Ads

WordPress é uma das plataformas mais populares para criar e gerenciar sites na internet. No entanto, isso também significa que é um alvo frequente de ataques de hackers, malware e outras ameaças. Por isso, é essencial seguir algumas práticas de segurança para proteger seu site WordPress e seus dados.

Neste artigo, vamos apresentar algumas das melhores práticas de segurança para sites WordPress, que incluem:

  1. Mantenha o WordPress e seus plugins atualizados
  2. Bloqueie ataques conhecidos com o Wordfence
  3. Bloqueie ataques sofisticados com Cloudflare
  4. Use senhas fortes e únicas
  5. Faça backups regulares para o Google Drive com UpDraft Plus
  6. Use um certificado SSL
  7. Limite o número de tentativas de login
  8. Altere o prefixo da tabela do banco de dados
  9. Desative a edição de arquivos no painel do WordPress
  10. Esconda a versão do seu WordPress
  11. Bloquear o acesso ao arquivo wp-config.php

1. Mantenha o WordPress, temas e plugins atualizados

Um relatório da Sucuri aponta que mais de 50% dos casos de invasões à sites WordPress se dão por conta de temas e plugins desatualizados. Uma das formas mais simples e eficazes de manter seu site WordPress seguro é manter o WordPress e seus plugins atualizados.

As atualizações geralmente corrigem vulnerabilidades, bugs e melhoram o desempenho do site. Você pode verificar se há atualizações disponíveis no painel do WordPress, na seção Atualizações.

Recomenda-se que você faça um backup do site antes de atualizar qualquer coisa, para evitar possíveis problemas.

2. Bloqueie ataques conhecidos com o Wordfence

Neste artigo Como Configurar o Firewall do Wordfence – Segurança WordPress você terá um passo-a-passo de como configurar ataques comuns ao WordPress usando o Wordfence.

Manter WordPress seguro com Wordfence
A grande vantagem de escolher o Wordfence para o seu site é que ele oferece recursos de configurações extras que a maioria dos outros plugins não oferecem.

O Wordfence é um plugin de segurança é uma ferramenta que ajuda a proteger seu site WordPress contra ataques comuns, como injeção de SQL, cross-site scripting, força bruta e outros.

Existem vários plugins de segurança disponíveis para WordPress, como Wordfence, Sucuri, iThemes Security e outros. Esses plugins oferecem recursos como firewall, scanner de malware, bloqueio de IP, autenticação de dois fatores, monitoramento de atividade e muito mais.

Você pode escolher o plugin que melhor atende às suas necessidades e configurá-lo de acordo com as recomendações. Mas o grande problema é a maioria dos desenvolvedores apenas instalam estes plugins e não os configuram, deixando de explorar os melhores recursos oferecidos por eles.

3. Bloqueie ataques sofisticados com Cloudflare

Neste vídeo do Blogson, Como aumentar a segurança do site WordPress com o Firewall da Cloudflare você terá um passo a passo de como utilizar o serviço de segurança gratuito da Cloudflare em seu site e aumentar a segurança de seu site em ao menos 50%.

Wordfence configurado + Cloudflare é a dupla perfeita que irá aumentar drasticamente a segurança de seu site contra ataques.

4. Use senhas fortes e únicas

Outra prática de segurança básica é usar senhas fortes e únicas para o seu site WordPress, especialmente para o usuário administrador. Uma senha forte deve ter pelo menos 8 caracteres, incluindo letras maiúsculas e minúsculas, números e símbolos.

Você também deve evitar usar a mesma senha para vários sites ou serviços, pois isso aumenta o risco de comprometimento. Você pode usar um gerenciador de senhas para criar e armazenar suas senhas de forma segura.

5. Faça backups regulares para o Google Drive com UpDraft Plus

Fazer backups regulares do site é uma medida preventiva que pode salvar seu site em caso de desastre. Um backup é uma cópia dos arquivos e do banco de dados do seu site, que você pode restaurar em caso de perda ou corrupção dos dados originais.

Você pode fazer backups manualmente, usando um plugin como UpdraftPlus, BackupBuddy ou VaultPress, ou usando um serviço externo como Dropbox, Google Drive ou Amazon S3. Você deve fazer backups com frequência, dependendo da frequência com que você atualiza seu site, e armazená-los em um local seguro e acessível.

Plugin de Backup WordPress Google Drive
O UpDraft Plus, na sua versão gratuita, permite fazer backups para o Google Drive.

O Updraft Plus se destaca nesta lista por permitir configurar um backup para o serviço de armazenamento externo do Google Drive. E se você optar pela versão paga, você poderá também exportar seus backups para outros serviços como One Drive e FTP.

6. Use um certificado SSL

Um certificado SSL (Secure Sockets Layer) é um protocolo que criptografa a comunicação entre o seu site e os visitantes, garantindo a privacidade e a integridade dos dados. Um certificado SSL também melhora a confiança dos usuários no seu site, pois mostra um ícone de cadeado na barra de endereço do navegador e uma URL que começa com https em vez de http.

Além disso, um certificado SSL pode melhorar o ranqueamento do seu site nos motores de busca, pois é um fator de SEO (Search Engine Optimization). Você pode obter um certificado SSL gratuitamente através de serviços como Let’s Encrypt ou Cloudflare, ou comprá-lo através do seu provedor de hospedagem ou de uma autoridade certificadora.

7. Limite o número de tentativas de login

Limitar o número de tentativas de login é uma forma de prevenir ataques de força bruta, que consistem em tentar adivinhar a senha do seu site através de tentativas repetidas. Se você limitar o número de tentativas de login por IP ou por usuário, você pode bloquear os atacantes que tentam acessar seu site de forma ilegítima.

Se você tiver utilizando o Wordfence em seu site, você poderá configurar isso manualmente no plugin, mas caso não esteja, pode-se usar alternativas gratuitas como Limit Login Attempts Reloaded, Login LockDown ou WP Limit Login Attempts para configurar essa funcionalidade.

8. Alterar o prefixo da tabela do banco de dados

O prefixo da tabela do banco de dados é um identificador que precede o nome de cada tabela do seu site WordPress. Por padrão, o prefixo é wp_, mas isso pode facilitar a vida dos hackers, pois eles podem saber a estrutura do seu banco de dados e explorar suas vulnerabilidades. Por isso, é recomendável alterar o prefixo da tabela do banco de dados para algo mais aleatório e difícil de adivinhar.

Você pode fazer isso manualmente, editando o arquivo wp-config.php e o banco de dados, ou usando um plugin como Change DB Prefix, Change Table Prefix ou WP-DBManager.

9. Desative a edição de arquivos no painel do WordPress

O painel do WordPress permite que você edite os arquivos do seu site, como os temas e os plugins, através da seção Aparência > Editor ou Plugins > Editor. No entanto, isso também pode ser um risco de segurança, pois se alguém conseguir acessar seu painel, ele pode inserir código malicioso nos seus arquivos e comprometer seu site. Por isso, é aconselhável desativar a edição de arquivos no painel do WordPress, adicionando a seguinte linha ao arquivo wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

10. Esconda a versão do seu WordPress

A versão do WordPress é uma informação que pode ser usada por hackers para identificar as possíveis vulnerabilidades do seu site, especialmente se você não mantiver seu WordPress atualizado. Por isso, é uma boa prática esconder a versão do WordPress dos visitantes e dos motores de busca. Você pode fazer isso manualmente, removendo a tag meta generator do cabeçalho do seu site e o arquivo readme.html da raiz do seu site, ou usando um plugin como Hide My WP, WP Hide & Security Enhancer ou Perfmatters.

11. Bloquear o acesso ao arquivo wp-config.php

O arquivo wp-config.php é um dos arquivos mais importantes do seu site WordPress, pois contém as informações de conexão com o banco de dados, as chaves de segurança e outras configurações essenciais. Se esse arquivo cair em mãos erradas, seu site pode ser facilmente hackeado ou danificado.

Por isso, é importante bloquear o acesso ao arquivo wp-config.php através do arquivo .htaccess, que controla o acesso aos arquivos e diretórios do seu site.

Você pode adicionar as seguintes linhas ao arquivo .htaccess para proteger o arquivo wp-config.php:

<files wp-config.php>
order allow,deny
deny from all
</files>


Conclusão

Neste artigo, você aprendeu algumas das melhores práticas de segurança para sites WordPress, que podem ajudá-lo a proteger seu site contra ataques e ameaças comuns. Lembre-se de que a segurança do seu site é uma responsabilidade contínua e que você deve sempre estar atento às atualizações, aos backups e às configurações do seu site. Esperamos que este artigo tenha sido útil e que você possa aplicar essas dicas no seu site WordPress.

Ads

Anderson Oliveira

Anderson Oliveira é desenvolvedor, escritor e docente no CEETPS - Centro Estadual de Educação Tecnologia de São Paulo. Atualmente trabalha na Administração Central do CPS e leciona aulas de programação na Etec Prof. Carmine Biagio Tundisi de Atibaia.