O WordPress alimenta mais de 35% de todos os sites do mundo. No entanto, mesmo com uma equipe de segurança dedicada e uma comunidade mundial vibrante e engajada, os sites que rodam neste sistema de gerenciamento de conteúdo líder são frequentemente um alvo para violações de segurança.
A verdade, no entanto, é que o WordPress é seguro: apenas 14% das vulnerabilidades de segurança do WordPress provêm do núcleo do WordPress, e a organização do WordPress segue processos rigorosos para corrigir esses problemas. Então, como é que os sites WordPress ficam expostos aos hackers? Na maioria das vezes, as vulnerabilidades de segurança ocorrem devido a uma manutenção insuficiente.
É importante implementar algumas das melhores práticas básicas, mas muitas vezes ignoradas, para a sua instalação particular do WordPress. Neste post, vamos analisar várias maneiras diferentes de garantir que o seu site esteja seguro.
Comece pelo Seu Servidor
Antes de fazer qualquer outra coisa, certifique-se de que o servidor que você está usando para rodar o WordPress é seguro. Este processo é descrito como endurecimento e ajuda a reduzir o risco de acesso não autorizado ao seu servidor por uma terceira parte maliciosa.
Uma das maiores precauções de segurança que você pode tomar com seu servidor é atualizar seu software. As atualizações vão desde correções de vulnerabilidades críticas até correções de bugs menores e devem ser aplicadas com freqüência e em um ciclo regular.
Gerir o seu próprio servidor vem com uma enorme variedade de vantagens. O controle completo permite que você faça o que quiser, mas a responsabilidade de garantir que ele seja bem mantido recai sobre seus ombros. Se você está hospedando seu site WordPress na Linode e não tem certeza por onde começar quando se trata de proteger seu servidor, este documento explica como endurecer seu Linode contra o acesso não autorizado.
Se estes passos parecerem demasiado onerosos, então considere o uso de um servidor WordPress gerido como o Pressidium que efetua todas as atualizações de segurança a nível do servidor (e muitas atualizações de segurança a nível do WordPress-) em seu nome.
Atualizar WordPress
Após o endurecimento do servidor, talvez a maneira mais fácil de manter o seu site WordPress seguro é certificar de instalar quaisquer atualizações disponíveis do WordPress. Com um número significativo de contribuidores (cerca de 70 desenvolvedores contribuíram com quase 5.000 commits para o núcleo em 2019), não é surpreendente que você veja uma atualização disponível na maioria dos meses. Estas atualizações vêm em dois sabores:
- Principais atualizações onde são lançadas novas funcionalidades. Estas atualizações são lançadas cerca de duas vezes por ano.
- Pequenas atualizações que abordam quaisquer bugs ou riscos de segurança na versão atual. Estas atualizações podem ser empurradas para fora com a mesma frequência que a cada poucas semanas.
Se você estiver usando um provedor de hospedagem WordPress gerenciado, essas atualizações devem ser automaticamente cuidadas para você. Se você estiver rodando seu próprio servidor, então você precisará atualizar manualmente sua versão do WordPress. Basta entrar no wp-admin e, se uma atualização estiver disponível, você verá uma notificação no topo da página inicial solicitando que você atualize. Siga as instruções e o WordPress irá fazer o download e instalar a atualização.
Embora a maior parte das atualizações decorra sem problemas (especialmente atualizações menores), é aconselhável fazer o backup do seu site antes de executar o processo de atualização. Você também vai querer testar o seu site cuidadosamente após a atualização, pois alguns temas e plugins podem não ser compatíveis com a última versão do WordPress.
Atualize seu Tema e Plugins
Junto com o núcleo do WordPress, você vai notar que os plugins e seu tema (se você estiver usando um de terceiros de um fornecedor como o Theme Forest) precisam de atualizações regulares. Duas razões comuns que os plugins e temas podem não ser atualizados incluem:
- O dono do site esquece de fazer a atualização, especialmente se já faz um tempo desde a última vez que eles entraram no wp-admin.
- A atualização de plugins e/ou do tema do WordPress pode quebrar o site, o que pode ser desencorajador.
É frustrante quando uma atualização de plugin que deve levar dois minutos se transforma em um trabalho maior porque o seu site deixa de funcionar. Quando você está ocupado rodando um site ou negócio, não é fácil encontrar tempo para trabalhar com o problema. Portanto, a tentação é significativa para restaurar o site a partir de um backup, o que deixará o(s) plugin(s) e/ou tema(s) desatualizado(s) em execução.
Exatamente a mesma situação pode ocorrer com as atualizações do núcleo do WordPress quando você instala a versão mais recente apenas para encontrar parte do seu site agora não está mais funcionando. A coisa fácil, mas potencialmente insegura, a fazer é reverter para uma versão de trabalho anterior e depois não revisitar o problema.
Este cenário é exatamente aquilo em que os hackers confiam. Uma parte significativa dos hacks do WordPress é realizada explorando vulnerabilidades conhecidas em sites que estão rodando temas, plugins e núcleos do WordPress desatualizados. O custo em vendas perdidas ou danos à reputação, graças a um site hackeado, pode ser significativo.
Conserte Vulnerabilidades em seu Computador
A segurança do seu servidor e da sua instalação do WordPress é importante, mas uma estação de trabalho insegura pode minar esses esforços. Por exemplo, se um keylogger malicioso tiver sido instalado no seu computador, um atacante pode recolher as suas informações de login no WordPress. Certifique-se de que todos os computadores que você usa para acessar o WordPress estão livres de malware, spyware e outras infecções por vírus, usando um software antivírus.
E, assim como o seu servidor, certifique-se de manter o sistema operacional e o navegador atualizados, aplicando quaisquer patches que forem lançados. Se você estiver navegando em sites não confiáveis, também é uma boa idéia usar ferramentas como o NoScript para evitar que qualquer conteúdo executável da web seja executado na sua máquina.
Senhas e nomes de usuário
Sem autenticação de dois fatores, sua senha é tudo o que fica entre seu site e alguém que quer acessar o wp-admin. Portanto, é da maior importância escolher uma senha complexa e única.
Se você precisar de inspiração ao escolher uma boa senha, você pode usar uma ferramenta como o Gerador de Senhas 1Password Generator. Use sempre uma senha diferente para cada site. A melhor maneira de manter o controle de senhas fortes é usando um gerenciador de senhas como o que a 1Password fornece.
Igualmente importante como uma senha forte é garantir que você não use o nome de usuário padrão 'Admin':
- Vá para a seção Usuários e crie um novo usuário que tenha um nome de usuário único.
- Atribua direitos de administrador a este usuário e estabeleça uma senha forte e única para ele.
- Saia do WordPress e volte a entrar usando o novo nome de usuário e senha.
- Volte para a seção Usuários e exclua o usuário Admin padrão.
Autenticação por dois fatores
A Autenticação por Dois Fatores (2FA) está tornando quase generalizada. O 2FA confirma as identidades reivindicadas pelos usuários usando uma combinação de algo que eles sabem, algo que eles têm, ou algo que eles são.
O WordPress é uma plataforma perfeita para uso 2FA, e isso pode ser facilmente ativado usando um plugin. Plugins 2FA populares são Duo e Two-Factor, embora mais estejam disponíveis (basta procurar no repositório de plugins do WordPress). Com um sistema 2FA ativado, você pode estar confiante de que mesmo que sua senha fosse adivinhada ou obtida por terceiros, seu site permaneceria seguro.
Use um Plugin de Segurança
Há maneiras adicionais de endurecer seu site WordPress para ajudar a mantê-lo seguro, como mudar os nomes dos bancos de dados e tirar proveito dos cabeçalhos de segurança HTTP. Tudo isso requer, em sua maioria, um nível razoavelmente alto de conhecimento técnico e tempo.
Alguns dos principais plugins de segurança do WordPress oferecem uma gama significativa de recursos, incluindo monitoramento de listas negras, digitalização de arquivos, proteção contra força bruta, firewalls e muito mais. Eles podem oferecer maneiras fáceis de reforçar a segurança do seu site rapidamente e com experiência técnica limitada.
Existem inúmeros plugins disponíveis mas, como em todos os plugins, é importante usar plugins respeitáveis e bem testados, como o Securi Security e Wordfence. Lembre-se de fazer uma cópia de segurança do seu site antes de instalar um novo plugin ou fazer qualquer alteração significativa nas configurações do plugin.
Faça um Backup
As cópias de segurança podem ser um elemento muito negligenciado da manutenção do WordPress. Eles desempenham, no entanto, um papel importante na segurança do site. Ter um backup de alta qualidade proporciona a máxima tranquilidade de que se o pior acontecesse e o seu site fosse pirateado e muito danificado, então você pode recuperar rapidamente, restaurando um backup anterior. Você pode então aplicar quaisquer níveis adicionais de segurança necessários para evitar que um hack seja repetido.
Costumava ser complicado fazer bons backups do WordPress, mas nos últimos dois anos o processo tem sido muito facilitado. Há muitas opções para escolher, incluindo plugins como o UpdraftPlus, e sistemas de backup externo como o VaultPress ou BlogVault.
No meu próximo post, vamos falar sobre algumas medidas avançadas que você pode seguir para ajudar a manter seu site WordPress seguro.
Comentários (3)
Thanks a lot for providing this valuable content.
Wordpress can be sometimes confusing if you would want it done professionally unlike doing the free website but thanks to this article, I’m learning more
It’s surprising just how many people don’t update their Wordpress site to the latest version. According to Wordpress only 44% have updated to the now 5.7 core release which means that more than 50% are still using older versions all the way back to 4.4 and lower.
It’s a big security risk to have an old version of Wordpress as hackers find vulnerabilities as time passes. So makes sense to stay up to date.