Checklist de segurança para WordPress: aprenda passo-a-passo.

Checklist de segurança para WordPress

O segredo para manter o WP seguro é atualização e processo. Manter temas, plugins, senhas e toda a plataforma atualizada é garantia de não ter dores de cabeça no futuro.

Aminy Gusmão 23 de abril de 2019

Audio

Não existe falha ou brecha de segurança no WordPress que não possa ser evitada ou corrigida por um bom processo.

Da mesma forma, não dá para resolver tudo de uma só vez.

O melhor a se fazer é seguir um checklist de segurança para WordPress.

Nossa Checklist de segurança para WordPress

Esse passo-a-passo serve apenas para nortear ações. É um modelo de processos para garantir que tudo seja feito, nos diversos níveis de acesso.

Página de login

Uma invasão pode acontecer de várias formas.

Boa parte da nossa checklist se aplica na página de login. Essa página é um dos principais alvos de ataques de força bruta, mas nada que algumas normas de conduta não possam evitar:

Ative a autenticação de 2 etapas;
Faça com que a mensagem de erro de login seja genérica;
Evite que façam várias tentativas de login;
Use senhas fortes com letras maiúsculas e minúsculas, números e caracteres especiais em todas as contas ou use um gerador de senhas;
Altere periodicamente sua senha.

Painel Administrativo

Muitas falhas podem acontecer por meio do mal uso do painel de controle.

É extremamente importante que áreas técnicas como esta tenham a atenção de um especialista:

Coloque senha na pasta wp-admin;
Mantenha a versão do WordPress sempre atualizada;
Não utilize uma conta com nome de usuário admin;
Crie uma conta “editor” e use-a somente para publicar seu conteúdo;
Implemente SSL em toda seção administrativa;
Instale algum plugin para verificar se algum arquivo foi editado e faça análises periódicas;
Scaneie o site a procura de vírus, malwares e falhas de segurança;
Mantenha a versão do WordPress sempre atualizada (não custa repetir!).

Tema

Não basta ter um tema bonito, é importante que o tema seja de fonte confiável e esteja sempre atualizado.

Só instale temas de fontes confiáveis;
Remova a versão do WordPress no tema;
Atualize o tema ativo para sua versão mais recente;
Apague temas inativos.

Plugins

Uma das grandes vantagens de usar o WordPress é a quantidade de plugins à disposição.

Muito cuidado na sua escolha. Os plugins podem ser brechas de segurança na plataforma.

Atualize todos os plugins para suas versões mais recentes;
Substitua plugins desatualizados por versões alternativas atualizadas;
Pense bem antes de instalar uma centena de plugins.
Apague plugins inativos;
Apenas instale plugins de fontes confiáveis.

Banco de dados

A palavra de ordem até aqui é cuidados periódicos, com o banco de dados não é diferente, a atenção contínua é sinônimo de manutenção preventiva no WordPress.

Altere o prefixo das tabelas;
Faça ou configure backups periódicos do seu banco de dados;
Sempre use senhas com letras maiúsculas e minúsculas, números e caracteres especiais no usuário do banco de dados.

Hospedagem

Não basta ter uma hospedagem, é necessário também buscar o melhor para as necessidades do seu site.

Além de espaço e infraestrutura a sua hospedagem deve oferecer segurança.

Caso contrário, seu servidor pode facilitar a escalagem de privilégios. Consequentemente um hacker pode obter acesso ao interior da sua hospedagem a partir de uma aplicação que não esteja devidamente configurada.

Certifique-se que seu arquivo wp-config.php não possa ser acessado por outras pessoas;
Acesse seu servidor apenas por SFTP ou SSH;
Configure as permissões das pastas para 755 e arquivos para 644 (conforme a documentação);
Remova ou bloqueie via .htaccess os arquivos license.txt, wp-config-sample.php e readme.html;
Contrate uma hospedagem de confiança;
Desabilite o editor pelo wp-config.php com o código: define(‘DISALLOW_FILE_EDIT’,true);
Previna a pesquisa de diretórios via .htaccess com o código: Options All -Indexes.