar manualmente a atualização, afinal estas atualizações podem oferecer risco de incompatibilidade com plugins ou códigos personalizados.
O WordPress também vem com milhares de plug-ins e temas que você pode instalar no seu site. Esses plug-ins e temas são mantidos por desenvolvedores terceirizados que também lançam atualizações regularmente.
Essas atualizações do WordPress são cruciais para a segurança e estabilidade do seu site WordPress. Assim sendo, mantenha sempre o sistema, os plugins e temas estejam sempre atualizados.
2. Sempre utilize senhas fortes
As tentativas de hacking mais comuns do WordPress usam senhas roubadas. Você pode tornar isso difícil usando senhas mais fortes que são exclusivas para o seu site. Não apenas para a área de administração do WordPress, mas também para contas de FTP, banco de dados, conta de hospedagem do WordPress e seus endereços de e-mail personalizados que usam o nome de domínio do seu site.
Muitos iniciantes não gostam de usar senhas fortes porque são difíceis de lembrar. O bom é que você não precisa mais se lembrar das senhas. Você pode usar um gerenciador de senhas.
Outra forma de reduzir o risco é não dar a ninguém acesso à sua conta de administrador do WordPress, a menos que seja absolutamente necessário . Se você tem uma grande equipe ou autores convidados, certifique-se de entender as funções e recursos do usuário no WordPress antes de adicionar novas contas de usuário e autores ao seu site WordPress.
3. Instale uma solução de backup do WordPress
Os backups são sua primeira defesa contra qualquer ataque do WordPress. Lembre-se de que nada é 100% seguro. Se os sites do governo podem ser hackeados, o seu também pode.
Os backups permitem que você restaure rapidamente seu site WordPress caso algo ruim aconteça.
Existem muitos plug-ins de backup gratuitos e pagos do WordPress que você pode usar. A coisa mais importante que você precisa saber quando se trata de backups é que você deve salvar regularmente os backups completos do site em um local remoto (não em sua conta de hospedagem).
Recomendamos armazená-lo em um serviço de nuvem como Amazon, Dropbox ou nuvens privadas como Stash.
Com base na frequência com que você atualiza seu site, a configuração ideal pode ser backups diários ou em tempo real.
Felizmente, isso pode ser feito facilmente usando plug-ins como VaultPress ou UpdraftPlus . Eles são confiáveis e, o mais importante, fáceis de usar (sem necessidade de codificação).
4. Instale um plugin de segurança em seu WordPress
Após os backups, a próxima coisa que precisamos fazer é configurar um sistema de auditoria e monitoramento que controle tudo o que acontece no seu site.
Isso inclui monitoramento de integridade de arquivo, tentativas de login malsucedidas, verificação de malware, etc.
Felizmente, tudo isso pode ser cuidado com o melhor plugin de segurança gratuito para WordPress, o Sucuri Scanner .
Você precisa instalar e ativar o plugin gratuito Sucuri Security . Para obter mais detalhes, consulte este guia passo a passo sobre como instalar um plugin do WordPress .
5. Instale um certificado SSL/HTTPS em seu site!
SSL (Secure Sockets Layer) é um protocolo que criptografa a transferência de dados entre o seu site e o navegador do usuário. Essa criptografia torna mais difícil para alguém farejar e roubar informações.
Depois de habilitar o SSL, seu site usará HTTPS em vez de HTTP, você também verá um cadeado próximo ao endereço do seu site no navegador.
Os certificados SSL são normalmente emitidos por autoridades de certificação e seus preços variam de US $ 80 a centenas de dólares a cada ano. Devido ao custo adicional, a maioria dos proprietários de sites optou por continuar usando o protocolo inseguro.
Para corrigir isso, uma organização sem fins lucrativos chamada Let’s Encrypt decidiu oferecer certificados SSL gratuitos para proprietários de sites. Seu projeto é apoiado pelo Google Chrome, Facebook, Mozilla e muitas outras empresas.
Agora, é mais fácil do que nunca começar a usar SSL para todos os seus sites WordPress. Muitas empresas de hospedagem estão oferecendo um certificado SSL grátis para o seu site WordPress .
6. Altere o nome de usuário padrão
Antigamente, o nome de usuário de administrador padrão do WordPress era “admin”. Como os nomes de usuário constituem metade das credenciais de login, isso tornou mais fácil para os hackers fazerem ataques de força bruta.
Felizmente, o WordPress mudou desde então e agora exige que você selecione um nome de usuário personalizado no momento da instalação do WordPress .
No entanto, alguns instaladores do WordPress com 1 clique ainda definem o nome de usuário de administrador padrão como “admin”. Se você perceber que esse é o caso, é provavelmente uma boa ideia trocar de hospedagem .
Como o WordPress não permite que você altere nomes de usuário por padrão, existem três métodos que você pode usar para alterar o nome de usuário.
- Crie um novo nome de usuário de administrador e exclua o antigo.
- Use o plugin Username Changer
- Atualizar nome de usuário de phpMyAdmin
Caso queira pode acessar este artigo para aprender como alterar corretamente seu nome de usuário do WordPress (passo a passo) .
Nota: Estamos falando sobre o nome de usuário chamado “admin”, não a função de administrador.
7. Desative a edição de arquivos pela WEB
O WordPress vem com um editor de código integrado que permite que você edite seus arquivos de tema e plug-in direto da área de administração do WordPress. Em mãos erradas, esse recurso pode ser um risco à segurança, por isso recomendamos desativá-lo.
Você pode fazer isso facilmente adicionando o seguinte código em seu arquivo wp-config.php .
12 | // Disallow file edit define( 'DISALLOW_FILE_EDIT' , true ); |
Alternativamente, você pode fazer isso com 1 clique usando o recurso Hardening no plugin de segurança gratuito mencionado acima.
8. Desative a execução de arquivos PHP em determinados diretórios do WordPress
Outra maneira de fortalecer a segurança do WordPress é desabilitando a execução de arquivos PHP em diretórios onde não é necessário, como / wp-content / uploads /.
Você pode fazer isso abrindo um editor de texto como o Bloco de notas e colando este código:
123 | <Files *.php> deny from all </Files> |
Em seguida, você precisa salvar este arquivo como .htaccess e enviá-lo para / wp-content / uploads / pastas em seu site usando um cliente FTP .
Alternativamente, você pode fazer isso com 1 clique usando o recurso Hardening no plugin gratuito que mencionamos acima.
9. Limitar tentativas de login
Por padrão, o WordPress permite que os usuários tentem fazer o login quantas vezes quiserem. Isso deixa seu site WordPress vulnerável a ataques de força bruta. Os hackers tentam quebrar as senhas tentando fazer o login com diferentes combinações.
Isso pode ser facilmente corrigido, limitando as tentativas de login que um usuário pode fazer. Se você estiver usando o firewall de aplicativo da web mencionado anteriormente, isso será resolvido automaticamente.
No entanto, se você não tiver a configuração do firewall, prossiga com as etapas abaixo.
Primeiro, você precisa instalar e ativar o plugin do Login LockDown . Para obter mais detalhes, consulte este guia passo a passo sobre como instalar um plugin do WordPress .
Após a ativação, visite a página Configurações »Bloqueio de Login para configurar o plugin.
10. Adicionar autenticação de dois fatores
A técnica de autenticação de dois fatores exige que os usuários façam logon usando um método de autenticação de duas etapas. O primeiro é o nome de usuário e a senha, e a segunda etapa requer que você se autentique usando um dispositivo ou aplicativo separado.
A maioria dos principais sites online, como Google, Facebook, Twitter, permite que você ative-o para suas contas. Você também pode adicionar a mesma funcionalidade ao seu site WordPress.
Primeiro, você precisa instalar e ativar o plugin Two Factor Authentication . Após a ativação, você precisa clicar no link ‘Two Factor Auth’ na barra lateral de administração do WordPress.
Em seguida, você precisa instalar e abrir um aplicativo autenticador em seu telefone. Existem vários deles disponíveis, como Google Authenticator, Authy e LastPass Authenticator.
Recomendamos o uso do Autenticador LastPass ou Authy porque ambos permitem que você faça backup de suas contas na nuvem. Isso é muito útil caso seu telefone seja perdido, reiniciado ou se você comprar um novo telefone. Todos os logins de sua conta serão facilmente restaurados.
Estaremos usando o Autenticador LastPass para o tutorial. No entanto, as instruções são semelhantes para todos os aplicativos de autenticação. Abra seu aplicativo autenticador e clique no botão Adicionar.
Será perguntado se você gostaria de escanear um site manualmente ou escanear o código de barras. Selecione a opção de leitura do código de barras e aponte a câmera do seu telefone para o código QR mostrado na página de configurações do plugin.
Isso é tudo, seu aplicativo de autenticação agora irá salvá-lo. Na próxima vez que você fizer login em seu site, será solicitado o código de autenticação de dois fatores após inserir sua senha.
Basta abrir o aplicativo autenticador em seu telefone e inserir o código que você vê nele.
Estas são algumas dicas importantes a se seguir. Lembre-se, segurança se dá em camadas, e sempre é importante reforçar a segurança de sua stack wordpress!