A segurança do WordPress é um tema de grande importância para todos os usuários da plataforma. A cada semana, o Google coloca em sua lista negra milhares de sites infectados. Essa prática rotineira do maior buscador do mundo visa manter a internet mais segura.
E uma vez que o seu site passe ocupar a lista negra, você pode perder tráfego, relevância e muito mais.
Por isso, se você tem interesse em manter o seu site seguro, deve ficar atento às práticas recomendadas de segurança do WordPress. Neste artigo, você vai conferir as principais dicas para realizar um verdadeiro checklist de segurança e assim tornar o seu WordPress mais seguro. Continue com a gente!
Porque manter o meu WordPress seguro?
Bem, um site em WordPress hackeado pode causar sérios danos para a sua empresa.
Os hackers podem roubar informações do usuário, senhas, instalar softwares mal-intencionados e até mesmo distribuir malwares para seus usuários.
Embora, a plataforma principal do WordPress seja muito segura e auditada regularmente por centenas de desenvolvedores, muito pode ser feito para fortalecer seu site. Nós acreditamos que a segurança não é apenas eliminação de riscos, mas também a redução dos mesmos. Para isso, temos várias etapas práticas, e uma delas é um checklist de segurança, que te auxiliará no combate a pessoas mal intencionadas.
Lembre-se que o barato muitas vezes saí caro, portanto investir em prevenção quando o assunto é segurança é economia de tempo e dinheiro.
Vamos lá?
Mantenha o WordPress Atualizado
O WordPress é uma plataforma de código aberto que é regularmente mantido e atualizado. Por padrão, o WordPress instala automaticamente pequenas atualizações, mas para grandes lançamentos, você precisa iniciar manualmente a atualização. Manter o WordPress atualizado é fundamental para um checklist de segurança eficaz.
Afinal a cada nova versão, novos protocolos de segurança são implantados, além de melhorias e novos recursos que integram as atualizações.
O WordPress também vem com milhares de plugins e temas que você pode instalar em seu site. Esses plug-ins e temas são mantidos por desenvolvedores de terceiros que também lançam atualizações regularmente e, essas atualizações de todos os recursos são cruciais para a segurança e a estabilidade do seu site. Então é fundamental que você tenha certeza de que o núcleo, os plugins e o tema do WordPress estão atualizados.
Em nosso blog, temos um artigo dedicado a importância da atualização do WordPress. Então, clique aqui se você quer saber Por que manter seu WordPress atualizado?
Senhas e permissão de usuários
Com o WordPress atualizado, é importante que você pense: as pessoas que usam a plataforma possuem uma senha segura para acessar o painel? Na maioria das vezes, as tentativas de invasão ao WordPress são através de senhas roubadas. Para evitar, coloque em seu checklist de segurança a elaboração de senhas mais fortes, exclusivas para o seu site. Não apenas para a área de administração do WordPress, mas também para contas FTP, banco de dados, conta de hospedagem WordPress e seu endereço de e-mail.
Outra maneira de reduzir o risco é gerenciando com cuidado as permissões de usuário. Se você tem uma grande equipe ou autores convidados, certifique-se de entender as funções e os recursos do usuário no WordPress antes de adicionar novas pessoas ao sistema de gerenciamento.
Hospedagem
Seu serviço de hospedagem WordPress desempenha um dos papéis mais importantes quando se fala em um checklist de segurança. Um bom provedor de hospedagem oferece medidas extras para proteger seus servidores contra ameaças comuns. Então, pesquise bem antes de escolher esse serviço. Se você precisa entender mais sobre hospedagem compartilhada e dedicada, aconselhamos a leitura deste artigo: Hospedagem dedicada – Tudo que você precisa saber.
Leia também: Servidor compartilhado, dedicado e cloud – Descubra a melhor opção para seu site WordPress
Backup
Você está com o backup do seu site WordPress em dia? O backup é item indispensável para um checklist de segurança. Os backups são sua primeira defesa contra qualquer ataque do WordPress. Eles permitem que você restaure rapidamente o seu site no caso de algo ruim acontecer, por isso são tão importantes.
Existem muitos plugins de backup gratuitos e pagos do WordPress mas, a dica de é: salve regularmente backups de sites completos em um local remoto (não somente em sua conta de hospedagem). Com base na frequência com que você atualiza seu website. Se possível, dê preferência para backups diários.
Plugins de Segurança
Após os backups, o próximo passo que precisamos fazer é configurar um sistema de auditoria e monitoramento que rastreie tudo o que acontece no site. Isso inclui monitoramento de integridade de arquivos, tentativas de login com falha, verificação de malware, etc. Felizmente, tudo isso pode ser feito com um plugin gratuito de segurança do WordPress, chamado Scanner Sucuri.
Leia também: 04 plugins para reforçar a segurança do seu WordPress.
Cuidado com o nome de usuário padrão
Antigamente, o nome de usuário padrão do WordPress era “admin”. Como os nomes de usuário são metade das credenciais de login, isso torna mais fácil os ataques maliciosos. Por esse motivo, o WordPress, desde então, mudou e agora exige que você selecione um nome de usuário personalizado no momento da instalação do WordPress.
No entanto, alguns instaladores do WordPress ainda definem o nome de usuário do administrador padrão para “admin”. Como o WordPress não permite que você altere os nomes dos usuários por padrão, existem dois métodos alternativos que possibilitam a alteração:
- Crie um novo nome de usuário de administrador e exclua o antigo.
- Atualizar nome de usuário do phpMyAdmin.
Limite as tentativas de login
Por padrão, o WordPress permite que os usuários tentem fazer o login quantas vezes quiserem. Isso deixa o WordPress vulnerável a ataques de força bruta, já que os hackers tentam quebrar senhas tentando fazer login com combinações diferentes.
Isso pode ser facilmente corrigido, limitando as tentativas de login com falha que um usuário pode fazer. Se você estiver usando o firewall de aplicativo da Web, isso será feito automaticamente. No entanto, se você não tiver a configuração do firewall, siga as etapas abaixo:
Primeiro, você precisa instalar e ativar o plugin Login LockDown. Após a ativação, visite a página configurações e, sem seguida, Login LockDown para configurar o plug-in.
Outra ação relacionada a login que pode evitar que se seu site seja atacado, é investir em plugins de recaptcha. A tecnologia conhecida como recaptcha impede que os usuários entre no site sem que antes preencham um pop-up afirmando que não são robôs. Muitas vezes, a ferramenta também apresenta um quadrado com uma série de imagens e solicita que o usuário selecione as imagens conforme a sua recomendação.
Todas essas ações são uma forma de aumentar a segurança e impedir que os famosos bots possam entrar em seu site.
Fique atento à LGPD
Provavelmente você já sabe que no Brasil está em vigor a LGPD (Lei Geral de Proteção de Dados). Ela foi criada com apenas um único objetivo: proteger os seus dados e de seus usuários.
Afinal, hoje em dia, com o crescimento da internet e a facilidade de enviar dados e informações para qualquer lugar do mundo, os dados são o novo petróleo e por isso, precisam ser cuidado e manipulado com muito zelo e atenção.
Por isso, avaliar se o seu site e sua metodologia de trabalho está em compliance com esta lei é fundamental. Para te ajudar a entender tudo o que você precisa saber sobre LGPD e como ela impacta sua vida profissional e pessoal, você pode conferir um dos episódios do YoghCast.
Conclusão
Ao longo deste post, você pôde conferir um verdadeiro checklist de segurança para que você possa deixar não apenas o seu site mais seguro, mas todo o universo web.
Inclusive investir em segurança, além de gerar economia de tempo e dinheiro, pois diminui as chances de ter uma série de problemas relacionados a vazamento de dados ou invasões, você aumenta a sua reputação no mercado ao mostrar que se importa com a segurança dos seus usuários e clientes.
E aí, você já segue alguns dos protocolos citados durante este artigo? Conta para a gente.
Mas se você chegou até aqui porque está em dúvida se o seu site está ou não infectado, aproveite para ler o artigo com 4 ferramentas grátis para verificar site com malware.
Agora se você não deseja perder tempo testando ferramentas e quer logo uma equipe especialista em WordPress para cuidar do site atuando tanto na área de prevenção, como no combate às invasões, aproveite para conferir o serviço de Consultoria de Segurança oferecido pela Yogh. Com ele, seu site ficará sem vírus e malware.
Obrigada por ler até aqui. Até breve!