21 Dicas de Segurança pra Proteger seu site WordPress
É muito comum ver os proprietários de sites WordPress irritados com questões de segurança.
A opinião mais comum é que um software de código aberto (open source) é vulnerável a todos os tipos de ataques. Mas isso não é verdade – normalmente é o contrário. Ou, ok, digamos que é parcialmente verdade, mas mesmo assim você não deve culpar o WordPress.
Por quê? Porque costuma ser sua culpa que seu site tenha sido hackeado. Existem algumas responsabilidades que você precisa ter como proprietário de um site. Então, a questão-chave é sempre: o que você está fazendo para garantir a segurança do seu site?
Vamos ver abaixo alguns truques simples que podem ajudá-lo a proteger seu site WordPress:
Parte (a): Proteja a página de login e evite ataques de força bruta
Todos conhecem a URL padrão da página de login do WordPress. O backend do site é acessado a partir daí, e essa é a razão pela qual as pessoas tentam entrar na força bruta. Basta adicionar /wp-login.php
ou /wp-admin/
no final do seu nome de domínio e pronto, o hacker já sabe a URL que deve atacar.
O que recomendamos é personalizar o URL da página de login. Essa é a primeira coisa a ser feita para começar a proteger seu site.
Abaixo estão mais algumas sugestões para proteger sua página de login:
1. Configurar bloqueio do site e proibir os usuários
Um recurso de bloqueio limitando o número de tentativas de login pode resolver um enorme problema, pois não dará mais pra ficar usando força-bruta, testando milhares de senhas. Sempre que alguém tentar hackear com senhas erradas e de forma repetitiva, o site ficará bloqueado e você será notificado dessa atividade não autorizada.
O plugin iThemes Security é um dos melhores plugins desse tipo, e já o uso há muito tempo. Esse plugin tem muito a oferecer a esse respeito. Você pode especificar um certo número de tentativas de login, após as quais o plugin proíbe acessos do endereço IP do invasor.
2. Use a autenticação de dois fatores
Apresentar a autenticação de 2 fatores (2FA) na página de login é outra boa medida de segurança. Nesse caso, o usuário fornece detalhes de login para dois componentes diferentes. O proprietário do site decide o que esses são esses dois fatores. Pode ser uma senha regular seguida de uma pergunta secreta, um código secreto, um conjunto de caracteres, etc.
Há pessoas que preferem usar um código secreto ao implantar o 2FA em seus sites. O plugin do Google Authenticator pode ajudar com isso em apenas alguns cliques.
3. Use o email como login
Por padrão, você deve inserir seu nome de usuário para fazer login. Usar uma ID de email em vez de um nome de usuário é uma abordagem mais segura. Os motivos são bastante óbvios. Os nomes de usuário são fáceis de prever, enquanto as IDs de e-mail não são. Além disso, qualquer conta de usuário do WordPress sempre é criada com um endereço de e-mail exclusivo, tornando-se um identificador válido para iniciar sessão.
O plug-in de Login por Email do WP funciona muito bem para isso. Ele começa a funcionar logo após a ativação e não requer nenhuma configuração.
Para testá-lo, basta sair do seu site e, em seguida, fazer login novamente, mas desta vez use o endereço de e-mail com o qual você criou a conta.
4. Renomeie seu URL de login
Alterar a URL de login é algo muito fácil de ser feito. Por padrão, a página de login do WordPress pode ser acessada facilmente em wp-login.php
ou wp-admin
, adicionado à URL principal do site. Exemplo: http://seublog.com/wp-admin
Quando os hackers conhecem a URL da sua página de login, eles podem tentar entrar na força bruta. Tentam fazer login com o GWDb (Guess Work Database, ou seja, um banco de dados de nomes de usuário e senhas, por exemplo, nome de usuário: admin
e senha: p@ssword
… com milhões de tais combinações).
Então, até este momento – se você acompanhou – já restringimos as tentativas de login do usuário e trocamos os nomes de usuário por IDs de e-mail. Agora podemos substituir o URL de login e eliminar 99% dos ataques diretos de força bruta.
Este pequeno truque restringe a entrada de alguém mal intencionado na página de login. Somente alguém com a URL exato pode fazer isso. Mais uma vez, o plugin iThemes Security pode ajudá-lo a alterar seus URLs de login. Algo como:
- Altere
wp-login.php
para algo único; por exemplomy_new_login
- Alterar
/wp-admin/
para algo único; por exemplomy_new_admin
- Mude
/wp-login.php?action=register
para algo único, ex:my_new_registration
5. Ajuste suas senhas
Trabalhe com as senhas do site e mude-as regularmente. Melhore sua força adicionando letras maiúsculas e minúsculas, números e caracteres especiais. Esse Gerador de Senha, por exemplo, pode te ajudar nessa tarefa.
Parte (b): proteja seu painel de administração
Para um hacker, a parte mais desejada de um site é o Painel do Administrador, que é de fato a seção mais protegida de todos. Então, atacar a parte mais forte é o verdadeiro desafio e, se cumprido, dá ao hacker uma vitória moral e o acesso para causar um dano enorme.
Veja o que você pode fazer para se proteger:
6. Proteja o diretório wp-admin
O diretório wp-admin é o coração de qualquer site do WordPress. Portanto, se esta parte do seu site for violada, todo o site pode ficar danificado.
Uma maneira de evitar isso é proteger com senha o diretório wp-admin . Com essa medida de segurança, o proprietário do site pode acessar o painel exibindo duas senhas. Um protege a página de login e a outra a área de administração do WordPress. Se os usuários do site forem obrigados a acessar algumas partes específicas do wp-admin , você pode desbloquear essas partes enquanto bloqueia o resto.
Você pode usar o plugin AskApache Password Protect para proteger a área de administração. Ele gera automaticamente um arquivo .htpasswd , criptografa a senha e configura as permissões de segurança do arquivo.
7. Use SSL para criptografar dados
A implementação de um certificado SSL (Secure Socket Layer) é uma jogada inteligente para proteger o painel de administração. O SSL garante a transferência segura de dados entre os navegadores dos usuários e o servidor, dificultando a invasão de hackers ou a falsificação de suas informações.
Obter um certificado SSL para o seu site WordPress não é um problema. Você pode comprar um de algumas empresas dedicadas, ou mesmo utilizar um Certificado SSL Gratuito .
O certificado SSL também afeta o ranking do seu site no Google. O Google classifica sites com SSL superiores aos que não possuem. Isso significa mais tráfego. Quem não quer isso?
8. Adicione contas de usuários com cuidado
Se você tiver um blog do WordPress com vários autores, então você precisa lidar com várias pessoas que acessam seu painel de administração. Isso pode tornar seu site mais vulnerável a ameaças de segurança.
Você pode usar um plugin que force seus usuários a usarem senhas fortes, assim você garante que as senhas que utilizam sejam seguras. Esta é apenas uma medida de precaução.
9. Altere o nome de usuário do administrador
Durante a instalação do WordPress, você nunca deve escolher “admin” como o nome de usuário da sua conta de administrador principal. Esse nome de usuário é fácil de adivinhar e acessível para hackers. Metade do trabalho dos hackers já estará feita, só vão precisar descobrir a senha, pois já sabem o ID do administrador.
Novamente, o plugin de iThemes Security pode interromper tentativas de Login do usuário Admin, de forma inteligente, proibindo imediatamente qualquer endereço IP que tente fazer login com esse nome de usuário.
10. Monitore seus arquivos
Se você quiser alguma segurança extra adicionada, você pode monitorar as alterações nos arquivos do site através de plugins como Wordfence ou, novamente, iThemes Security.
Parte (c): Proteja o banco de dados
Todos os dados e informações do seu site são armazenados no banco de dados. Cuidar disso é crucial. Aqui estão algumas coisas que você pode fazer para torná-lo mais seguro:
11. Altere o prefixo da tabela de banco de dados do WordPress
Se você já instalou o WordPress, você está familiarizado com o prefixo wp-
table que é usado pelo banco de dados. É recomendado que você mude isso para algo único.
O uso do prefixo padrão torna o banco de dados do site propenso a ataques de injeção SQL. Esse ataque pode ser evitado mudando wp-
para algum outro termo, por exemplo, você pode usar mywp-
, wpnew-
, etc.
Se você já instalou seu site do WordPress com o prefixo padrão, então você pode usar alguns plugins para alterá-lo. Plugins como WP-DBManager ou iThemes Security podem ajudá-lo a fazer o trabalho com apenas um clique de um botão. (Certifique-se de fazer uma cópia de segurança do seu site antes de fazer qualquer coisa no banco de dados).
12. Faça backup de seu site regularmente
Não importa o quão seguro o seu site é, sempre há margem para melhorias. E no final das contas, manter um backup, longe de seu servidor original, talvez seja o melhor antídoto, não importa o que aconteça.
Se você tem um backup, você sempre pode restaurar seu site WordPress para um estado de trabalho sempre que desejar. Existem alguns plugins que podem ajudá-lo a esse respeito. Por exemplo, existem todos estes.
Se você está procurando uma solução premium, então eu recomendo o VaultPress pela Automattic, o que é excelente. Eu tenho configurado para criar backups a cada 30 minutos. E se alguma coisa ruim acontecer, eu posso facilmente restaurar o site com apenas um clique. Além disso, ele também verifica meu site em busca de malware, e me avisa se alguma coisa está acontecendo.
Outra opção é utilizar o site DropMySte. Ele faz backups diário dos seus arquivos e do seu banco de dados, e é super fácil restaurar caso tenha problemas.
13. Defina senhas fortes para o seu banco de dados
Uma senha forte para o usuário principal do banco de dados é uma obrigação!.
Como sempre, use letras maiúsculas, minúsculas, números e caracteres especiais para a senha. Recomendamos mais uma vez usar um gerador de senhas para isso
Parte (d): Proteja sua configuração de hospedagem
Quase todas as empresas de hospedagem afirmam fornecer um ambiente otimizado para o WordPress, mas ainda podemos dar um passo adiante:
14. WAF (Web Application Firewall)
Ao falarmos em proteção de Hospedagem, não há nada mais eficiente e completo que o novo conceito de Firewall para Web, mais conhecido como WAF – Web Application Firewall para WordPress.
O WAF para WordPress é um filtro de acesso ao ser servidor de hospedagem, que aplica um conjunto de regras, com o objetivo de proteger seu site de ataques comuns, tais como Cross-Site Scripting (XSS) e SQL Injection e DDoS. Isso tudo, antes mesmo do atacante sequer chegar ao seu servidor de hospedagem.
Esse tipo de serviço é muito recomendável e pode ser contratado individualmente, ou como parte integrante dos serviços disponibilizados por uma boa CDN (Veja o que é CDN).
15. Proteja o arquivo wp-config.php
O arquivo wp-config.php contém informações cruciais sobre sua instalação do WordPress e, de fato, é o arquivo mais importante no diretório raiz do seu site. Protegê-lo significa proteger o núcleo do seu blog WordPress.
É difícil para hackers violar a segurança do seu site se o arquivo wp-config.php se tornar inacessível para eles.
A boa notícia é que fazer isso é realmente fácil. Basta pegar o seu arquivo wp-config.php e movê-lo para um nível superior ao seu diretório raiz.
Agora a questão é, se você armazená-lo em outro lugar, como o servidor irá acessá-lo? Na arquitetura atual do WordPress, mesmo que o arquivo de configuração seja armazenado um nível acima do diretório raiz, o WordPress ainda poderá vê-lo.
16. Proibir a edição de arquivos
Se um usuário tiver acesso de administrador ao seu painel do WordPress, ele pode editar quaisquer arquivos que façam parte da instalação. Isso inclui todos os plugins e temas.
No entanto, se você não permitir a edição de arquivos, mesmo que um hacker obtenha acesso de administrador ao seu painel do WordPress, eles ainda não poderão modificar nenhum arquivo.
Adicione o seguinte ao arquivo wp-config.php (no final):
define('DISALLOW_FILE_EDIT', true);
17. Conecte o servidor corretamente
Ao configurar seu site, conecte o servidor somente através de SFTP ou SSH. O SFTP é sempre preferido ao invés do FTP tradicional por causa de seus recursos de segurança que, claro, não são atribuídos ao FTP.
A conexão do servidor dessa maneira garante transferências seguras de todos os arquivos. Muitos provedores de hospedagem oferecem este serviço como parte de seu pacote. Caso contrário – você pode fazê-lo manualmente (procure no google por tutoriais, vai achar muita coisa).
18. Defina as permissões do diretório com cuidado
As permissões de diretório incorretas podem ser fatais, especialmente se você estiver trabalhando em um ambiente de hospedagem compartilhado.
Nesse caso, alterar arquivos e permissões de diretório é uma boa jogada para proteger o site no nível de hospedagem. Definir as permissões de diretório para “755” e os arquivos para “644” protegem todo o sistema de arquivos – diretórios, subdiretórios e arquivos individuais.
Isso pode ser feito manualmente através do Gerenciador de arquivos, dentro do seu painel de controle de hospedagem, ou através do terminal (conectado via SSH) – use o comando “chmod”.
Para mais informações, você pode ler sobre o esquema de permissão correto do WordPress ou instalar o plugin iThemes Security para verificar suas configurações de permissão atuais.
19. Desativar listagem de diretórios com .htaccess
Se você criar um novo diretório no seu site e não colocar um arquivo index.html dentro dele, você ficará surpreso ao descobrir que seus visitantes podem obter uma listagem completa do diretório e de tudo o que está lá dentro.
Por exemplo, se você criar um diretório chamado “dados”, você pode ver tudo nesse diretório simplesmente digitando http://www.seublog.com/dados/ no seu navegador. Nenhuma senha ou qualquer coisa é necessária.
Você pode evitar isso adicionando a seguinte linha de código no seu arquivo .htaccess :
Options All -Indexes
Parte (e): proteja seus temas e plugins do WordPress
Temas e plugins são ingredientes essenciais de qualquer website do WordPress. Infelizmente, eles também podem representar sérias ameaças à segurança. Vamos descobrir como podemos proteger os temas e plugins do WordPress da maneira correta:
20. Atualize regularmente
Todo bom produto de software é suportado por seus desenvolvedores e é atualizado frequentemente, o WordPress não foge à regra é atualizado com muita frequência. Essas atualizações destinam-se a corrigir erros e às vezes possuem patches de segurança muito importantes.
Não atualizar seus temas e plugins pode significar sérios problemas. Muitos hackers contam com o fato das pessoas não se preocuparem em atualizar seus plugins e temas. Na maioria das vezes, esses hackers exploram erros e falhas de segurança que já foram corrigidas nas versões atuais.
Então, se você estiver usando os produtos do WordPress, atualize-os regularmente plugins, temas, tudo.
21. Remova o número da versão do WordPress
Seu número de versão atual do WordPress pode ser encontrado com muita facilidade.
Isso é algo básico, se os hackers sabem qual versão do WordPress você usa, é mais fácil para elas criarem o ataque perfeito.
Quase todos os plugins de segurança que mencionamos acima podem ajudar você, ocultando o número de versão do seu WordPress.
Uma opção também é utilizar a ferramenta de rate limit para WordPress da GoCache. Caso queira conhecer mais sobre o recurso, acesse a página – Rate Limit para WordPress