Blog de Marketing Digital de Resultados

Como manter uma rotina de segurança no seu site WordPress

Conheça alguns dos perigos a que estamos expostos e quais são as ações necessárias para garantir a segurança do seu site

Em outra ocasião, escrevemos aqui no blog da RD sobre as vantagens e características do WordPress. E, embora não haja dúvidas de que esse CMS trouxe muita praticidade para seus usuários, também existem problemas — em especial no que diz respeito à segurança.

Não que o WordPress seja uma plataforma insegura — na verdade, ele tem muitas possibilidades de prevenção, que podem ser utilizadas em meros cliques.

Mas, antes de entrarmos nas ações que você deve tomar para garantir a segurança do seu site, é interessante entender o que faz o WordPress ser alvo de ataques de maneira mais frequente do que outros CMS na web.

Para isso, é bom saber que “27% de toda a internet funciona com o WordPress”. Esse número faz dele o CMS mais popular do mercado.

Obviamente, hackers visam infectar o maior número de ambientes possível, por isso, procuram aberturas de segurança no WordPress, já que, ao infectar um site, naturalmente irão infectar diversos outros que também contenham a falha de segurança encontrada.

Neste artigo, apresentaremos alguns dos perigos a que estamos expostos, além de ações necessárias para garantir a segurança dos ambientes online.

Quais são os principais tipos de ataques a sites em WordPress?

Quando um site WordPress é atacado, são vários os possíveis pontos de entrada. Confira as formas mais comuns de ataque:

  • Página de login: essa é a forma mais comum de ataque ao WordPress. É onde ocorrem os ataques conhecidos como “força bruta”, onde robôs ou bots tentam adivinhar a senha do site repetindo várias combinações possíveis. Tudo isso acontece na sessão de login do WordPress;
  • Código PHP em seu site: esta é a segunda forma mais comum de ataque ao WordPress. Nela,  cibercriminosos tentam explorar vulnerabilidades no código PHP em execução no seu site. Isso inclui qualquer falha visível no código núcleo do WordPress, bem como seus temas,  plugins e qualquer outro aplicativo que esteja sendo executado junto ao CMS;
  • Escalada de privilégios: outra forma popular de hackear sites é fazendo uma conta de usuários sem privilégios, através de sites com o registro de usuários ativado. Utilizando alguma falha de software, o hacker pode obter um nível de acesso mais alto como ‘admin’ e dominar o acesso;
  • Aplicativos antigos ou desatualizados: um invasor também poderá procurar outros aplicativos da web mais antigos e desatualizados, que estejam integrados ao seu site como porta de entrada. Se eles conseguirem acesso por meio desses aplicativos, poderão modificar seus arquivos WordPress e infectar o seu site, mesmo que você tenha mantido a instalação do WordPress em si segura.

Essas são apenas quatro formas de ataques, de uma lista grande de possibilidades.

Porém, isso não quer dizer que você tenha que abandonar o WordPress. O mais importante é manter-se bem informado e proteger-se aplicando as dicas abaixo.

6 passos para manter um site seguro no WordPress

1. Segurança de dois fatores no login

Todos trabalhamos com muitas contas online, sejam elas ferramentas de comunicação, gerenciamento de projetos ou organizações. A probabilidade de utilizarmos a mesma senha em vários ambientes é grande.

Mesmo que não seja o caso, como vimos, ataques de força bruta são os mais comuns no WordPress. Por isso, dificultar o acesso não autorizado à página é uma ótima forma de se proteger.

A verificação de dois passos envolve verificar seu login a partir de outro elemento, utilizando o seu celular por exemplo, além do seu password.

Idealmente, essa autenticação é feita por meio de um aplicativo instalado no seu smartphone, ou algum outro dispositivo extra ao que está sendo utilizado para fazer o login. Esse fator de autenticação adiciona uma camada extra de proteção, evitando o acesso à conta por hackers ou bots.

Uma dica é instalar o plugin Google Authenticator – Two Factor Authentication e utilizar o acesso seguro de dois fatores no seu site WordPress.

2. Atualização sempre em dia da instalação core, plugins e tema

Essa é uma dica muito simples: basta manter seu site sempre atualizado, com tudo, absolutamente tudo, em dia.

Tanto plugins e temas como a instalação core do WordPress não devem ficar desatualizados, pois nessa situação eles se tornam um dos principais fatores de vulnerabilidade a ataques de hackers.

No painel de controle do CMS você encontrará alertas que avisam da necessidade de atualizações. Dessa forma, com um simples clique, é possível manter a “casa em dia”.

3. Segurança do host

Ao escolher a sua hospedagem, leve em consideração o cuidado que o host demonstra em relação à segurança.

Um exemplo de cuidado da parte do host, que pode evitar muita dor de cabeça ao cliente, é o  bloqueio do acesso à área administrativa do WordPress (/wp-admin) a partir de IPs internacionais. Esse bloqueio acaba sendo muito útil porque diversos ataques a sites WordPress são iniciados de IPs internacionais.

Outros benefícios de segurança que o seu provedor de hospedagem deve oferecer são: antivírus, antispam, monitoramento, proteção contra ataques, backups diários e atualizações automáticas.

4. Senha forte: especialmente importante para o ambiente de hospedagem

Essa dica é válida principalmente para quem hospeda seus sites em ambiente compartilhado. Ao utilizar uma senha fraca para o servidor, coloca-se em risco não apenas o próprio site, mas também o de outros usuários.

Visando a segurança, a composição das senhas de acesso ao FTP deve manter o seguinte padrão:

  • Conter no mínimo 6 caracteres;
  • Conter ao menos uma letra;
  • Conter ao menos um número;
  • Não poderá começar ou terminar com caracteres especiais;
  • Não poderá conter nome de usuário ou de domínio;
  • Não poderá constar em listas de senhas conhecidas disponíveis na internet, já que são consideradas senhas fracas/mais utilizadas;
  • Deve preferencialmente possuir caracteres especiais disponibilizados: @ ^ ? ~ , * . # $ ! – = & ( ) _.

5. Instalação do Google Search Console

O Google Search Console é uma ferramenta do Google que pode ajudar em diversos aspectos. Um deles é o da prevenção aos ataques de hackers.

Para garantir seu acesso, faça uma conta com um endereço de email que não pertence ao domínio do seu site. O motivo é muito simples: se o seu acesso for hackeado e caso o email seja o mesmo do domínio associado à conta os cibercriminosos podem desabilitar o alerta enviado via email.

Preste atenção aos alertas por email que você recebe do Google Search Console e confira regularmente no painel a situação das suas páginas.

6. Instalação de plugins de segurança

No WordPress você encontra basicamente 4 classes de plugins de segurança:

  • auditoria;
  • hardening (endurecimento);
  • varredura;
  • recuperação.

Plugins de auditoria fornecem logs e alertas para qualquer rotina e comportamento irregular no acesso ao seu site ou arquivos.

Enquanto isso, plugins de hardening fornecem dicas e ferramentas automatizadas que bloqueiam suas instâncias do WordPress contra ataques.

A verificação de malware (varredura) é como um antivírus: ela oferece a capacidade de encontrar hacks e vulnerabilidades antes que eles causem algum dano ao seu site.

Já os plugins de reparo ou recuperação fornecem scripts que removem ou revertem os resultados de invasões. Vale a pena instalar pelo menos um plugin de cada uma dessas classes.

Abaixo indicamos quatro plugins de segurança para WordPress:

  • Sucuri Security: protege o seu site contra ataques do tipo DOS, vulnerabilidade de dia zero, ataques de força bruta e outros tipos de tentativas. Ele também guarda o log de todas as atividades, mantendo esses registros seguros na nuvem. Assim, se um invasor for capaz de ignorar os controles de segurança, seus logs de segurança estarão disponíveis no site da Sucuri;
  • iThemes Security: varre todo o site e tenta encontrar vulnerabilidades em potencial. Também evita ataques de força bruta e proíbe o acesso que venha de endereços IP já conhecidos por tentarem a força bruta. Ele força os usuários a utilizarem senhas seguras. Além disso, integra o Google reCAPTCHA para evitar spam de comentários;
  • Wordfence: bloqueia o ataque de força bruta e pode adicionar autenticação de dois fatores via SMS. Através dele, é possível bloquear o tráfego a partir de um país específico. Ele também inclui um firewall para bloquear tráfego falso, botnet e scanners, além de varrer sua hospedagem, evitando ataques de malwares. Se o plugin encontra algo estranho, envia imediatamente uma notificação para o email cadastrado. Ele também verifica posts e comentários para encontrar códigos maliciosos. Para completar, integra o Google reCAPTCHA para evitar spam de comentários no seu site.
  • BulletProof Security: esse plugin limita as tentativas de login, bloqueando bots que se beneficiam do uso de senhas fracas, por exemplo. Ele verifica o código WordPress de arquivos core, temas e plugins. Caso aconteça qualquer infecção, ele notifica imediatamente o usuário administrador. Além de aumentar a segurança, otimiza o desempenho de seu site adicionando cache à navegação.

Para beneficiar o seu site, é muito importante manter os plugins atualizados. Novas vulnerabilidades são descobertas a cada dia pelos desenvolvedores responsáveis pelos plugins e a única forma de se beneficiar dessas descobertas é realizando o update do plugin.

Conclusão

Recapitulando, aqui estão algumas regras importantes que devem ser observadas para manter seu site seguro:

  • Use senhas fortes para todas as contas de usuário, tanto para o acesso ao painel da sua hospedagem quanto para o painel de acesso ao WordPress;
  • Instale a autenticação de dois fatores no seu painel do WordPress;
  • Instale o Google Search Console e o verifique periodicamente;
  • Instale plugins de segurança;
  • Mantenha a instalação core do WordPress, seus temas e plugins sempre atualizados;
  • Use um sistema de detecção e prevenção de interferência, como o Wordfence, para ter uma camada adicional de segurança;
  • Remova todos os aplicativos da web que não estão sendo utilizados e que, portanto, não estão sendo mantidos;
  • Tenha o SSL ativado no domínio.

Pela popularidade que esse CMS possui, uma rotina de segurança acaba sendo muito importante para o WordPress.

Apesar da necessidade de cuidados especiais, esse software entrega tanta praticidade no dia a dia de quem precisa de um ambiente flexível que acaba valendo cada esforço. O uso de serviços próprios, como uma hospedagem especializada em WordPress, agilizam e facilitam esse cuidado com a segurança.

Esperamos que esse artigo tenha servido como uma introdução para iniciar a rotina de segurança que é indispensável aos usuários WordPress. Se você quiser conhecer mais conteúdos sobre o CMS, acompanhe o blog da KingHost.

Marcadores:

Deixe seu comentário