10 dicas para manter seu site em WordPress mais seguro

O WordPress é o CMS (content management system) mais famoso do mundo, utilizado por milhões de websites. Inclusive este em que você lê este  artigo. Por meio dele você pode desenvolver um site, mesmo que não possua muitos conhecimentos em programação e design, além de possuir um painel de administração muito fácil de gerir.

Mas o WordPress não é usado somente por iniciantes, ele é uma ferramenta poderosa, por meio da qual grandes sites são desenvolvidos, tais como o do Ministério da Cultura do Brasil, o Data.gov que reúne todos os dados dos Estados para a União nos EUA, o portal brasileiro de notícias R7 e o portal da USP, maior universidade da América Latina. Esses são só alguns exemplos dentre milhares de grandes empresas que utilizam esta plataforma. No entanto, tal visibilidade também tem seus prejuízos, fazendo com ele seja um grande alvo de ataques de hackers mal intencionados.

E como deixar o seu site em WordPress mais seguro? Abaixo segue uma lista com 10 dicas importantes de segurança:

 1.    Mantenha o WordPress Atualizado

            Parece banal, mas muitos não mantêm a plataforma atualizada. De acordo com o portal do WordPress, mais de 50% dos sites não estão atualizados para a última versão do sistema. As atualizações do WordPress não são só para alterar temas e design, mas também para updates de segurança.

 2.    Mantenha os Plugins e Temas Atualizados

Trata-se do mesmo problema da primeira dica. Muitos não mantêm os temas (nativos e/ou comprados) e plugins atualizados. Isso pode comprometer muito a segurança do seu site.

3.    Escolha bem seus Plugins e Temas

De nada adianta manter tudo atualizado se você instala plugins e/ou temas de origem duvidosas. O WordPress é uma ferramenta open source e por isso muitos desenvolvedores criam soluções para ela. Mas isso não significa que tudo que é desenvolvido para WordPress é seguro para utilização. Se você não pode contratar uma empresa para criação de temas e plugins (quando necessário a utilização de recursos personalizados), opte por plugins e temas mais conhecidos e com boas avaliações no portal do WordPress.

 4.    Remova os usuários inativos

Como todo sistema em computador, as falhas humanas são as mais comuns. Usuários com senhas fracas e com permissão para fazerem alterações são uma combinação perigosa para seu site em WordPress. Se o usuário não precisa realizar modificações na estrutura do site, coloque-o como assinante ou autor para evitar futuras dores de cabeça.

 5.    Listagem de Diretórios

A listagem de diretórios acontece quando o servidor não encontra uma página índice em uma pasta (index.php, index.html, etc.), fazendo com que o servidor exiba o conteúdo desta, com seus arquivos e sub-pastas. Infelizmente este não é um problema apenas do WordPress, mas nem por isso descuidar deixa de ser preocupante. Se você cria pastas dentro do seu site para armazenar arquivos, backups e etc, faça o upload de um arquivo index.html em branco para cada pasta. Desta forma, não haverá risco do servidor listar o conteúdo da sua pasta.

Exemplo de Listagem de Diretórios

 6.    Utilize senhas e chaves complexas

Este é o mais notório de todos, mas nem todo mundo tem o hábito de escolher chaves de segurança mais complexas. Evite utilizar senhas comuns ou fáceis de serem descobertas. Uma boa senha deve conter letras maiúsculas, minúsculas, números, caracteres especiais e pelo menos 10 caracteres de comprimento. E isso vale para a senha do seu banco de dados do WordPress também.

 7.    Restrinja o acesso à pasta wp-admin

Para evitar o login por terceiros na tentativa de quebrar uma senha, permita que somente usuários autorizados acessem os diretórios de administradores. Para isso, os usuários devem possuir um IP fixo e o administrador do servidor, no qual o site está hospedado, deve ser o responsável por criar esta regra de acesso.

 8.    Desabilite edição de arquivos no WordPress

O principal motivo de um invasor tentar conseguir o login e senha de uma conta administrativa, é porque a mesma possui privilégios de edição dos arquivos, o que permite inserir códigos maliciosos em temas e plugins. Desativar a edição de arquivos no WordPress irá evitar que esses ataques ocorram. E, se o administrador precisar fazer alterações, é melhor fazê-la off-line e depois fazer o upload do arquivo atualizado.

 9.    Certificado SSL para login e wp-admin

Os certificados SSL são muito comuns em lojas virtuais e internet banking. Mas, na verdade, o HTTPS garante mais segurança sempre que uma informação é trocada com o servidor. Utilizar este recurso pode consumir muita banda no seu servidor, mas opte por utilizar um certificado de segurança pelo menos para o diretório wp-admin do WordPress e outras páginas que utilizem login.

10. Não pirateie plugins e temas premiuns

A maior parte do conteúdo customizável do WordPress é gratuito. Porém, alguns Recursos Premiuns, desde plugins a temas, podem ser pagos. E muitos usuários tentando se esquivar de gastar alguns dólares, procuram sites que fornecem estes recursos de forma ilegal para download. Além de prejudicar o desenvolvedor, que não recebe nada por downloads ilegais, você pode estar instalando um plugin modificado, com códigos maliciosos inseridos em seus arquivos. O mesmo vale para temas, que muitas vezes apresentam portas de entrada para invasores. Já houve casos de temas pirata que permitiam um backup diário do banco de dados e o enviava para o e-mail do hacker. E para piorar tudo, os plugins e temas piratas não são possíveis de serem atualizados o que aumenta ainda mais a insegurança do seu site.

Essas foram as 10 dicas de segurança mais importantes para manter seu site em WordPress seguro e estável. Continuem voltando aqui no Website.pt para conferirem mais dicas de segurança e novidades do WordPress.

Be Sociable, Share!

•