Mais do que utilizar plugins para a segurança do seu WordPress, diversas práticas fazem toda a diferença. Não pense que são coisas complexas e que apenas um programador ou profissional da área pode realizar. Você e os demais usuários do seu site ou blog podem mudar alguns hábitos e reforçar o WordPress Security.
Existem diversas formas de otimizar o seu site WordPress para segurança e essas formas podem estar disponíveis de acordo com cada servidor de hospedagem e recursos disponibilizados para o seu site.
Práticas para Garantir a Segurança do WordPress
Permissões de pastas e arquivos
Definir permissões específicas e diferenciadas para as pastas e arquivos do WordPress dentro do seu servidor, é o primeiro passo para garantir qualquer tipo de segurança. Não importa se o servidor roda sistema Linux ou Windows Server. Sempre defina permissões para pastas e permissões diferentes para arquivos.
Dependendo do seu servidor de hospedagem, essas regras podem ser aplicadas direto pelo FTP. Se não for o seu caso, talvez seja necessário entrar em contato com a empresa de hospedagem que você contratou. Por padrão em sistemas Linux, as pastas devem obedecer permissões 755 e os arquivos 644.
Nome de usuário administrador
A maioria das pessoas costuma utilizar admin ou administrador como nome de usuário. Pois é, se grande parte dos usuários da internet sabem disso, que tal fugir no óbvio? Ataques de força bruta têm muito mais chances de ter sucesso quando o nome do usuário já é conhecido.
No momento da instalação do sistema WordPress e para os demais usuários de nível administrador que forem criados, atribua qualquer outro nome de usuário, mas fuja de algo óbvio e conhecido por pessoas bem e mal intencionadas.
Prefixo das tabelas de banco de dados
Caso você não tenha reparado ainda, no momento da instalação do WordPress é requerido as informações para ligação com o seu banco de dados. Pois, neste exato ponto do processo de instalação é possível escolher qual prefixo as tabelas do sistema WP deverão utilizar. Por padrão, a plataforma utiliza o prefixo wp_. Todavia, você pode definir o prefixo que quiser – é bastante utilizado nos casos de rodar num mesmo banco de dados diferentes instalações WordPress.
O motivo para fazer essa personalização para as tabelas do banco de dados, é um pouco parecido com o de não utilizar um nome de usuário que todos conhecem. Evite o máximo que puder, utilizar informações e configurações que qualquer pessoa ou usuário de nível intermediário e avançado possam descobrir.
Senhas fortes
Essa é uma boa prática já conhecida por muitos, mas utilizada por poucos. Acredito que não seja necessário aprofundarmos muito sobre a importância das senhas fortes. Porém, devo salientar que: seu nome de usuário e senha devem ser criados com inteligência e de modo que dificulte qualquer tentativa de invasão ou roubo dos seus dados de acesso.
Para garantir que nem você e nem os demais usuários utilizarão senhas fracas, basta equipar seu WordPress com um plugin que faça esse trabalho. Um exemplo de plugin que garante o uso de senhas fortes é o Wordfence Security. Ele implementa regras de segurança para todo o sistema de login – como uso de senhas fortes e bloqueio de contas.
Sempre faça logout
Tanto para garantir a segurança e consistência do seu site WordPress, quanto para sua conta de e-mail, do banco e em lojas virtuais – sempre realize logout. Muitas vezes caímos na rotina e no mau hábito de terminar nossas tarefas, compras e consultas sem finalizar o login da nossa conta. Se seu site WordPress não está implementado “derrubar” os logins (encerrar sessão) depois de um determinado tempo, não é nada legal esquecer sua conta WordPress aberta (logada).
Então, sempre faça logout ao terminar de redigir seus artigos, gerenciar usuários e configurar páginas e plugins. Essa é uma tarefa obrigatória para qualquer usuário que possua acesso, independente do seu nível dentro do sistema WordPress.
Hospedagem WordPress
Acredite se quiser, mas sua empresa de hospedagem tem um papel fundamental quando se trata da segurança do seu site. Tenha certeza de escolher uma empresa com bastante experiência no assunto e que tenha ótimas qualificações quando se trata de segurança. Você pode dar uma olhada em nosso artigo sobre as melhores empresas de hospedagem para WordPress.
Atualização de Plugins e Temas
Manter seus plugins e temas atualizados é muito importante para segurança do seu site. Com o passar do tempo Hackers conseguem encontrar vulnerabilidades em alguns plugins e temas muito utilizados, o que requer que os autores dos mesmos realizem uma atualização de segurança para prevenir ataques através dessa fragilidade. Portanto, mantenha seus plugins e temas devidamente atualizados e evite ter grandes problemas em seu site.
Versão do WordPress
Permitir que terceiros tenham acesso a sua versão do WordPress pode lhe causar imensos problemas. Sabendo a versão do seu WordPress os Hackers sabem exatamente por onde devem iniciar seus ataques e terem sucesso em suas ações. Para evitar este tipo de problema remova a versão do seu WordPress que é gerada automaticamente toda vez que seu site é carregado. Para fazer isso, adicione o seguinte código ao seu funcitions.php:
function cwp_remove_version() {
return '';
}
add_filter('the_generator', 'cwp_remove_version');
Backup do WordPress
Provavelmente você já deve ter lido diversos artigos explicando a importância de realizar backups da sua instalação do WordPress e banco de dados. Mas posso lhe adiantar que a quantidade de pessoas que esquecem desse passo simples é maior do que você imagina, digo isso por experiência própria. Dê uma olhada em nosso artigo Como Realizar Backup do WordPress com o Dropbox caso não tenha certeza de como proceder.
Limitar Tentativas de Login
Tentativas de autenticação utilizando força bruta são muito comuns. A autenticação no WordPress pode ser feita utilizando diversos plugins como o Google Authenticator Plugin que realiza autenticação de dois fatores ou utilizando o plugin WP Login Lockdown que dificulta ataques de força bruta bloqueando o acesso por IP após determinado número de erros de login.
Utilize SFTP no Lugar de FTP
FTP é muito famoso, muito utilizado e também muito inseguro. Utilizá-lo atualmente não é aconselhável principalmente pelo fato de não utilizar criptografia. Uma ótima alternativa é a utilização de SSH (utilizando o scp) ou SFTP (secure FTP) pois estes protocolos criptografam a informação deixando a transferência de arquivos e a transmissão de senhas mais segura.
O software Filezilla é uma boa alternativa para a utilização de SFTP.
Aprenda a Utilizar Frases ao Invés de Senhas
É muito comum aos usuários quando precisam registrar uma conta utilizarem suas senhas padrões de email, Facebook, Google e etc. Não utilize a mesma senha padrão para seu site, aprenda a criar frases (de preferência com letras maiúsculas e minusculas) que dificilmente poderão ser identificadas por futuros invasores ao seu site.
Conclusão
Seguindo essas práticas você será capaz de aumentar a segurança e reduzir as chances de ser atacado. Lembre-se que seu site merece tanta atenção quanto seu conteúdo, afinal, você não quer que invasores tenham acesso ao seu servidor com intenções maliciosas.
Se você gostou desse artigo considere compartilhar nas redes sociais. Siga-nos nas redes sociais para acompanhar mais artigos como esse. Se de alguma forma este artigo lhe foi útil deixa seu comentário abaixo para podermos saber a sua opinião.
Ferramentas WordPress Veja Mais Ferramentas
WPForms
Crayon
Social Warfare PRO
Fala Gabriel, tudo bem? Cara corrije esse código de que esconde a versão do wordpress
(com esse código dessa maneira o site sai fora)
O correto não seria esse abaixo??
<?php remove_action(‘wp_head’, ‘wp_generator’);
Olá Felipe,
Obrigado por nos informar sobre o código.
Atualizei o artigo com a forma correta de remover a versão do WordPress, assim ele vai remover a versão do feed RSS também:
function cwp_remove_version() {return '';
}
add_filter('the_generator', 'cwp_remove_version');
Abraço.
Infelizmente quando adiciono ao funcitions.php o código
Fico sem acesso ao Painel do meu site
Tem alguma outra maneira?
Sobre a Versão do WordPress: Como eu chego em meu funcitions.php, para adicionar o código sugerido?!?
Olá Sonia, Existem duas formas: 1- No seu painel WordPress vá em Aparência > Editor. No canto superior direito existe uma menu dropdown com o nome dos temas instalados, selecione o tema que você está usando. Logo abaixo do menu dropdown existe uma lista com o nome de vários arquivos do seu tema e é aqui que você vai encontrar o functions.php, selecione o arquivo na lista e do lado esquerdo (na parte do código) é onde você deve adicionar o código. 2- Você pode acessar o seu servidor através de FTP, baixar o arquivo functions.php, editá-lo com o código… Continue Lendo »
Acabei de derrubar o meu site seguindo a dica de vocês!
Olá Carolina,
Sinto muito que tenha tido problemas ao seguir os passos do tutorial.
Fica difícil lhe ajudar sem que você me informe qual passo exatamente você seguiu para que eu possa entender o problema.
Quando editamos arquivos sensíveis como o functions.php qualquer espaço ou elemento incorreto pode causar problemas no seu website. Normalmente basta remover o código que você adicionou para resolver o problema, ou verificar por espaços em branco (causados ao pressionar a barra de espaço dentro do arquivo) no código.
Fico no aguardo.
Abraço.
Excelente como sempre, acho que deveria APONTAR sobre os FIREWALL e explicar quais os melhores e como usar seria muito importante. Eu tenho um site e meus concorrentes sempre derrubam por causa disso.
Interessante Renan. Na verdade venho pensando em escrever um artigo sobre segurança no WP muito mais completo e bem mais detalhado para diversos tipos de necessidades. Algo como um guia completo para ajudar iniciantes, intermediários e até avançados no WP.
Agradeço por deixar sua opinião, ela é muito importante.
Grande abraço.
Obrigado, avise-me quando sair pois estou procurando algo assim.
Olá, excelente dicas.. vocês poderiam fazer um tutorial igual ao do wp cache explicando direitinho o que fazer pra garantir mais segurança até com plugins ja que tem vários…e explicando como fazer as configurações e talz.. gostei muito do site de vocês.. parabens :)
Olá Matheus,
Percebi que vem visitando nosso site frequentemente, obrigado. E agradeço o seu comentário e levarei em consideração sua opinião quando produzir algum artigo relacionado a segurança.
Abraço.
Olá Matheus,
Percebi que vem visitando nosso site frequentemente, obrigado. E agradeço o seu comentário e levarei em consideração sua opinião quando produzir algum artigo relacionado a segurança.
Abraço.