Segurança para o seu blog em WordPress

Só para pontuar, novamente, o WordPress é seguro sim.

Se você tem alguma dúvida, pode verificar porque Target, Toyota, Vogue, Disney, Snoop Dogg, Ariana Grande, LL Cool J, Same Boat, Dave Matthews Band, The Rolling Stones utilizam.

Acha mesmo que gente desse porte daria margem para a sorte?

O problema de segurança começa com as más práticas, hospedagem de baixa qualidade, falta de atualização do core, plugins e temas, utilização de plugins e temas piratas, senhas fracas, desatenção, é o que causa os problemas na maioria das vezes.

E segurança é sobre redução de riscos, não eliminação de riscos. Até porque enquanto você lê isso novos problemas de segurança devem estar aparecendo!

12.1 – Aspectos básicos de segurança no WordPress

Começando com uma boa empresa de hospedagem, possivelmente você nunca fique à mercê dos principais problemas, e nem precise de plugins mais sofisticados de segurança (menos custos com plugins), tendo então, mais resultados práticos.

Permissões de arquivos são problemáticas na web. Porta de entrada para alguns problemas. A página de login, por padrão o /wp-admin, pode ser ocultada para dificultar um pouco as coisas. Até o uso do reCaptcha do Google pode melhorar a segurança.

Outro ponto interessante, alguns plugins de segurança bloqueiam acesso de determinados países, continentes inteiros, ou o que estiver na base deles como sendo considerado inseguros, isso também ajuda a reduzir os riscos, e as vezes também os acessos.

Mas vamos a alguns pontos que merecem sua atenção.

Backup no WordPress

Comentei anteriormente no capítulo que fala de hospedagem, quem tem um backup na verdade não tem nenhum!

Nunca confie apenas no backup do seu provedor de hospedagem, infelizmente alguns são tão grandes, tem tanta quantidade de dados para armazenar, que a janela máxima de backup não ultrapassa uma semana.

Digamos que você saia de férias, seu site, saiu do ar, por algum problema, servidor foi invadido, você não monitora o mesmo, quando volta, dali a 10 dias do seu descanso, percebe que não tem mais site, e nem nenhuma cópia viável de backup recente, e nem o seu provedor.

E pode reclamar, estava escrito nas linhas miúdas do contrato que você não leu. Então vá cuidar disso imediatamente, tipo, agora!

Eu recomendei antes o UpDraft Plus, sigo recomendando. Existem outras dezenas de plugins, mas este é simples, pode armazenar na nuvem, na verdade faça os backups acontecerem, armazene em locais externos, pode ser uma conta do Dropbox, do Google Drive, do OneDrive, ou alguns outros locais disponíveis.

E a periodicidade, se for diária melhor, programe num horário dentro da madrugada (madrugada para onde se localiza fisicamente o servidor onde seu site está hospedado), para não prejudicar a performance.

Se não, dependendo da sua frequência de atualização pelo menos semanal deve ser.

Alguns provedores oferecem isso, backups externos na sua conta de preferência, se for o seu caso, configure e passe a utilizar. E outros serviços que citei anteriormente, de monitoramento de sites também possuem add-ons específicos para este fim.

Não negligencie o backup. E lembrando, um dos motivos para você otimizar as imagens do seu site é permitir que o backup seja viável.

Já tive clientes que enviavam fotos em máxima qualidade, tipo 24MP, então achavam que o site era o seu grande repositório de dados. Não faça isso.

Seus originais devem ficar bem guardados com você (e com backup na nuvem também), não inchando o seu site desnecessariamente.

Firewall no WordPress

Alguns plugins de segurança fazem isso de maneira exemplar. Recomendo que você tente All in One, BulletProof Security, NinjaFirewall, ShieldSecurity e o WordFence.

Opa, mas o que é isso afinal? Uma camada a mais de segurança entre nós e os hackers, em linguagem simplificada.

É um filtro que observa quem está acessando, e permite ou não determinados acessos a locais específicos, baseados em regras.

Os firewalls funcionam com regras e com listas predefinidas, auxiliando assim a imediata filtragem de determinados padrões e agressores já conhecidos.

Além é claro aceitarem suas personalizações específicas, como por exemplo, você definir que somente o seu IP (caso tenha um IP fixo) pode acessar a pasta /wp-admin.

Mas se o seu provedor já oferecer o serviço, prefira ficar com ele a ter que instalar ou gerenciar algo.

Se quiser algo simples, tiver habilidades para editar o .htaccess, utilizar o Apache como web server, pode tentar o 6G (já tem o 7G).

Se quiser algo mais robusto pode adquirir o WAF da CloudFlare.

Core do WordPress

Da mesma forma, mantenha o core sempre atualizado, junto com backups e plugins atualizados.

Se puder testar antes de atualizar o faça.

Plugins do WordPress

Recomendo que você mantenha seus plugins sempre atualizados.

Existem versões gratuitas e pagas, fique atento.

Temas do WordPress

Os temas também, utilize sempre de fontes confiáveis, atualizados (e os plugins que o acompanham também), nunca utilize temas “baixados por aí”, ou nulled, que são vendidos até no Mercado Livre.

Alguns plugins que acompanham temas a partir da próxima versão podem exigir atualização paga, cuide com esse ponto também.

SSL e HTTPS no WordPress

O SSL deverá estar configurado e ativo no seu site. Seus acessos ao site devem ser necessariamente via HTTPS, inclusive dos seus usuários.

Você não precisa mais adquirir certificados como a alguns anos atrás, a preços exorbitantes, renovados anualmente, pois a maioria trabalha normalmente com os certificados gratuitos, e seu provedor deve fornecer isso por padrão, verifique com eles se testar o acesso e não conseguir.

Agradeça ao Google por ter engrossado com o https!

12.2 – Meu WordPress foi invadido, e agora?

É preciso verificar com calma, só porque está dando um erro quando você acesso ao site, não significa que foi invadido.

Invasão se não for por diversão tem diversas aplicações para os hackers, a vandalização do site, uso do site para sobrecarregar outros (seu site passa a fazer parte de uma rede de sites que vai atacar outros), espalhar vírus, contaminar a máquina e dispositivos móveis dos usuários que o acessarem, roubar informações específicas e por aí vai.

Alguns sinais de invasão, não necessariamente desfigurar o site:

  • Usuários sendo inseridos no banco de dados;
  • Você perdeu o acesso à sua conta de administrador;
  • Posts e páginas são inseridas aleatoriamente;
  • Quedas repentinas ou picos de tráfego no Analytics;
  • Ao acessar o blog ele redireciona para outro site;
  • Ao acessar pelo mobile é solicitado uma ação;
  • O Google está alertando problemas no seu site para os usuários;
  • Anúncios ou pop-ups desconhecidos estão aparecendo;
  • Verifique pelo sFTP a pasta de uploads, pode ter algo lá que não deveria estar lá;
  • O arquivo wp-config.php também deve ser investigado;

O tráfego aumentou sensivelmente. Utilizar um serviço externo como o Sucuri pode confirmar as suspeitas de invasão.

Verificar os arquivos PHP alterados recentemente e olhar um por um pode ajudar a encontrar e remover infecções dos mesmos.

Pode ser necessário investigar mais a fundo com ferramentas como, Sucuri Security. Você terá um diagnóstico mais aprofundado.

Reinstalar (copiar) por cima todos os arquivos do core, menos o wp-config.php pode aliviar os sintomas imediatamente, dando algum tempo para ações adicionais.

Recomendo se proteger antes que isso tudo aconteça com o iThemes Security.

Se não estiver funcionando de maneira que você possa instalar, provavelmente você deva restaurar o site a partir do backup.

Pode ser necessário repetir este passo algumas vezes, afinal você não sabe quando o problema ocorreu, então podem existir backups comprometidos.

Pedir algum auxílio para o provedor de hospedagem pode ser uma alternativa.

12.3 – Melhores práticas de segurança no WordPress

Além do backup diário, uma varredura diária por vírus, malware e outros arquivos suspeitos é recomendável.

Se o seu software de segurança for um pouco melhor ainda vai alertar você sempre que tiver alguma coisa fora do padrão.

E é claro, sua máquina, sua estação de trabalho tem que ser segura! A invasão pode ocorrer a partir do simples roubo das suas credenciais de acesso por um programa do tipo keylogger.

12.4 – Dicas de segurança no WordPress

Algumas dicas para você considerar.

  • Não utilize admin como nome de usuário, crie um usuário com novo nome não padrão e depois elimine o anterior.
  • Se possível crie uma conta adicional com o perfil Editor, utilize ela para publicar posts e páginas, pois seu nome de autor que aparece no WordPress é o mesmo que o seu nome de administrador, logo, você já forneceu para os hackers uma informação valiosa.
  • Utilize uma senha que não consiga memorizar! Grande, números, letras maiúsculas e minúsculas, alguns símbolos como $ ou #.
  • Utilize autenticação de duas etapas, o Authenticator é uma realidade. Aliás, não só para o WordPress, para tudo.
  • Se puder utilize um dongle tipo FIDO.
  • Dê permissões para quem precisa delas. Nenhum cliente meu, enquanto eu administrar o seu site/blog, possui privilégios de administrador!
  • Mova o arquivo wp-config.php para uma pasta acima da raiz do seu site/blog, não se preocupe ele não vai parar de funcionar (só se o seu provedor for muito ruim).
  • Aliás, dentro do seu arquivo wp-config.php existem as chaves de autenticação, elas devem ser criadas por você seguindo o link que as acompanha, de tempos em tempos.
  • Seu provedor de hospedagem deve lhe fornecer a versão do PHP 7.2 pelo menos.
  • Se tiver antivírus local no seu provedor, utilize.
  • Mude todas as senhas, de tudo, painel do WordPress, painel da hospedagem, sFTP, e se souber, banco de dados.
  • Você não vai escapar de instalar um plugin de segurança, recomendo que olhe o iThemes Security, pode resolver boa parte dos problemas para você.
  • Desabilite a edição de arquivos no editor, inserindo no wp-config.php a seguinte linha: define(‘DISALLOW_FILE_EDIT’, true); Mas apenas se o seu software de segurança não o fizer.
  • Falando nele, se ele limitar a quantidade de logins errados, faça um limite 3 a 5 tentativas são suficientes para qualquer mortal.
  • Se ele permitir (e você não estiver utilizando) desabilite o XML-RPC, que é o acesso à a API do WordPress.
  • Nem preciso dizer para manter tudo atualizado, preferencialmente teste antes, backup antes.
  • Só instale plugins confiáveis, de origens confiáveis, com notas boas.
  • Temas da mesma forma, não utilize temas (e nem nada) nulled, ou de fontes inadequadas.
  • Alterar o prefixo padrão das tabelas pode ajudar a dificultar a vida dos hackers, mas só se souber o que está fazendo.
  • Uma CDN como a CloudFlare pode fornecer alguns níveis de proteção, a versão paga mais barata oferece proteção e recursos adicionais de segurança, como um firewall.
  • Apague plugins e temas inativos.
  • Desativar a pesquisa de diretórios.
  • Permissões de pastas em 755 e de arquivos em 644 devem ser suficientes.

Um site invadido significa perda de receita, reputação, credibilidade, mais trabalho, horas perdidas e investimentos.

12.5 – Segurança no WooCommerce

O WooCommerce é o plugin mais utilizado para vendas no WordPress.

Ele pode ser afetado diretamente pelas mesmas ameaças que afetam o WordPress.

A segurança do servidor, a segurança entre o site e o usuário, a integração com os meios de pagamentos, todos são pontos passíveis de problemas sérios.

Uma hospedagem mais robusta com suporte a PCI Security Standards pode ser uma boa alternativa, bem como o SSL funcionando.

Não armazenar dados confidenciais que não sejam necessários. Manter tudo atualizado, backups regulares e controle rígido sobre quem administra a plataforma auxiliam na segurança.

12.6 – Auditoria de segurança no WordPress

O nome é bonito, mas é só para dizer que você deveria olhar algumas coisas de tempos em tempos.

Você deveria realmente instalar um plugin de segurança como o iThemes Security, ele lhe forneceria acesso aos logs de maneira um pouco mais facilitada.

Algumas coisas indicam tentativas de acesso indevido, muitas solicitações de login com erros, quantidade elevada de acesso a arquivos específicos ou que não existem, muitos erros gerados, muitas buscas com caracteres estranhos, e por aí vai.

Se você não controla isso (ou não tem um plugin que o faça) é muito difícil saber que essas coisas estão ocorrendo.

Verificar os logs de erro com alguma frequência também é uma boa prática. Existem também outros logs, localizados no provedor de hospedagem.

12.7 – Erros comuns de segurança no WordPress

Achar que nenhum hacker tem interesse em invadir o seu site, fornecer credenciais de acesso a qualquer um, inclusive ao suporte do seu provedor de hospedagem, são alguns erros comuns.

Senhas fracas, não ativar o Google Search Console, não controlar o backup, não utilizar nenhum plugin de segurança, não restringir acessos/permissões, entre outros, nas dicas acima temos muitas que são o contrário dos erros mais comuns.

Fiapo
Fiapo

Eu sou Gustavo Tagliassuchi, minha formação é em tecnologia em informática, me especializei em desenvolvimento de software para a web, mas minha experiência profissional desde a década de 90 inclui editoração eletrônica, gráficas, desenvolvimento de aplicativos multimídia multi-plataforma, produzi muito CD-ROM, quiosques multimídia, fui o primeiro desenvolvedor da Apple no RS.

Trabalhei em provedores de acesso à Internet, em algumas agências e também criei algumas delas (4 no total).

Ajudei a fundar a AGADi que posteriormente virou ABRADi e se multiplicou Brasil afora

Mais recentemente ainda fui sócio de uma empresa de e-mail marketing e monitoramento de mídias sociais, onde desempenhei diferentes atividades, como responsável pelo desenvolvimento de ferramentas oferecidas em padrão SAAS, fui responsável pelo suporte e atendimento de uma rede de mais de 18.000 marcas entre clientes diretos, canais e parceiros, além de dar apoio ao marketing digital da empresa.

Mas isso tudo não importa, o que importa é que eu nunca deixei de fazer web sites, atender clientes de todos os tipos e portes, e ajudar amigos e parceiros a utilizar melhor a Internet e a melhorar a qualidade dos serviços que prestavam, e até a criar produtos e escalar os mesmos.

Então, até influenciado por alguns deles, resolvi criar alguns cursos e transformar este conhecimento que adquiri em algo interessante para você.

Não vou vender nenhuma fórmula mágica, não garanto que ninguém vá ficar milionário da noite para o dia, mas eu acredito que consigo acrescentar alguma coisa da experiência que adquiri nesses últimos 27 anos para ajudar você a melhorar e a solucionar alguns problemas dos seus clientes, vou lhe ajudar a fazer a diferença na vida dos seus clientes.

Artigos: 320