Um dos temas mais frequentes e também uma das maiores preocupações entre proprietários de sites é relacionado a segurança de sites em WordPress. Afinal, como uma plataforma de código aberto pode ser realmente segura?
Muitos podem questionar sobre a segurança do WordPress. A verdade é que o WordPress é uma plataforma madura e possui uma boa segurança para manter seus sites.
No entanto, é possível que algumas brechas do sistema possam realmente tornar seu site inseguro. Por isso, criamos uma lista de tarefas que você pode adicionar à segurança do seu site em WordPress.
Tenho certeza de que, após implementar essas técnicas, seu site estará muito mais seguro.
Trabalhe com bons serviços de hospedagem
Um fator importante no quesito de segurança é onde sua aplicação está hospedada. De nada adianta ter um sistema seguro tecnicamente, mas deixar disponível furos de segurança na hospedagem contratada.
Talvez isso possa parecer óbvio para muitos, mas aos olhos de leigos, todas as hospedagens podem parecer iguais.
É realmente importante olhar a fundo as configurações da hospedagem antes de contratá-la. Além disso, olhar aspectos como como segurança, confiabilidade, velocidade e também a opinião de clientes em relação ao suporte.
Alguns sinais podem ser nítidos quando a hospedagem é de baixo nível. Tempo de inatividade, baixo desempenho, podem ser indicativos de que é hora de trocar de hospedagem.
Por isso, é essencial que você escolha a melhor hospedagem para seu site antes mesmo da criação de conteúdo.
Aprenda sobre a parte técnica do WordPress
Ter um bom nível de entendimento técnico do WordPress te ajuda a entender seu funcionamento interno, e precisamente: aumentar a segurança da plataforma.
Com o conhecimento certo da plataforma, você poderá evitar a instalação de diversos plugins utilizando recursos nativos, e escolher bem quais serão os plugins e temas a serem utilizados em seu site.
Você pode utilizar plataformas gratuitas de ensino como YouTube ou investir em um curso de WordPress profissional para isso.
Usar o SSL para encriptar dados
Implementar um certificado SSL (Secure Socket Layer) é um passo importante para proteger o tráfego de suas informações e também dos seus usuários.
O SSL garante a transferência segura de dados entre navegadores de usuário e o servidor, dificultando a ação de hackers.
Conseguir e instalar um certificado SSL para o seu site é simples. Você pode comprar um de uma empresa de terceiros ou verificar para ver se a sua empresa de hospedagem fornece um de graça.
Faça backup com frequência
Não importa o quão seguro o seu site WordPress é, há sempre espaço para melhorias. E muitas vezes, situações que estão fora do nosso controle acontecem, e pode afetar nosso site significativamente.
Mas esse risco pode ser mitigado quando você tem uma boa rotina de backup do WordPress.
E mesmo que você não sofra nenhuma ameaça ou qualquer indício que seu site possua alguma vulnerabilidade, é uma boa prática manter esse backup ativo.
Com um backup realizado corretamente, você pode restaurá-lo tanto em produção quanto em qualquer outro ambiente que você queira trabalhar. Existem, inclusive, alguns plugins que podem ajudá-lo a criar uma rotina de backup eficiente.
Proteja o arquivo wp-config.php
O arquivo wp-config é um arquivo que fica localizado na raiz do site, e é responsável por armazenar informações sensíveis sobre seu site, como dados de conexão com o banco de dados e outras constantes de sua aplicação.
Se um invasor tiver acesso ao wp-config de seu site, é possível que ele possa causar um grande dano a sua aplicação.
Para proteger o wp-config.php, você pode retirá-lo do diretório raíz e movê-lo para um nível superior, como o wp-includes.
O WordPress consegue interpretar o wp-config.php, em outras localizações, portanto, sua aplicação não irá parar de funcionar.
Proibir a edição de temas e plugins
Um recurso importante para proteger seu site, é desabilitar a edição de temas e plugins do WordPress.
Mesmo que um invasor tenha acesso ao seu painel de administração, ele não poderá editar qualquer arquivo através da interface. Isso evita que códigos maliciosos possam ser adicionados ao seu site.
Para isso, acrescente este código ao wp.config.php no final do documento:
define(\’DISALLOW_FILE_EDIT\’, true);
Autenticação de dois fatores
Introduzir um módulo de autenticação de dois fatores (2FA) para se autenticar em seu site é uma excelente maneira de aumentar a segurança.
Neste caso, o usuário fornece detalhes de login para dois componentes diferentes. O proprietário do site decide quais são esses dois.
Pode ser uma senha regular seguida por uma pergunta secreta, um código secreto, um conjunto de personagens, ou mais popular, o aplicativo Google Authenticator, que envia um código secreto para o seu telefone.
Desta forma, apenas a pessoa com o seu telefone (você) pode entrar em seu site.
Mudar o nome de utilizador do administrador
Durante uma nova instalação do WordPress, evite escolher palavras que remetam a administração como \”admin\” ou qualquer outro nome relacionado.
Com este nome de usuário, é fácil de adivinhar qual é o usuário ativo e também qual a permissão que ele possui dentro do seu sistema.
Desta forma, eles apenas irão precisar descobrir qual é a senha. Vamos falar sobre senhas no próximo tópico.
Adicione senhas fortes aos seus usuários
Você precisa também ter uma boa política de geração de senhas se quiser realmente tornar seu site em WordPress seguro.
A verdade é que para alcançar uma boa senha, você pode ir além do que adicionar letras maiúsculas e minúsculas, números e caracteres especiais para suas senhas.
Você também pode optar por todos eles e uma frase significativa para você. Assim, sua senha será praticamente impossível de ser quebrada.
Restrinja as permissões de diretórios
Restringir ao mínimo as permissões de diretório é uma ótima estratégia para proteger seu site. A configuração das permissões de diretório para \”755\” e arquivos para \”644\” protege todo o sistema de arquivos – diretórios, subdiretórios e arquivos individuais.
Muitas vezes, o invasor pode se utilizar de técnicas para fazer upload de arquivos em seu diretório de upload. Diminuindo as restrições deste diretório, por exemplo, pode garantir que seu ataque não seja bem sucedido.
Isso pode ser feito manualmente através do Gerenciador de arquivos dentro do seu painel de controle de hospedagem ou também fazer através do seu serviço de FTP.