Blog da Amicatek

Guia Completo de Segurança WordPress

Em um relatório recente da Patchstack, uma das empresas líderes no segmento de segurança de softwares abertos (como o WordPress), foi identificado que em 2021 foi registrado um acréscimo de 150% nas vulnerabilidades da ferramenta.

Um problema com malware ou vírus no WordPress pode atrapalhar completamente a experiência dos visitantes do seu site bem como campanhas de anúncios que estejam ativas no seu negócio.

Com este objetivo preparei este checklist para que todos possam se prevenir de problemas como estes.

Importante: Se seu site já tem sinais de comprometimento, primeiramente resolva os problemas de segurança do seu site. Essas ações são de prevenção e não garantem a remoção de vírus e malware do seu site.

Segurança Wordpress: Dicas Importantes Para Manter O Site Seguro
Segurança WordPress: Dicas importantes para manter o site seguro

Por que a Segurança WordPress é importante?

A segurança do site é importante para garantir que os seus dados não sejam roubados ou mal utilizados. Os usuários confiam nos sites para armazenar informações pessoais, como números de cartões de crédito, e se os dados dos usuários estiverem expostos, isso pode levar ao roubo de identidade ou a outros tipos de fraudes. Além disso, se o seu site for hackeado, os hackers podem roubar os dados dos seus usuários ou até mesmo assumir o controle do seu site.

Checklist de Segurança WordPress

Abaixo eu apresento um Checklist de Segurança WordPress que pode ser utilizado na criação de qualquer site. São procedimentos básicos de segurança que qualquer site precisa ter para se manter minimamente utilizável por muitos anos sem passar por problemas.

Alterar as chaves do wp.config

Chaves de segurança no WordPress são uma sequência de caracteres aleatórios usados para autorização e criptografia de cookies gerados pelo WordPress. Essas chaves de segurança podem ser definidas pelo usuário no arquivo wp-config.php a qualquer momento. Durante a instalação inicial, não é necessário que um usuário forneça essas chaves para instalar ou executar o WordPress. Se um usuário não fornecer essas chaves em seu arquivo wp-config.php, o WordPress gerará automaticamente essas chaves.

Exemplo:

define('AUTH_KEY', 'sua-frase-unica-aqui');
define('SECURE_AUTH_KEY', 'sua-frase-unica-aqui');
define('LOGGED_IN_KEY', 'sua-frase-unica-aqui');
define('NONCE_KEY', 'sua-frase-unica-aqui');
define('AUTH_SALT', 'sua-frase-unica-aqui');
define('SECURE_AUTH_SALT', 'sua-frase-unica-aqui');
define('LOGGED_IN_SALT', 'sua-frase-unica-aqui');
define('NONCE_SALT', 'sua-frase-unica-aqui');

Você precisa gerar suas próprias chaves através do gerador de chaves do WordPress.

Banco de Dados

Hackers estão cada vez mais espertos e capazes de invadir sistemas. Isso inclui os bancos de dados dos sites. Um hacker pode entrar na sua estrutura de dados e roubar informações confidenciais, danificar arquivos ou até mesmo excluir dados.

Para evitar que hackers prejudiquem seus bancos de dados, é importante que você siga algumas precauções.

Segurança Wordpress: Quais Cuidados Ter Com O Banco De Dados?
Segurança WordPress: Quais cuidados ter com o banco de dados?

Configurar uma rotina de Backups

Uma rotina de backups é essencial para Segurança do site WordPress. Isto porque nunca se sabe quando se faz necessário restaurar um site, seja por um ataque hacker, ou mesmo porque fomos descuidados quando realizamos uma atualização no WordPress. Para isso o ideal é configurar uma rotina de backups no seu site. Aqui estão algumas sugestões:

  • Faça backup do Banco de Dados uma vez por dia e guarde por 30 dias
  • Faça backup dos Arquivos uma vez por semana e guarde por 60 dias

Neste artigo sobre frequência de backups no WordPress eu detalho melhor como realizar a frequência, onde salvar e qual plugin utilizar.

Use senhas fortes no Banco de Dados

Utilizar senhas fortes para os principais recursos de sua hospedagem, como Painel, Banco de Dados, FTP e e-mails é essencial para garantir a segurança do seu site. Evite usar a mesma senha para todos estes serviços, pois caso haja algum tipo de vazamento, todo o ecossistema do seu site será prejudicado. Você pode utilizar aplicações com o 1Password ou LastPass para gerar senhas fortes e salvar de forma segura.

Login e Autenticação

É importante fortalecer e prevenir problemas relacionados à autenticação do site. Como o WordPress é o CMS mais utilizado no mundo ele também é bastante visado por hackers e é comum percebermos ataques de força bruta na tela de login do site.

Segurança Wordpress: Login E Autenticação São Fatores Importantes
Segurança WordPress: Login e Autenticação são fatores importantes

Bloqueie tentativas de login sem sucesso

Utilize um plugin para bloquear tentativas de login que resultaram em falhas. Isso é ótimo para remediar ataques de força bruta no site que tentam “adivinhar” o login e a senha de algum usuário no WordPress. Você pode usar plugins como o SiteGround Security para essa finalidade.

Ativar a Autenticação de Dois Fatores

Esse recurso é essencial pelo menos para os usuários Administradores e Editores, que tem acesso mais avançado à algumas características do Painel Administrativo do WordPress.

Você pode usar um plugin em combinação com o Microsoft Authenticator para essa configuração.

Desabilite a API Rest (caso não utilize)

Se seu site é um blog simples não convém deixar a API REST do WordPress ativa. Aqui vale a máxima “menos é mais”. Você pode usar o plugin SiteGround Security para essa finalidade ou o plugin Disable REST API.

Painel Administrativo

A maioria dos ataques hacker em sites WordPress ocorrem devido a plugins e temas sem atualização. Manter sites sem se preocupar com as atualizações é um risco para a Segurança WordPress.

Atualize WordPress, Tema e Plugins para a versão mais recente

Mas fique ligado antes de atualizar. Confira essas dicas para realizar uma atualização no WordPress com segurança.

Utilize uma conta de Editor para gerenciar o conteúdo

Evite ficar utilizando seu usuário ADMIN para alterar uma vírgula de uma publicação. É desnecessário. Tenha um usuário administrador apenas para instalação de plugins e atualizações e faça uso de um usuário com perfil Editor para publicações de posts, páginas e demais conteúdos do site.

Apague Plugins e Temas que não estão ativos

Os plugins e temas, apesar de estarem inativos, ainda podem ser um problema para o seu site. Isto ocorre porque, apesar de suas funcionalidades não estarem sendo consideradas no site, seus arquivos ainda estão presentes no diretório. Logo, se houver uma falha de segurança em um desses arquivos seu site se tornará vulnerável. O ideal é mater apenas os plugins ativos no site. O mesmo vale com os temas.

Não utilize Plugins Nulled (piratas)

Jamais confie em plugins “baratos” ou que você encontra disponíveis para baixar no Mercado Livre. Pode ser barato no início, mas pode sair caro depois. Plugins “Nulled” ou piratas podem conter códigos maliciosos que facilitam a invasão do seu site. Na dúvida, utilize os gratuitos presentes no diretório de plugins do WordPress ou compre diretamente com o fornecedor.

Se um plugin estiver defasado, procure outra solução

Acontecem casos onde um fornecedor abandona a atualização de um determinado plugin. Isso pode acontecer por diversos motivos, e a melhor solução para estes casos é procurar uma alternativa. Evite utilizar plugins que não são atualizados a muito tempo.

Hospedagem

A hospedagem é o local onde o nosso site é mantido. Quando pensamos em um local para manter nosso site precisamos pensar em um local seguro e de confiança. Evite utilizar hospedagens compartilhadas, principalmente se seu site tem algum tipo de retorno financeiro como lojas virtuais.

Segurança Wordpress: Escolher Uma Hospedagem De Confiança É Essencial
Segurança WordPress: Escolher uma hospedagem de confiança é essencial

Procure uma hospedagem Cloud ou uma VPS, caso seu site tenha muitos acessos. Recomendo para meus clientes duas hospedagens com suporte excepcional com servidores localizados no Brasil:

Ambas empresas tem inúmeros casos de sucesso e são de extrema confiança.

Configure corretamente as permissões de arquivos e pastas

Com exceção de alguns arquivos especiais do WordPress, as pastas tem permissão 755 e os arquivos tem permissão 644. Qualquer permissão diferente dessa precisa ficar atento.

Configure um Plugin para se livrar do SPAM

Depois que seu site ganha uma certa notoriedade é comum começar a receber um número maior de comentários e menções no site. Entretanto algumas dessas ações são maliciosas, com o intuito de praticar Black Hat SEO ou mesmo de perturbar com informação não solicitada. Essas ações são conhecidas como SPAMs.

Configure um plugin anti-SPAM como o Akismet e também o Recaptcha para os formulários do seu site.

Utilize um Firewall na camada de Aplicação

Um firewall é excelente para barrar ataques de força bruta ou ataques cross-site script. Você pode utilizar um fiewall na camada de CND, como o Cloudflare, mas é interessante também ter uma camada de aplicação no seu site. Recomendo utilizar o Wordfence, que é gratuito, ou o VirusDie e Sucuri, como solução Premium.

Confira o nosso artigo Tudo sobre Firewalls no WordPress.

Hacks mais comuns em sites WordPress

A maioria dos ataques em sites WordPress são sutis e o dono do site muitas vezes não percebe o que está acontecendo. Muitas das vezes só é possível notar quando um cliente ou visitante do site reporta algum tipo de comportamento estranho ao navegar pelas páginas do site. Aqui estão alguns dos casos mais comuns que você pode estar enfrentando:

Hack de Palavras Japonesas (Japanase Keyword Hack)

O hack de Palavras-chave japonesas, também conhecido como Japanese Keyword Hack, é muito comum atualmente. Os invasores se aproveitam de brechas e vulnerabilidades causadas por temas ou plugins desatualizados para inserir páginas no site. Essas páginas não são visíveis para o administrador do site e o objetivo delas é gerar redirecionamento para produtos afiliados, na maioria das vezes, situados no Japão. Esse tipo de ataque é extramente prejudicial para o SEO do site.

Hack de Palavras Farma (Pharma Keyword Hack)

O hack de Palavras-chave Farma (Pharma Keyword Hack) tem como objetivo gerar páginas alternativas sem o conhecimento do dono do site. O invasor muitas vezes modifica os conteúdos das páginas através de um cloaker para que visualmente o visitante do site não perceba as palavras-chaves relacionadas a produtos farmacêuticos como Cialis, Viagra, etc. O objetivo é fazer com que o Google ranqueie as páginas do site para estas palavras ao invés das que o site deveria ranquear normalmente.

Conclusão

Alguns ataques contra a segurança de nosso site podem ser inevitáveis, mas apenas quando não existe uma ação nossa para evitar. Praticando todos esses conceitos dificilmente seu site será vítima de uma invasão. Mas fique sempre de olho!

5/5 - (1 avaliações)
Fellipe Soares

Fellipe Soares

Bacharel em Sistemas da Informação, trabalha há mais de 10 anos com WordPress na criação de soluções para empresas e profissionais liberais.

Inscreva-se para receber novidades

Tenha em primeira mão conteúdos especiais sobre WordPress

Deixe um comentário

O seu endereço de e-mail não será publicado.

Saiba mais sobre

Receba mais notícias como essa sobre Segurança através da nossa Newsletter

Notícias sobre Segurança, Marketing, Performance e Negócios sempre relacionadas ao WordPress todas as segundas-feiras, para você começar bem a semana.