6 dicas indispensáveis de segurança para WordPress

Segurança não é apenas possuir sistemas perfeitamente seguros, que poderiam ser impossíveis de encontrar e/ou manter, basicamente. Por outro lado um servidor seguro protege a privacidade, integridade e disponibilidade dos recursos e dados que estão sob o controle do seu administrador. Essa é apenas a primeira de 6 dicas de segurança para WordPress infalíveis, basta ficar atento(a) e seguir direitinho essas dicas que ficará tudo bem.

Dicas de segurança para WordPress: métodos infalíveis de se proteger.

1. Escolha uma hospedagem confiável

Primeiramente, deixe-me falar um pouquinho mais das qualidades de um provedor de hospedagem confiável. Dentre essas qualidades estão:

• Discutir suas preocupações e quais processos e funcionalidades de segurança ele oferece com o serviço de hospedagem.
• Oferecer as versões mais recentes e estáveis de todos os softwares no servidor.
• Oferecer métodos confiáveis para backup e recuperação.

Decida qual abordagem de segurança utilizar no seu servidor, pensando primeiro no software e nos dados que precisam ser assegurados. O servidor é o ponto de partida para as questões que trataremos ao decorrer dessas dicas de segurança para WordPress.

2. Esteja sempre atualizado

O WordPress é atualizado regularmente para evitar e corrigir novas ameaças que possam surgir. Por isso é importante manter a sua instalação sempre atualizada com a versão mais recente do WordPress: deixar uma instalação desatualizada é se ver vulnerável à ataques.

É importante que sua versão do WordPress não seja divulgada. Por padrão, os temas do WP utilizam uma metatag no código que divulga, para fins de estatística, a versão que está em vigor no seu WordPress. Basicamente, esta informação para um usuário ou para o administrador do site é inútil e deixar estas informações públicas não é aconselhável. Em varreduras feitas para localizar sites vulneráveis esta informação de versão é utilizada para definir a forma de ataque e explorar brechas de segurança.

Esta informação fica localizada no arquivo header.php de seu tema. Para desabilitar, remova a linha de código a seguir:

<meta name=”generator” content=”WordPress &lt;?php bloginfo(‘version’); ?&gt;” />

Outra maneira de remover esta informação é adicionar o código abaixo ao seu arquivos functions.php:

<?php remove_action(‘wp_head’, ‘wp_generator’); ?>

Esta linha força a remoção da informação de forma dinâmica.

3. Use senhas fortes

Muitas ameaças potenciais podem ser evitadas com bons hábitos de segurança e uma senha forte é um aspecto muito importante a ser ressaltado.

O objetivo da sua senha é dificultar que outras pessoas possam ‘adivinhar’ sua senha e também para evitar que ataques de força bruta sejam bem-sucedidos. Em linhas gerais, um ataque de força bruta é quando o hacker tenta uma combinação de login e senha seguidas em seu site até conseguir uma combinação bem sucedida e por fim, ter acesso ao seu painel de administração e a partir daí, o “Céu” é o limite, infelizmente.

Uma dica grátis: existem diversos geradores automáticos de senhas que podem ser usados para criar senhas seguras.

Além disso, o WordPress também tem um medidor de segurança das senhas, que é exibido sempre que você está definindo ou alterando uma senha no WordPress. Use sempre esta ferramenta para garantir que está usando senhas adequadas.

Quando estiver escolhendo uma senha:

• Nunca use pequenas alterações no seu nome real, nome de usuário, nome da sua empresa ou nome do seu site.
• Nunca utilize apenas uma palavra do dicionário, em qualquer idioma.
• Evite usar senhas curtas
• Evite usar senhas que tenham somente letras ou somente números (uma combinação dos dois é o ideal).

Uma senha forte não serve só para proteger o seu conteúdo. Um hacker que tenha acesso à sua conta de administração terá poderes para instalar scripts maliciosos que inclusive poderão comprometer todo o servidor. Estamos entendidos?

4. Limite o número de tentativas de acesso

Usuários não autorizados podem tentar fazer o login para o seu site usando uma variedade de combinações de nomes de usuário e senhas, utilizando programas próprios para essa tarefa é bem provável que consigam. Olha o ataque de força bruta aí, ó.

Para evitar mais essa forma de ataque instale o plugin Limit Login Attempts para limitar o número de tentativas de login que um único usuário pode fazer com a criação de uma cota, ultrapassando esse número, o usuário será bloqueado. 

5. Sempre. Sempre faça Backup do seu banco de dados

Em caso de seu site ser invadido, você ainda ter a possibilidade de restaurar tudo a partir de um backup. Defina o horário, dia da semana para realização do backup, e o mais importante: o local. Isto pode ajudar a estar novamente online muito mais rápido caso haja um problema. O aconselhado é manter um backup do FTP desde a última atualização e realizar backups periódicos apenas da pasta uploads.

Localização do backup de banco de dados no painel de controle da KingHost:

Painel 1: gerenciar bancos Mysql (ao lado da base criada no ícone “efetuar download do backup”).

Painel 2: Editar bancos Mysql.

6. Não use o usuário padrão “ADMIN”

Por último, porém não menos importante: sempre que você faz uma nova instalação do WordPress, por padrão, cria-se um usuário chamado “admin”. Usar esse login é um dos erros mais básicos que facilitam os ataques.

Para invasões pelo login, o hacker precisa do usuário e senha, a primeira tentativa que será feita é o uso do usuário “admin”.

Por esse motivo é importante se criar um usuário único e tão difícil quanto a senha, pois robôs, usados para as invasões, tentam vários usuários e senhas aleatórias até descobrir e conseguir o acesso ao seu painel administrativo. Se você não fez isso na instalação é possível alterar diretamente no banco de dados, acessando o seu mysql e alterando o login admin por outro ou ainda criando um novo usuário com poderes máximos, logando com esse outro usuário e em seguida apagando o admin.

Estas dicas de segurança para WordPress servem como ponto de partida para quem tem algum conhecimento de segurança no WordPress ou para complementar as experiências dos que já aplicam técnicas para proteção de seus sites ou blogs.