Não existe falha ou brecha de segurança no WordPress que não possa ser evitada ou corrigida por um bom processo.
Da mesma forma, não dá para resolver tudo de uma só vez.
O melhor a se fazer é seguir um checklist de segurança para WordPress.
Nossa Checklist de segurança para WordPress
Esse passo-a-passo serve apenas para nortear ações. É um modelo de processos para garantir que tudo seja feito, nos diversos níveis de acesso.
Página de login
Uma invasão pode acontecer de várias formas.
Boa parte da nossa checklist se aplica na página de login. Essa página é um dos principais alvos de ataques de força bruta, mas nada que algumas normas de conduta não possam evitar:
- Ative a autenticação de 2 etapas;
- Faça com que a mensagem de erro de login seja genérica;
- Evite que façam várias tentativas de login;
- Use senhas fortes com letras maiúsculas e minúsculas, números e caracteres especiais em todas as contas ou use um gerador de senhas;
- Altere periodicamente sua senha.
Painel Administrativo
Muitas falhas podem acontecer por meio do mal uso do painel de controle.
É extremamente importante que áreas técnicas como esta tenham a atenção de um especialista:
- Coloque senha na pasta wp-admin;
- Mantenha a versão do WordPress sempre atualizada;
- Não utilize uma conta com nome de usuário admin;
- Crie uma conta “editor” e use-a somente para publicar seu conteúdo;
- Implemente SSL em toda seção administrativa;
- Instale algum plugin para verificar se algum arquivo foi editado e faça análises periódicas;
- Scaneie o site a procura de vírus, malwares e falhas de segurança;
- Mantenha a versão do WordPress sempre atualizada (não custa repetir!).
Tema
Não basta ter um tema bonito, é importante que o tema seja de fonte confiável e esteja sempre atualizado.
- Só instale temas de fontes confiáveis;
- Remova a versão do WordPress no tema;
- Atualize o tema ativo para sua versão mais recente;
- Apague temas inativos.
Plugins
Uma das grandes vantagens de usar o WordPress é a quantidade de plugins à disposição.
Muito cuidado na sua escolha. Os plugins podem ser brechas de segurança na plataforma.
- Atualize todos os plugins para suas versões mais recentes;
- Substitua plugins desatualizados por versões alternativas atualizadas;
- Pense bem antes de instalar uma centena de plugins.
- Apague plugins inativos;
- Apenas instale plugins de fontes confiáveis.
Banco de dados
A palavra de ordem até aqui é cuidados periódicos, com o banco de dados não é diferente, a atenção contínua é sinônimo de manutenção preventiva no WordPress.
- Altere o prefixo das tabelas;
- Faça ou configure backups periódicos do seu banco de dados;
- Sempre use senhas com letras maiúsculas e minúsculas, números e caracteres especiais no usuário do banco de dados.
Hospedagem
Não basta ter uma hospedagem, é necessário também buscar o melhor para as necessidades do seu site.
Além de espaço e infraestrutura a sua hospedagem deve oferecer segurança.
Caso contrário, seu servidor pode facilitar a escalagem de privilégios. Consequentemente um hacker pode obter acesso ao interior da sua hospedagem a partir de uma aplicação que não esteja devidamente configurada.
- Certifique-se que seu arquivo wp-config.php não possa ser acessado por outras pessoas;
- Acesse seu servidor apenas por SFTP ou SSH;
- Configure as permissões das pastas para 755 e arquivos para 644 (conforme a documentação);
- Remova ou bloqueie via .htaccess os arquivos license.txt, wp-config-sample.php e readme.html;
- Contrate uma hospedagem de confiança;
- Desabilite o editor pelo wp-config.php com o código: define(‘DISALLOW_FILE_EDIT’,true);
- Previna a pesquisa de diretórios via .htaccess com o código: Options All -Indexes.
wp-config
Deu para perceber que a palavra-chave para manter o WP seguro é atualização.
Temas, plugins e senhas devem ter uma atenção especial.
Outra dica interessante é optar por temas com uma boa documentação, isso facilita muito a customização do seu site.
Opa! Não conseguimos encontrar o seu formulário.
