fbpx
WordPress

Segurança WordPress: tudo o que você precisa saber sobre o assunto!

O WordPress é o CMS — sistema de gerenciamento de conteúdo — mais utilizado no mundo, em todos os tipos de sites, blogs pessoais, aplicações web, sistemas empresariais, e-commerces, entre outros.

Não é de se espantar que esse grande volume de usuários atraia a atenção das pessoas que utilizam a Internet para cometer fraudes. Isso faz com que o WordPress seja o CMS mais hackeado do mundo também.

Calma! Não precisa correr para trocar o seu CMS por causa disso, já que a maioria dos problemas de segurança do WordPress acontece por erros de configuração e gerenciamento dos próprios usuários, sendo que muitos são evitáveis com alguns procedimentos preventivos.

Neste texto, você terá todas as informações necessárias sobre segurança no WordPress para evitar futuras dores de cabeça e para corrigir os problemas atuais. Boa leitura!

Quais são as principais ameaças ao WordPress?

Como vimos, a maioria dos problemas do WordPress acontece por falha de gerenciamento. A plataforma em si é bem segura e os servidores são protegidos. Veja, abaixo, quais são as principais falhas que ameaçam a segurança do seu site com WordPress:

  • utilizar uma versão desatualizada;
  • utilizar plugins desatualizados;
  • utilizar plugins ou temas de fontes desconhecidas e sem credibilidade;
  • manter o usuário como admin;
  • usar senhas fracas;
  • não utilizar uma certificação SSL.

Percebeu como as ameaças partem de erros ou negligências humanas? É muito importante que sejam tomadas todas as ações preventivas para proteger o seu site, e você terá dicas de ouro neste texto. Basta colocá-las em prática!

Qual é a importância dos certificados e como utilizá-los?

A Internet se transformou em um meio no qual acontecem trocas constantes de informações. Quando fazemos alguma compra, transação financeira, quando entramos em uma rede social ou fazemos uma matrícula em um curso EAD, confiamos, ao site e a seu dono, nossas informações pessoais. Por isso, os certificados de segurança são tão importantes para você e para o usuário.

O que é HTTPS?

Se você utiliza a Internet há bastante tempo, já deve ter percebido que cada vez é mais comum termos sites iniciando com HTTPS, em vez de HTTP, como sempre foi desde a criação do protocolo. Esse “S” que foi adicionado ao final é relativo à palavra Secure — seguro, em português.

Ele aparece como uma forma de garantir que o site tem um método de criptografia que protege a troca de dados entre navegador e servidor, dificultando a atividade de hackers que tentam capturar essas informações no meio do caminho.

O que são os certificados SSL/TSL?

O certificado SSL/TLS avalia o HTTPS. Você provavelmente já acessou um site e teve como retorno uma tela de alerta que informava que o respectivo site tinha um certificado inválido. Esse alerta acontece quando o servidor envia um HTTPS baseado em um certificado inválido, ou seja, trocar informações com esse site não é aconselhável.

Quais são os principais tipos de certificados SSL?

Os certificados SSL precisam ser emitidos por algum agente autorizado, com credibilidade internacional. Entre os principais certificadores, estão: Symantec, GeoTrust, Thawte e Comodo. A seguir, você conhecerá os principais certificados SSL que pode solicitar para o seu site WordPress.

Certificado de Validação do Domínio

Esse certificado é recomendado para blogs pessoais e pequenos sites, e como o próprio nome sugere, ele serve para validar o domínio do site. O seu custo é bem acessível e ele oferece um nível de criptografia bem satisfatório, o que o coloca bem cotado no quesito custo-benefício.

Certificado de Validação da Organização

Esse certificado vai um pouco além do anterior, pois, além do domínio, ele também analisa a veracidade das informações da companhia responsável pelo site. É indicado para sites de empresas e lojas virtuais, pois, além da segurança web, ele comprova a existência física do empreendimento, disponibilizando as informações aos usuários

Certificado de Validação Estendida

Esse é o certificado completo, que representa o maior nível de segurança. Para que o seu site tenha um Certificado de Validação Estendida, será feita uma avaliação rigorosa da página e da empresa. Além de disponibilizar os dados básicos, essa certificação destaca a razão social da empresa na barra de endereços, antes da URL.

Qual é a relação entre certificados SSL e a quantidade de domínios?

Bom, já vimos as diferenças entre os principais certificados SSL que existem, mas você deve estar se perguntando: “Os certificados verificam o domínio específico, de modo que, se a minha empresa tiver mais de um domínio, terei de contratar mais de um certificado?”. Não! Isso dependerá do tipo de certificado que você escolher. Confira:

  • certificado SSL de domínio único — como o nome sugere, é aquele que permite a utilização em apenas um domínio;
  • certificado SSL multidomínios — esse é o indicado se você tiver vários sites, lembrando que esses certificados têm um limite de domínios que podem ser incluídos;
  • certificado SSL curinga ou WildCard — se a sua empresa tem um portal na Internet com vários sites, que têm como endereços subdomínios de uma página principal, esse certificado é para você.

Qual a diferença entre certificado SSL e SiteLock?

Enquanto o certificado SSL protege os dados do usuário com a criptografia, o SiteLock é o mecanismo de segurança que fará a varredura para detectar possíveis ameaças. O indicado é que você tenha as duas ferramentas em seu site.

Como implementar o SSL no WordPress?

O processo de implementação do SSL em seu site será simples. Basta seguir alguns passos que mostraremos abaixo. Eles servirão para a implementação em todas as URLs que você tiver. Confira!

Contrate um certificado SSL

O primeiro passo será a contratação de um certificado SSL que atenda melhor a sua proposta. Como você viu mais acima, existem certificados para os mais variados tipos e propostas de sites. A boa notícia é que você não precisará se preocupar com instalação, pois o site contratado o fará.

Altere as configurações do WordPress

Com o SSL adquirido e instalado, ative o HTTPS no back-end inserindo o código — define(‘FORCE_SSL_ADMIN’, true); no seu arquivo wp-config.php. Depois, acesse o painel administrativo com o seu domínio utilizando o HTTPS. Veja abaixo como fazer:

  • https://www.endereco.com.br/wp-admin — substitua “endereco” pelo seu domínio e verifique se você consegue acessar o back-end com o HTTPS.

Conseguindo o acesso, vá até o menu de configurações do WordPress e altere os endereços para HTTPS nos dois campos.

Atualize seu .htaccess

Ao chegar a esse estágio, todas as URLs de seu site deverão estar acessíveis via HTTPS, porém, o HTTP, sem criptografia, ainda poderá ser acessado, sem redirecionamento automático. Para solucionar isso, você deverá configurar o seu arquivo .htaccess da seguinte forma:

  • # Force HTTPS;
  • RewriteEngine On;
  • RewriteCond %{HTTPS} off;
  • RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L].

Após seguir esses procedimentos, o seu certificado SSL estará implementado, e os seus usuários e clientes poderão enviar e receber dados com mais tranquilidade.

Como garantir a segurança no WordPress em 10 passos?

No começo deste texto, você viu quais são as principais ameaças de segurança no WordPress. Também ficou sabendo que, na maioria das vezes, elas são frutos de erros de gerenciamento e configuração do próprio mantenedor do site.

A partir de agora, você aprenderá, detalhadamente, os procedimentos que deverá seguir para manter o seu site no WordPress em segurança, desde os primeiros passos, na criação do seu site, até as configurações mais aprofundadas diretamente no painel.

1. Fique atento à escolha do tema

Sim, por mais que pareça inofensivo, o tema também pode colocar a segurança do seu site em WordPress em risco. A escolha deverá ser feita visando, além do layout, à credibilidade do desenvolvedor e à validação do próprio WordPress. Portanto, escolha somente os temas que estiverem no diretório do CMS, pois eles já passaram por uma avaliação de uma equipe.

Outra preocupação que você deverá ter em relação à segurança é sobre a atualização do tema. Escolha aqueles que ofereçam atualizações constantes, já que isso mostra que a equipe de desenvolvimento está constantemente avaliando e fazendo testes de segurança e melhorias nas ferramentas.

Para checar a credibilidade e demais informações dos desenvolvedores, quando você fizer o download de um tema pago, será redirecionado para a página responsável pelo tema. Preste atenção à avaliação dos usuários e, se necessário, entre em contato com eles.

2. Seja criterioso na escolha dos plugins

Ninguém questiona a utilidade que os plugins proporcionam aos sites, tanto na interface quanto no off-page, com ferramentas de SEO, analytics, entre outras. Mas, assim como os temas, você precisa estar atento à procedência deles, para não dar brechas aos invasores. O indicado, mais uma vez, é que você utilize os plugins do diretório do WordPress e não se esqueça das atualizações.

Outro fator importante a ser dito em relação aos plugins, e que interfere na segurança, diz respeito à utilidade deles em relação ao seu site. Não baixe plugins que você não utilizará, deixando-os estacionados. Ao fazer isso, você provavelmente não fará as atualizações necessárias e eles se tornarão a porta de entrada para invasores em seu site.

3. Escolha bem as suas senhas

Você utiliza a mesma senha para todas as contas que mantém na Internet e acha que, assim, é mais fácil decorá-las? Então, saiba: você está cometendo um erro enorme em relação à segurança do seu site e de todas as outras aplicações que utiliza na web. Faça uma revisão de todas as suas senhas agora mesmo!

Se senhas facilmente quebradas são um convite aos hackers, imagine, então, se trouxerem um “combo” de logins. As melhores senhas são aquelas que têm mais de 8 caracteres e uma sequência formada por letras maiúsculas, minúsculas, números e, se possível, caracteres especiais. Nada de data de nascimento, número de casa, CEP e outras obviedades.

Se você não estiver em um dia criativo, poderá utilizar um dos vários geradores automáticos de senhas disponíveis na Internet. Não se esqueça, porém, de anotá-las, de preferência em um bloquinho de papel, e não no seu PC ou na web. Não deixe também de trocar as senhas periodicamente — o prazo recomendado é de três em três meses.

4. Faça backups regularmente

Infelizmente, muita gente só se dá conta da importância dos backups quando acontece algum desastre, e a pessoa perde todos os seus dados, ou uma parte considerável deles. Imagine só ter um trabalho de anos sendo perdido por falta de cuidado. Não dá!

Por isso, você precisa criar um cronograma de backup bem definido, com a cópia do banco de dados, de plugins, temas, imagens das pastas de uploads e arquivos do core.

Em relação às postagens, o mecanismo de revisões do WordPress acaba sendo o backup, já que, a cada alteração, é criada uma cópia da movimentação anterior, permitindo que o usuário desfaça alguma alteração indesejada.

Outra coisa que você deverá ter em mente é que quanto mais backups, melhor. Se o seu serviço de hospedagem oferece o backup, não se furte de fazer o seu também. Se possível, coloque alguém da sua equipe responsável pelo procedimento. Quanto mais redundância de backups você tiver, menores serão as chances de perder dados tão valiosos.

5. Impeça múltiplas tentativas de acesso e registro de novos usuários

Os hackers estão sempre buscando técnicas e aprimorando-se para tentar burlar os protocolos de segurança. Uma das formas que eles têm é tentar invadir o WordPress por meio de um ataque de força bruta com robôs que ficam criando múltiplas combinações de nome de usuário e senha até conseguirem burlar o sistema.

Para contra-atacar esse tipo de tentativa de invasão, o ideal é implementar a autenticação de dois fatores. Além do formulário básico, coloque mecanismos de confirmação de identidade, como filtros, antes do envio das informações mediante o login.

Pode ser a própria confirmação da identidade pessoal, com a pessoa enviando sua foto com um documento de identificação ao lado, por exemplo.

Uma forma mais simples e barata de limitar o acesso se dá com o uso do Captcha, aquele sistema que testa se o usuário é mesmo um humano. Ele é excelente para evitar múltiplas tentativas de entrada, visto que só libera um login após a validação, que pode ter várias etapas. É também uma boa solução para a proteção de conteúdos restritos.

6. Exclua os arquivos desnecessários do core

Fique atento àqueles arquivos que não influenciam em nada no funcionamento do site, mas que podem afetar a segurança do WordPress, revelando a versão do software em uso — fator que ajuda na ação dos invasores. Se você não tiver uma política de atualização, é melhor retirá-los manualmente.

É claro que isso não garante que a versão do seu WP não será descoberta, já que ainda será possível adotar técnicas de fingerprints para detectá-la, porém, você sempre deve criar formas de dificultar qualquer ação invasiva.

Pense que isso será somado a todas as outras medidas de segurança que você passará a tomar a partir de agora e que, juntas, formarão uma barreira — quanto maior o muro, mais difícil superá-lo.

Sendo assim, os arquivos do core do WordPress que necessitam de remoção para melhorar a sua segurança são os seguintes:

  • /wp-config-sample.php;
  • /readme.html;
  • /license.txt;
  • /wp-admin/install.php.

7. Ative o debug

Ao ativar o recurso debug em seu WordPress, você poderá monitorar os alertas e erros que ocorrerem em seu site. Assim, poderá fazer uma avaliação periódica e agir de forma pontual, executando as correções necessárias. Para ativar esse recurso, insira o código abaixo no arquivo wpconfig.php:

  • define( ‘WP_DEBUG’, true );
  • define( ‘WP_DEBUG_LOG’, true );
  • @ini_set( ‘log_errors’, ‘On’ );
  • define( ‘WP_DEBUG_DISPLAY’, false );
  • @ini_set( ‘display_errors’, ‘Off’ ).

Com o debug ativado, será gerado um arquivo com o nome debug.log, que estará localizado em wpccontent/debug.log.

8. Atente aos SPAMs e a postagens externas

Não é nada agradável ter a sua caixa de mensagens invadida por bots, que ficam publicando anúncios invasivos e em caixa alta de produtos e sites sem nenhuma credibilidade. Isso, além de afetar a experiência do usuário, prejudica a credibilidade do seu site e escancara uma falha na filtragem de comentários.

Para deter esse tipo de entrada indesejada, você deverá inserir os códigos abaixo no arquivo .htaccess, caso utilize o servidor apache, ou no arquivo de configuração do NGINX, caso esteja utilizando esse servidor. Os códigos ajudarão na redução aos ataques direcionados aos campos de login e comentários de seu site do WordPress. Confira o código:

  • # Apache;
  • <IfModule mod_rewrite.c>;
  • RewriteEngine On;
  • RewriteCond %{REQUEST_METHOD} POST;
  • RewriteCond %{REQUEST_URI} .(wpcommentspost|wplogin)\.php*;
  • RewriteCond %{HTTP_REFERER} !.*meusite.com.* [OR];
  • RewriteCond %{HTTP_USER_AGENT} ^$;
  • RewriteRule (.*) http://%{REMOTE_ADDR}/$ [R=301,L];
  • </ifModule>;
  • # NIGINX;
  • location ~* (wpcommentsposts|wplogin)\.php$ {;
  • if ($http_referer !~ ^(http://meusite.com) ) {;
  • return 405;
  • };
  • }.

Não se esqueça de substituir, no código, o exemplo “meusite.com” pelo seu domínio real.

9. Proteja o diretório wp-admin

O diretório wp-admin é o cérebro de todo site em WordPress. Um dano causado a ele pode atingir grandes proporções. Para protegê-lo, o ideal é a criação de uma senha de acesso ao diretório, deixando a entrada duplamente filtrada. O proprietário deverá utilizar 2 senhas — uma protegendo a página de login, e a outra, a área de administração do WordPress.

Para fazer essa proteção da área de administração, você poderá utilizar o plugin AskApache Password Protect. Ele gerará um arquivo .htpasswd, criptografará a senha e fará a configuração das permissões de segurança do arquivo para que você tenha o controle de áreas específicas — se outros usuários precisarem utilizar algumas partes do wp-admin, você liberará apenas as que forem solicitadas, deixando o resto protegido.

10. Evite hospedagens compartilhadas

De nada adiantará você tomar todas as medidas de segurança, mas utilizar uma hospedagem compartilhada com alguém que não tome os mesmos cuidados. Quando um servidor é invadido, todos os sites hospedados nele ficam vulneráveis aos mais diversos tipos de ataques.

Se o hacker descobrir que um site com informações sigilosas está hospedado em um mesmo servidor que um blog pessoal, ele deduzirá que o blog tem menos preocupação com a segurança, e o utilizará para invadir o servidor e chegar até o site no qual está realmente interessado.

Quais ferramentas podem ajudar na análise de segurança no WordPress?

Bem, você já conhece as principais ameaças, os certificados e já sabe alguns procedimentos para evitar que seu site seja atacado no WordPress. Agora, deve estar se perguntando: “Existem ferramentas que permitem uma análise automática da segurança do WordPress?”. A resposta é sim!

Confira, abaixo, 3 ferramentas que vão ajudá-lo a saber se você está trabalhando com a segurança do seu site em WordPress em dia.

WordPress Security Scan

Ferramenta gratuita que permite a avaliação de vulnerabilidades em seu site WordPress de uma forma bem abrangente — da aplicação web, dos plugins, do ambiente de hospedagem e do servidor web.

Com ele, você poderá checar se todos os seus plugins e temas estão atualizados e remover aqueles que você não utiliza mais e que podem servir de porta de entrada para os invasores, além de outras verificações mais específicas.

Sucuri SiteCheck

Outra ferramenta gratuita, o Sucuri SiteCheck o ajudará a verificar se o seu site está infectado com algum malware, se há a presença de algum SPAM injetado, se o seu site está em alguma Blacklist, entre outros.

Para ter um panorama de segurança detalhado, clique na aba WebsiteDetails. Nela, você poderá conferir detalhes da hospedagem, como lista de links e scripts vinculados ao seu site e outros erros que possam ser encontrados durante a varredura.

Na seção Blacklist, você descobrirá se o seu site está em alguma lista negra da web. Se sim, ligue o sinal de alerta urgente.

SSL Checker

O SSL Checker, como o próprio nome sugere, irá ajudá-lo a verificar se a instalação do seu certificado SSL está correta, além de outros detalhes, como:

  • a validade do SSL;
  • a identificação da certificadora;
  • a data em que ele expirará;
  • a confiabilidade do certificado.

Todas as dicas dadas neste texto podem ser potencializadas com várias outras. Mantenha-se atualizado e estudando sobre o WordPress e fique atento a todas as novidades sobre segurança na plataforma. Caso seja necessário, busque a ajuda de profissionais especializados.

É muito importante levar a sério a segurança no WordPress. Pense da seguinte forma: muita gente tem o site como um ativo importante para o seu negócio, mas não tem o mesmo cuidado que teria com bens tradicionais. Você deixaria o seu carro em um lugar público com a porta aberta e com a chave na ignição?

Não! Seria um presente para o primeiro ladrão que aparecesse. Então, fique sabendo que o seu site precisa dos mesmos cuidados.

Gostou do texto? Para saber mais informações sobre segurança e certificados SSL, entre em contato conosco. Estamos à disposição!