O WordPress é uma excelente ferramenta para criação e gerenciamento de sites institucionais, blogs corporativos e aplicações web avançadas, mas é importante que algumas medidas de segurança sejam seguidas para que o seu trabalho não seja comprometido.
Aqui estão algumas dicas que vão deixar o site WordPress da sua empresa mais seguro.
Tópicos abordados
- Use uma hospedagem VPS ou dedicada de qualidade
- Use o CloudFlare como gerenciador de DNS com proxy
- Mantenha o WordPress atualizado
- Evite temas gratuitos
- Reforce as senhas
- Limite o número de usuários com função “Administrador”
- Segurança através da obscuridade
- Instale o plugin de segurança WordFence
- Limite as tentativas de login
- Security Headers
Use uma hospedagem VPS ou dedicada de qualidade
Uma das maneiras mais eficientes de evitar problemas com seu site, tanto de segurança quanto de performance, é utilizando uma hospedagem WordPress gerenciada que ofereça servidores VPS ou servidores dedicados com uma arquitetura avançada.
Procure por hospedagens que ofereçam pelo menos:
- Atualizações frequentes de segurança dos softwares que compõem o servidor;
- Shell seguro e transferência de arquivos segura (SSH/SFTP);
- Firewalls que limitem o uso de portas;
- Certificado SSL e uso forçado de HTTPS.
E lembre-se: fuja sempre dos planos de hospedagem compartilhada.
Use o CloudFlare como gerenciador de DNS com proxy
A tecnologia CloudFlare detecta automaticamente novos ataques que surgem contra qualquer website em sua rede. Uma vez que o CloudFlare identifica que há um novo ataque, ele começa a bloquear o ataque no site em particular e em toda a comunidade.
Crie uma conta e adicione seus sites gratuitamente. Na opção Firewall » Security Level selecione High
.
Mantenha o WordPress atualizado
Cada nova versão do WordPress contém patches e correções que abordam vulnerabilidades reais ou potenciais. Se você não mantém seu site atualizado com a última versão do WordPress, do tema e dos plugins, você poderá estar deixando uma porta aberta para invasores. Você pode, inclusive, terceirizar esse serviço contratando um serviço profissional de manutenção de sites WordPress.
Evite temas gratuitos
A principal razão para isso é que temas livres pode muitas vezes conter codificação indesejada, como base64 por exemplo, que pode ser usada para inserir links de spam em seu site secretamente, além de outros códigos maliciosos que podem causar todos os tipos de problemas, como mostrado neste experimento, onde foram encontrados código base64 em 8 de 10 sites com temas gratuitos instalados.
Se você realmente precisa usar um tema gratuito, use somente aqueles desenvolvidos por empresas confiáveis ou os disponíveis no repositório oficial do WordPress.org .
A mesma lógica aplica-se aos plugins. Só use plugins que estão listados no WordPress.org, ou aqueles desenvolvidos por um desenvolvedor confiável.
Reforce as senhas
De acordo com este infográfico, cerca de 8 % dos sites WordPress são hackeados devido a senhas fracas.
Se a sua senha de administrador do WordPress é algo como “123456”, “password” e “12345678”, você precisa alterá-la para algo seguro o mais rápido possível.
Limite o número de usuários com função “Administrador”
Administrador
é a função de usuário mais poderosa em site WordPress. Os usuários com a função de administrador podem adicionar novas postagens, editar quaisquer postagens de qualquer usuário no site e até mesmo excluir essas postagens. Eles podem instalar, editar e excluir plug-ins, bem como temas. Eles podem, inclusive, clonar, quebrar ou literalmente acabar com o seu site.
Portanto, só forneça esse tipo de acesso para quem realmente entenda de WordPress e a quem você realmente confia.
Segurança através da obscuridade
Nunca utilize admin
como nome de usuário do administrador. Ao criar uma conta administrativa, evite termos que podem ser descobertos facilmente, como administrador ou webmaster.
Se você ainda usa algum desses nomes de usuário e sua senha não é forte o suficiente, então seu site está muito vulnerável a ataques mal-intencionados como o Brute Force Attack . É fortemente recomendado que você altere seu nome de usuário para algo menos óbvio.
Por padrão o WordPress exibe seu nome de usuário no URL de sua página de arquivo do autor. Por exemplo, se o seu nome de usuário é jamesbond
, sua página de arquivo do autor seria algo como http://seusite.com/author/jamesbond
.
Portanto, pelas mesmas razões explicadas acima para o nome de usuário “admin”, é uma boa idéia esconder essa informação alterando a entrada user_nicename
em seu banco de dados.
Obs: A obscuridade nunca deve ser o único mecanismo de segurança aplicado a um sistema ou componente.
Instale o plugin de segurança WordFence
Se seu site já sofreu ou está sofrendo ataques é interessante que você instale um plugin de segurança para realizar uma varredura e corrigir brechas.
O Wordfence começa verificando se o site já está infectado. Ele faz uma varredura profunda (server-side) de seu código-fonte comparando os arquivos do núcleo, temas e plugins com o repositório oficial do WordPress. O plugin também funciona como firewall impedindo uma série de ações maliciosas.
Limite as tentativas de login
No caso de um hacker ou um bot tentar um ataque de força bruta para quebrar a sua senha (muito mais comum do que você imagina), pode ser útil limitar o número de tentativas de login a partir de um único endereço IP.
Limitar as tentativas de login faz exatamente isso, permitindo especificar quantas tentativas será permitida e quanto tempo um IP será bloqueado para depois das tentativas de login.
Existem maneiras de contornar isso, já que alguns crackers utilizam um grande número de endereços IP diferentes, mas ainda assim é válido adicionar essa barreira adicional.
Se você já utiliza o WordFence basta Controlar as tentativas de login em: Home » Wordfence » Options » Login Security Options.
Security Headers
Outra maneira de reforçar a segurança do seu site é habilitando alguns cabeçalhos no arquivo .htaccess
de sua instalação.
Primeiramente verifique se os procedimentos propostos abaixo já estão habilitados. Teste o seu site e procure por:
X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block X-Content-Type-Options: nosniff
Se a linhas não forem encontradas, adicione-as da seguinte forma:
Header set X-XSS-Protection "1; mode=block" Header always append X-Frame-Options SAMEORIGIN Header set X-Content-Type-Options nosniff
Explicação
HTTP significa “Hypertext Transfer Protocol”, toda World Wide Web utiliza esse protocolo que foi estabelecido no início de 1990. Quase tudo que você vê no seu browser é transmitido ao computador via HTTP. Por exemplo, quando você abriu esta página, seu navegador provavelmente enviou mais de 40 solicitações HTTP e recebeu respostas HTTP para cada um.
Cabeçalhos HTTP são a parte principal dessas solicitações e respostas HTTP pois eles carregam informações sobre o navegador do cliente, a página solicitada, o servidor e muito mais.
Security Headers – X-XSS-Protection
A fim de melhorar a segurança do seu site contra alguns tipos de ataques XSS ( cross-site scripting ) é recomendável que você habilite o seguinte cabeçalho:
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
</IfModule>
https://kb.sucuri.net/warnings/hardening/headers-x-xss-protection
Security Headers – X-Frame-Options
A fim de melhorar a segurança do seu site contra o clickjacking é recomendável que você habilite o seguinte cabeçalho:
<IfModule mod_headers.c> Header always append X-Frame-Options SAMEORIGIN </IfModule>
https://kb.sucuri.net/warnings/hardening/headers-x-frame-clickjacking
Security Headers – X-Content-Type: nosniff
A fim de melhorar a segurança do seu site e seus usuários contra alguns tipos de drive-by-downloads é recomendável que você você habilite o seguinte cabeçalho:
<IfModule mod_headers.c> Header set X-Content-Type-Options nosniff </IfModule>
https://kb.sucuri.net/warnings/hardening/headers-x-content-type
Precisa de ajuda para implementar as dicas acima?
Se você tem problemas com o seu site ou precisa de ajuda para implementar alguma ou todas as dicas abordas no artigo acima, entre em contato agora mesmo com um especialista em WordPress e receba uma cotação gratuita. 🤙