CONTEÚDO INFORMATIVO

BLOG

WordPress: 5 dicas para deixar seu site mais seguro

Escrito por Marcelo Herondino

Criar um site ou blog é uma tarefa pouco complexa. Enquanto escrevo este post, dezenas (ou centenas, dependendo de quanto tempo levarei para terminá-lo) de novos sites estão sendo criados. Há pencas de tutoriais gratuitos que ensinam, passo a passo, como instalar e configurar o WordPress e, segundo prometem, “ter seu site no ar em menos de uma hora”.

Ainda que isso seja possível, essa aparente simplicidade têm levado às pessoas a desprezar alguns aspectos que podem colocar seus próprios sites em risco. E, quando isso não ocorre imediatamente, a falta de uma política de atualizações constantes faz a sua parte oferecendo brechas que fazem o deleite dos criminosos virtuais.

Neste post, vou explicar porque esses riscos são cada vez mais frequentes e o que você pode fazer para eliminá-los ou, ao menos, reduzi-los.

Pronto para saber como tornar seu site WordPress mais seguro?

WordPress: facilidade de uso e flexibilidade

Há algum tempo (mais ou menos até o começo da década de 2000), quem precisava ter um um site tinha duas opções: contratar uma empresa para executar o projeto ou usar uma das poucas plataformas disponíveis (como o famoso Blogger). Na primeira opção, as páginas eram quase sempre estáticas, o que limitava as opções de conteúdo. Nos blogs, era possível publicar opiniões e informações, mas o visual e outros fatores estavam “presos” à plataforma escolhida.

Naquele tempo, a única questão de segurança com a qual os donos de sites tinham que se preocupar era relacionada com a senha de acesso à plataforma, isso quando usavam uma. Via de regra, tudo ficava por conta das empresas que desenvolviam os sites.

Em 2004, o WordPress chegou para alterar o cenário de criação de sites. Oferecendo mais flexibilidade, opções de design e facilidade de instalação e uso, a ferramenta logo caiu no gosto das pessoas, que enxergaram ali uma forma de ter mais autonomia e custos menores para criar e manter seus próprios sites.

Atualmente, com sites dinâmicos que incluem diversos recursos e especialmente, comércio eletrônico, as coisas evoluíram muito. O WordPress é o sistema de gerenciamento de conteúdo mais popular do mundo e já responde por mais de 35% de todos os sites existentes na internet.

Como é fácil de imaginar, essa imensidão de sites representa para os criminosos virtuais um verdadeiro paraíso. Ao mesmo tempo em que o WordPress pode ser muito seguro, versões antigas da plataforma e plugins desatualizados (ou de origem duvidosa), além de configurações mal feitas são as principais portas de entrada para que terceiros assumam seu site.

Assim, são milhões de tentativas de invasão aos sites todos os dias, provenientes de computadores espalhados pelo mundo. Por isso, é importantíssimo tomar providências para reduzir os riscos.

Por que alguém iria invadir o seu site?

Se você tem uma loja virtual, invadir o seu site por si só pode dar acesso a informações sobre seus clientes, produtos, faturamento, dados bancários etc. Ter essas informações roubadas dará a você muita dor de cabeça, sem contar as perdas de credibilidade e, claro, dinheiro.

Nesse ponto, você pode estar pensando: “ah, mas eu tenho um site simples, não vendo produtos, apenas descrevo meus serviços e tenho um blog. Por que alguém perderia tempo para invadi-lo?

Nesse caso, ainda que existam outros motivos, a melhor resposta é: porque é possível. Simples assim. Muitos ataques a sites WordPress são feitos de forma automática, por robôs que vasculham periodicamente a internet à procura de brechas. Ao encontrar uma, executam o ataque sem ao menos se importar com a relevância do alvo.

Após invadir (ou “hackear”, se você preferir o termo) e verificar que não há muita coisa relevante, os criminosos podem usar seu site como um “zumbi” para atacar automaticamente outros sites ou enviar spam para milhares de destinatários.

Quando isso acontece, além da credibilidade com seu público (qualquer que seja o tamanho dele), você perde com a inclusão do seu site em listas-negras da internet e sites anti-spam, que passarão a bloquear o acesso e até mesmo mensagens legítimas que você tentar enviar. Recuperar isso dá trabalho.

O WordPress é seguro?

O WordPress funciona, basicamente, por meio da integração entre três elementos: o núcleo do sistema, templates e plugins. O primeiro componente é mantido pela comunidade de desenvolvedores e os demais por programadores independentes ou empresas de desenvolvimento.

Trata-se de uma plataforma bastante segura, desde que você tome alguns cuidados básicos. A segurança de um site depende, quase sempre, de ações preventivas tomadas pelos seus administradores.

Cada um dos componentes do WordPress, individualmente, recebe atualizações periódicas para implementação de melhorias ou correção de falhas, incluindo eliminação de brechas de segurança que podem servir de porta para ataques. Por isso, é imprescindível atualizar sempre esses itens, de modo a minimizar as chances de sofrer uma invasão.

Além disso, outras medidas podem ser tomadas para evitar que pessoas mal intencionadas consigam invadir seu site. Veja a seguir algumas das principais sugestões.

Como reduzir o risco de ter seu site invadido?

Existem diversas ações que podem/devem ser tomadas para reduzir os riscos de ter seu site invadido ou minimizar os prejuízos de uma invasão.

1. Mantenha os componentes do WordPress atualizados

wpgears iconNível de dificuldade: básico

Crie o hábito de, ao menos uma vez por quinzena (se puder, semanalmente), verificar o status de atualização do WordPress, além dos temas e plugins instalados. Para isso, acesse a opção “Atualizações” do painel de administração e verifique se há componentes desatualizados. Se isso acontecer, o próprio painel dará a opção para atualizá-los imediatamente.

ATENÇÃO!

a) alguns componentes (como plugins que são fornecidos juntamente com temas) não podem ser atualizados diretamente, sendo necessário uma atualização do próprio tema;

b) antes de atualizar o próprio WordPress, é recomendável fazer um backup do seu site. Depois, ler as especificações da nova versão e, se possível, testar em um ambiente de desenvolvimento antes de fazê-lo no site “oficial”;

c) outra coisa que você deve fazer, sempre que possível, é verificar a compatibilidade da nova versão dos plugins ou temas com a sua versão do WordPress (às vezes, é exibida uma mensagem do tipo “não testado com sua versão do WordPress). Embora raramente isso cause algum dano, em plugins mais críticos (como o WooCommerce, por exemplo), é sempre importante ter certeza do que se está fazendo.

 

Painel de atualizações do WordPress

2. Remova plugins e temas não usados

wpgears icon Nível de dificuldade: básico

Não é raro que se deixe de usar um determinado tema ou plugin. Nesse caso, é comum que as pessoas deixem o componente no site, mesmo desativado.

Quando falamos de plugins e temas do WordPress, menos é mais. Se não está usando um desses elementos, exclua-o completamente do site. Não há motivos para permitir eventuais brechas de segurança (sim, eles podem ser portas de entrada mesmo desativados) e realizar manutenção em partes do site que você não usa mais.

3. Tenha atenção aos usuários e senhas do seu site

wpgears icon Nível de dificuldade: básico

Por padrão, o WordPress sugere a criação de um usuário “admin”. Esse usuário costuma ser usado em ataques de força-bruta, por isso é indicado não mantê-lo na base de dados. E, pelo menos uma vez por mês, dê uma olhada na lista de usuários do site para verificar se não há nada de estranho por lá.

Existem ferramentas que são usadas para explorar configurações padrão do WordPress, usando uma técnica conhecida como “força-bruta”, com tentativas repetidas de login no site. Aqui, por meio de robôs e um arquivo padrão com as senhas mais comuns, o invasor executa um script que automaticamente tenta acessar o site como administrador.

Com relação às senhas, procure utilizar senhas fortes (o próprio WordPress costuma sugeri-las) e trocar periodicamente.

4. Utilize um plugin de segurança para ser avisado de ações críticas

wpgears icon Nível de dificuldade: intermediário

Uma boa prática de segurança é instalar um plugin específico para avisá-lo, por e-mail, quando forem efetuadas operações que envolvem a segurança do site, como tentativas de login, instalação ou ativação de plugins, dentre outras.

A vantagem aqui é que você não precisa estar logado no site, uma vez que as notificações são enviadas por correio eletrônico.

Sugiro fortemente, nesse caso, a utilização da versão gratuita do Sucuri Security, que realiza a tarefa com perfeição. Em um post futuro, vou explicar em detalhes como configurar a ferramenta.

5. Bloqueie a edição de arquivos críticos pelo painel do WordPress

wpgears icon Nível de dificuldade: avançado

Por padrão, o WordPress permite a edição de arquivos dentro do seu painel de administração. Alguns provedores já desabilitam isso na instalação, mas não é tão comum.

Como forma de aumentar a segurança, você pode desabilitar essa opção (mas ainda poderá alterar seus arquivos via uma ferramenta de FTP).

Para fazer isso, basta incluir no seu arquivo wp-config.php a seguinte linha:

define(‘DISALLOW_FILE_EDIT’, true);
 

Conclusão

O WordPress é uma ferramenta bastante segura. Entretanto, por ser um dos CMS mais usados no mundo, seus sites costumam ser alvo constante de criminosos virtuais.

Como você pôde perceber, há várias formas de proteger seu ambiente. Neste post, citei apenas algumas delas. Se você precisar escolher, execute no mínimo as duas primeiras sugestões (atualizações e cuidado com usuários e senha). Isso, por si só, já aumentará bastante sua segurança se comparado com a maioria dos outros sites.

Em futuras publicações, vou passar algumas outras dicas e mesmo detalhar algumas em forma de tutorial. Para o WordPress, assim como em uma residência, quanto mais barreiras você colocar, mais protegido estará seu patrimônio (no caso, seu site).

Embora muitas dessas ações possam ser executadas pelo próprio dono do site, um especialista pode ajudá-lo a traçar um plano de segurança e manutenção ajustado para suas necessidades. Se quiser saber mais sobre o assunto ou ter uma análise gratuita do seu site, envie uma mensagem que terei prazer em ajudá-lo.

 

Comentários

Comentários

0 comentários

Enviar um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Vamos começar

Pronto para ter um site que faz a diferença? Vamos trabalhar juntos!

Pin It on Pinterest