O WordPress alimenta mais de 35% de todos os sites do mundo. No entanto, mesmo com uma equipe de segurança dedicada e uma comunidade mundial vibrante e engajada, os sites que funcionam neste sistema de gerenciamento de conteúdo líder são freqüentemente um alvo de violações de segurança.
A verdade, porém, é que o WordPress é seguro: apenas 14% das vulnerabilidades de segurança do WordPress são provenientes do núcleo do WordPress, e a organização do WordPress segue processos rigorosos para corrigir esses problemas. Então, como os sites do WordPress ficam expostos aos hackers? Na maioria das vezes, as vulnerabilidades de segurança ocorrem devido à manutenção insuficiente.
É importante implementar algumas melhores práticas básicas, mas muitas vezes negligenciadas, para sua instalação particular do WordPress. Neste post, analisaremos várias maneiras diferentes de garantir que seu site esteja seguro.
Comece com seu servidor
Antes de fazer qualquer outra coisa, certifique-se de que o servidor que você está usando para rodar o WordPress é seguro. Este processo é descrito como endurecimento e ajuda a reduzir o risco de acesso não autorizado ao seu servidor por uma terceira parte maliciosa.
Uma das maiores precauções de segurança que você pode tomar com seu servidor é a atualização de seu software. As atualizações vão desde correções de vulnerabilidades críticas até correções de bugs menores e devem ser aplicadas com freqüência e em um ciclo regular.
Gerenciar seu próprio servidor vem com uma enorme variedade de vantagens. O controle completo permite que você faça o que desejar, mas a responsabilidade de garantir que ele seja bem mantido recai sobre seus ombros. Se você está hospedando seu site WordPress no Linode e não tem certeza por onde começar quando se trata de proteger seu servidor, este documento explica como endurecer seu Linode contra o acesso não autorizado.
Se estas etapas parecerem muito onerosas, então considere o uso de um host WordPress gerenciado como o Pressidium que realiza todas as atualizações de segurança a nível de servidor (e muitas atualizações de segurança a nível de WordPress-) em seu nome.
Atualização do WordPress
Após o endurecimento do servidor, talvez a maneira mais fácil de manter seu site WordPress seguro seja instalar qualquer atualização WordPress disponível. Com um número significativo de colaboradores (cerca de 70 desenvolvedores contribuíram com quase 5.000 compromissos para o núcleo em 2019), não é surpreendente que você veja uma atualização disponível na maioria dos meses. Estas atualizações vêm em dois sabores:
- Principais atualizações onde novas características são lançadas. Estas atualizações são lançadas cerca de duas vezes por ano.
- Pequenas atualizações que abordam quaisquer bugs ou riscos de segurança na versão atual. Estas atualizações podem ser empurradas para fora com a mesma freqüência que a cada poucas semanas.
Se você estiver usando um provedor de hospedagem WordPress gerenciado, estas atualizações devem ser automaticamente cuidadas para você. Se você estiver rodando seu próprio servidor, então você precisará atualizar manualmente sua versão do WordPress. Basta entrar no wp-admin e, se uma atualização estiver disponível, você verá uma notificação no topo da página inicial solicitando que você atualize. Siga as instruções e o WordPress irá baixar e instalar a atualização.
Embora a maioria das atualizações ocorra sem problemas (especialmente pequenas atualizações), é aconselhável fazer backup de seu site antes de executar o processo de atualização. Você também vai querer testar seu site cuidadosamente após a atualização, pois alguns temas e plugins podem não ser compatíveis com a última versão do WordPress.
Atualize seu Tema e Plugins
Junto com o núcleo do WordPress, você vai notar que os plugins e seu tema (se você estiver usando um de terceiros de um fornecedor como o Theme Forest) precisam de atualizações regulares. Duas razões comuns que os plugins e temas podem não ser atualizados incluem:
- O proprietário do site esquece de fazer a atualização, especialmente se já faz algum tempo desde a última vez que eles entraram no wp-admin.
- A atualização dos plugins e/ou do tema WordPress pode quebrar o site, o que pode ser desencorajador.
É frustrante quando uma atualização de plugin que deve levar dois minutos se transforma em um trabalho maior, porque seu site deixa de funcionar. Quando você está ocupado administrando um site ou um negócio, não é fácil encontrar tempo para trabalhar com o problema. Portanto, a tentação é significativa de restaurar o site a partir de um backup, o que deixará o(s) plugin(s) e/ou tema(s) desatualizado(s) funcionando.
Exatamente a mesma situação pode ocorrer com as atualizações do núcleo do WordPress quando você instala a versão mais recente apenas para encontrar parte de seu site que agora não está mais funcionando. A coisa fácil, mas potencialmente insegura, é reverter para uma versão de trabalho anterior e depois não revisitar o problema.
Este cenário é exatamente no que os hackers confiam. Uma parte significativa dos hacks do WordPress é realizada explorando vulnerabilidades conhecidas em websites que estão rodando temas, plugins e núcleos do WordPress desatualizados. O custo em vendas perdidas ou danos à reputação, graças a um site hackeado, pode ser significativo.
Conserte Vulnerabilidades em seu computador
A segurança de seu servidor e de sua instalação do WordPress é importante, mas uma estação de trabalho insegura pode minar esses esforços. Por exemplo, se um keylogger malicioso tiver sido instalado em seu computador, um atacante pode coletar suas informações de login no WordPress. Certifique-se de que qualquer computador que você use para acessar o WordPress esteja livre de malware, spyware e outras infecções por vírus, usando um software antivírus.
E, assim como seu servidor, certifique-se de manter o sistema operacional e o navegador atualizados, aplicando quaisquer correções que se apresentem. Se você estiver navegando em sites não confiáveis, também é uma boa idéia usar ferramentas como o NoScript para evitar que qualquer conteúdo executável da web seja executado em sua máquina.
Senhas e nomes de usuário
Sem autenticação de dois fatores, sua senha é tudo o que fica entre seu website e alguém que deseja acessar o wp-admin. Portanto, é da maior importância escolher uma senha complexa e única.
Se você precisar de inspiração ao escolher uma boa senha, você pode usar uma ferramenta como o Gerador de Senhas 1Password Generator. Use sempre uma senha diferente para cada site. A melhor maneira de manter o controle de senhas fortes é usar um gerenciador de senhas como o que a 1Password fornece.
Igualmente importante como uma senha forte é garantir que você não use o nome de usuário padrão 'Admin':
- Vá para a seção Usuários e crie um novo usuário que tenha um nome de usuário único.
- Atribua direitos de administração a este usuário e estabeleça uma senha forte e única para ele.
- Saia do WordPress e volte a entrar usando o novo nome de usuário e senha.
- Volte para a seção Usuários e exclua o usuário Admin padrão.
Autenticação de dois fatores
A Autenticação de Dois Fatores (2FA) está se tornando quase que mainstream. 2FA confirma as identidades reivindicadas pelos usuários usando uma combinação de algo que eles sabem, algo que eles têm, ou algo que eles são.
O WordPress é uma plataforma perfeita para uso 2FA, e isto pode ser facilmente habilitado usando um plugin. Os populares plugins 2FA são Duo e Two-Factor, embora mais estejam disponíveis (basta procurar no repositório de plugins do WordPress). Com um sistema 2FA habilitado, você pode ter certeza de que mesmo que sua senha fosse adivinhada ou obtida por terceiros, seu site permaneceria seguro.
Use um Plugin de Segurança
Há maneiras adicionais de endurecer seu site WordPress para ajudar a mantê-lo seguro, tais como mudar os nomes dos bancos de dados e tirar proveito dos cabeçalhos de segurança HTTP. Tudo isso requer, em sua maioria, um nível razoavelmente alto de conhecimento técnico e tempo.
Alguns dos principais plugins de segurança WordPress oferecem uma gama significativa de recursos, incluindo monitoramento de listas negras, escaneamento de arquivos, proteção contra força bruta, firewalls e muito mais. Eles podem oferecer maneiras fáceis de reforçar a segurança de seu site rapidamente e com experiência técnica limitada.
Há inúmeros plugins disponíveis, mas, como em todos os plugins, é importante usar plugins respeitáveis e bem testados como o Securi Security e Wordfence. Lembre-se de fazer um backup do seu site antes de instalar um novo plugin ou fazer qualquer mudança significativa nas configurações de plugins.
Faça um Backup
Backups podem ser um elemento lamentavelmente negligenciado na manutenção do WordPress. No entanto, eles desempenham um papel importante na segurança do site. Ter um backup de alta qualidade lhe dá a máxima tranquilidade de que, se o pior acontecer e seu site for invadido e muito danificado, você poderá se recuperar rapidamente restaurando um backup anterior. Em seguida, você poderá aplicar os níveis adicionais de segurança necessários para evitar que a invasão se repita.
Costumava ser complicado fazer bons backups do WordPress, mas nos últimos dois anos o processo foi facilitado muito. Há muitas opções para escolher, incluindo plugins como UpdraftPlus, e sistemas de backup externo como VaultPress ou BlogVault.
Em meu próximo post, falaremos sobre algumas medidas avançadas que você pode seguir para ajudar a manter seu site WordPress seguro.
Comentários (3)
Thanks a lot for providing this valuable content.
Wordpress can be sometimes confusing if you would want it done professionally unlike doing the free website but thanks to this article, I’m learning more
It’s surprising just how many people don’t update their Wordpress site to the latest version. According to Wordpress only 44% have updated to the now 5.7 core release which means that more than 50% are still using older versions all the way back to 4.4 and lower.
It’s a big security risk to have an old version of Wordpress as hackers find vulnerabilities as time passes. So makes sense to stay up to date.