Deixando o seu blog seguro

Deixando o seu blog seguro

Todo mundo que coloca um blog no ar, logo descobre de alguma forma ruim, que a segurança é uma coisa importante. Então, vamos começar deixando o seu blog seguro.

Tem muita coisa que deve ser feita na segurança do seu blog, comecemos então pelas coisas que você mesmo pode fazer, sem depender de ninguém!

Mas observe o seguinte, não estou querendo que você seja o mestre Jedi da segurança, comece por aquilo que lhe parece mais simples, e vá evoluindo.

Deixando seu blog seguro

  • Atualização do WordPress tem que fazer! Assim como dos temas e plugins;
  • Utilize uma hospedagem de site de boa qualidade;
  • Senha boa é algo que você não deve conseguir lembrar, não use maria123 prefira algo como C4@kb0Tm2Vx0;
  • Mudar a área administrativa de lugar;
  • Instalar autenticação de duas etapas no login;
  • Instalar ReCaptcha;
  • Bloquear tentativas de login;
  • Alterar a senha periodicamente;
  • Se utilizar FTP para acessar arquivos da sua hospedagem sempre o faça via sFTP;
  • O arquivo de configuração do WordPress não precisa ficar na raiz do site, pode ficar um nível acima, e não se preocupe, o blog não vai parar de funcionar se você mudar agora;
  • Se apenas você opera o site, nada de dar usuários ou permissões excessivas para quem não precisa. O único administrador deve ser você.
  • Tenha certeza que seu provedor de hospedagem faz backup com frequência, mesmo assim faça o seu backup externo, utilize o UpdraftPlus, ele faz no Dropbox, no seu Google Drive ou no seu S3 na nuvem da Amazon, e em diversos outros serviços na nuvem;
  • O prefixo das tabelas do banco de dados não deve ser o padrão, wp_, tente alterar antes de instalar o WordPress;
  • Elimine o usuário admin se existir, crie outro administrador com outro nome antes;
  • Deixar as mensagens de erro genéricas;
  • Verificar arquivos alterados;
  • Fazer varreduras periódicas;
  • Desabilitar upload de arquivos php;
  • Ajustar permissões de pastas e arquivos;
  • Prevenir pesquisa de diretórios no .htaccess;
  • Invista num plugin de segurança, recomendo o iThemes Security, caso não possa investir, de imediato tente o 7G;
  • Monitore se o seu site está sempre online, utilize o UptimeRobot;
  • Você precisa instalar um certificado SSL e deixar seu site com https:// e agora existem opções gratuitas.
  • Ative uma CDN gratuita, recomendo CloudFlare.

 Mas nem sempre isso tudo vai funcionar

Sempre existirá algum código mau programado, alguém com más intenções, um provedor de hospedagem com baixa qualidade.

Mas você precisa ter em mente que o WordPress é maior que isso tudo, mesmo quando ocorrerem problemas de segurança!

  • Cerca de 25% dos sites da Internet são feitos em WordPress;
  • Tem a maior e melhor comunidade de usuários;
  • Alguém já deve ter tido o mesmo problema e publicou alguma coisa para lhe ajudar;
  • Sempre dá para pedir ajuda nos grupos especializados;
  • Existe muita gente que você pode contratar para lhe auxiliar;
  • Existem muitas empresas que podem lhe auxiliar também;

Então não perca tempo e nem a fé! Mas não adianta só rezar, vá fazer o seu tema de casa, converse, contrate, mas não deixe as portas abertas para o problema.

Quando ocorrer um problema

Os problemas sempre vão ocorrer, o importante é saber o que fazer quando isso acontecer.

  • Não culpe o WordPress;
  • Descubra o que aconteceu;
    • Atualizações
    • Usuários
    • Senhas
    • Backups
  • Verifique a hospedagem;
    • Vulnerabilidades de servidor;
    • Scripts;
    • Contaminação cruzada;

Lembre-se que é importante em segurança

  • Proteção;
  • Detecção;
  • Recuperação.

Você precisa ter sempre essas três prontas para funcionar.

Será que meu blog foi hackeado?

Muita gente não sabe ao certo se o seu blog em WordPress foi hackeado, até porque eventualmente os sintomas não aparecem tão facilmente.

Mas como tem gente perguntando, resolvi escrever um pouco sobre este problema que eventualmente afeta a todos nós.

Antes que alguém aqui pense que isso é um problema do WordPress, vamos deixar algumas coisas bem claras, não é! O WordPress, ou o core do WordPress é muito seguro.

Porém existem diversas outras variáveis que permitem que um blog em WordPress (ou qualquer outro tipo de blog ou CMS) seja comprometido. Vamos aos fatos.

Ser hackeado não significa que alguém não gosta de você!

  • Os ataques normalmente são automatizados e feitos aos milhares;
  • Provedores de hospedagem com brechas de segurança fornecem locais ideais para que blogs sejam invadidos;
  • Plugins mal codificados e desatualizados são uma porta de entrada;
  • Temas (templates) adquiridos de locais diferentes do desenvolvedor são fonte de malware quase certa;
  • Normalmente as infecções de blogs visam apenas
    • Redirecionar tráfego
    • Colocar arquivos de vírus e scripts para downloads
    • Consumir recursos do servidor de hospedagem para outros fins
  • Eventualmente seu blog fica inacessível, assim como a área administrativa, apenas porque seu provedor de hospedagem está totalmente sobrecarregado! Então certifique-se disto antes de fazer todo o resto abaixo!

Alguns sinais que podem indicar que você foi invadido ou comprometido:

  • Você não consegue se logar na área administrativa;
  • Seu plugin de segurança envia um aviso;
  • Quando você acessa seu blog é redirecionado para outro site que nunca ouviu falar;
  • Seu blog exibe links estranhos;
  • Conteúdo estranho é inserido;
  • Seu navegador informa que tem alguma coisa errada no seu blog;
  • O Google marca seu blog como um local inseguro, no resultado das buscas;
  • Seu provedor tira seu blog do ar;
  • O tráfego aumenta violentamente;
  • Um usuário seu avisa que tem algo errado;
  • Seus e-mails começam a voltar;
  • O Blog fica muito lento para acessar;

Tá fui invadido, e agora? Não entre em pânico;

  • É claro que você tem um backup né?
  • Se não tiver backup, faça um agora;
  • Verifique primeiro o seu computador;
  • Se estiver muito difícil contrate um profissional;
  • Fale com a empresa que hospeda o seu blog;
  • Recupere um backup de alguns dias antes de detectar o problema;

Ainda tem acesso à área administrativa?

  • Mude a sua senha, coloque uma senha de verdade;
  • Faça um scan por malware;
  • Se encontrar arquivos comprometidos substitua por versões originais limpas;
  • Cheque os usuários e as permissões;
  • Mude os SALTs (secret Keys) do wp-config.php;
  • Mude senha de FTP;
  • Melhore a segurança, instale um plugin;
  • Recostrua o seu blog se for o caso, e se necessário troque a hospedagem!

Não tenho mais acesso à área administrativa

Então o que é importante fazer para não ser invadido?

  • Visitar seu blog e acessa a área administrativa com frequência;
  • Fazer buscas e encontrar seu blog nos resultados;
  • Colocar alertas no Google Search Console;
  • Usar um bom plugin para detectar malware e mudança nos arquivos;
  • Investigar tudo que parecer estranho;
  • Usar monitoramento de uptime;
  • Não comprar temas e plug-ins que não sejam diretamente ofertados no site de quem desenvolve;
  • Atualizar temas e plug-ins, sempre!
  • E ter backup atualizado e sempre disponível.

Confira o vídeo

Tem dúvidas? Comente aí e pergunte!

Tags
Compartilhe seu amor
Gustavo Tagliassuchi
Gustavo Tagliassuchi

Eu sou Gustavo Tagliassuchi, minha formação é em tecnologia em informática, me especializei em desenvolvimento de software para a web, mas minha experiência profissional desde a década de 90 inclui editoração eletrônica, gráficas, desenvolvimento de aplicativos multimídia multi-plataforma, produzi muito CD-ROM, quiosques multimídia, fui o primeiro desenvolvedor da Apple no RS.

Trabalhei em provedores de acesso à Internet, em algumas agências e também criei algumas delas (4 no total).

Ajudei a fundar a AGADi que posteriormente virou ABRADi e se multiplicou Brasil afora

Mais recentemente ainda fui sócio de uma empresa de e-mail marketing e monitoramento de mídias sociais, onde desempenhei diferentes atividades, como responsável pelo desenvolvimento de ferramentas oferecidas em padrão SAAS, fui responsável pelo suporte e atendimento de uma rede de mais de 18.000 marcas entre clientes diretos, canais e parceiros, além de dar apoio ao marketing digital da empresa.

Mas isso tudo não importa, o que importa é que eu nunca deixei de fazer web sites, atender clientes de todos os tipos e portes, e ajudar amigos e parceiros a utilizar melhor a Internet e a melhorar a qualidade dos serviços que prestavam, e até a criar produtos e escalar os mesmos.

Então, até influenciado por alguns deles, resolvi criar alguns cursos e transformar este conhecimento que adquiri em algo interessante para você.

Não vou vender nenhuma fórmula mágica, não garanto que ninguém vá ficar milionário da noite para o dia, mas eu acredito que consigo acrescentar alguma coisa da experiência que adquiri nesses últimos 27 anos para ajudar você a melhorar e a solucionar alguns problemas dos seus clientes, vou lhe ajudar a fazer a diferença na vida dos seus clientes.

Posts relacionados

Mais visualizados

Onde fazer cursos gratuitos online?
Cursos gratuitos online
Recursos interessantes para o seu blog WordPress
Recursos interessantes para o seu blog WordPress
criacao e edicao de videos
Ferramentas para criação e edição de vídeos
O que verificar antes de colocar o seu blog no ar
O que verificar antes de colocar o seu blog no ar?