Configurações simples para deixar seu WordPress mais seguro

Nelson Willian
Nelson Willian
Cofundador da WnWeb e NinjaSEO. Iniciou a carreira como Programador Back-End mas se especializou em Front-end. Atualmente respira Google e Marketing Digital. Sou especialista em SEO e análise de dados. Atuo na área desde 2011.

Índice do artigo

Índice do artigo

Nesse artigo vamos descrever algumas ações e configurações simples que vão deixar seu site WordPress mais rápido e principalmente seguro.

Preparado? Então vamos lá.

A escolha pelo WordPress

Atualmente mais de 30% de todos os sites são desenvolvidos com o WordPress.

Isso se deve principalmente a facilidade que a plataforma oferece aos usuários.

Na grande maioria das hospedagens é possível deixar um site WordPress pronto com apenas alguns simples cliques através de ferramentas de auto instalação.

O WordPress também disponibiliza infinidade de temas que permitem ilimitadas alterações de design e milhares de plugins que adicionam qualquer função extra ao WordPress.

Essa facilidade e popularidade também tornou a plataforma muito visada por hackers que buscam tirar vantagens de usuários da plataforma.

Os ataques a sites WordPress são muito frequentes e em média 90% de todos os sites invadidos são na plataforma WordPress.

Sendo assim é imprescindível tomar algumas medidas de segurança.

Principais tipos de ataque a sites WordPress e como se proteger

Brute Force

Configurações simples para deixar seu Wordpress mais seguro 1

Os ataques de força bruta (brute force) são ataques muito utilizados e geralmente realizados de forma automática, aleatória e responsáveis pela grande maioria das invasões “bem-sucedidas”.

Se proteger desse tipo de ataque não é tarefa simples pois eles podem ser executados de diversas formas com utilização de técnicas cada vez mais apuradas, difíceis de bloquear ou mesmo de detectar.

De toda forma, existem algumas configurações simples que pelo menos dificultam muito esse tipo de ataque.

A boa notícia é que a grande maioria dessas configurações podem ser feitas utilizando o CloudFlare.

Trata se de uma ferramenta nível DNS que pode ser utilizada por qualquer site.

Ele disponibiliza dezenas de funções poderosas que protegem seu site de ataques, inclusive de ataques de força bruta gratuitamente.

Com o CloudFlare é possível camuflar (esconder) o endereço de IP do seu servidor de hospedagem o que aumenta significativamente a segurança.

O CloudFlare por padrão, é capaz de identificar e bloquear ataques, em muitos casos, de forma automática.

Com o CloudFlare é possível trabalhar em várias frentes de proteção. É possível bloquear tanto a origem como o destino do ataque.

Bloqueando a origem do ataque: A grande maioria dos ataques de força bruta é originada de países como Rússia, China, Alemanha e França.

Nas configurações de firewall do CloudFlare é possível bloquear completamente ou adicionar um capcha (Verificação, você é humano) para todo tráfego originado de algum país específico.

Ou seja, é possível bloquear todo tráfego vindo de regiões onde partem muitos ataques.

E entre nós.

Tráfego vindo da grande maioria dos países da Europa e Oriente não traz nenhum benefício para nossos projetos digitais.

Bloqueando o destino do ataque: Geralmente ataques de força bruta tem seu alvo definido e procuram área mais vulneráveis.

No caso do WordPress, as áreas costumeiramente atacadas são dois arquivos.
Mais especificamente o wp-login.php que é responsável pelas funções de login do WordPress e também o arquivo xmlrpc.php utilizado em conexões externas e geração de pingbacks e trackbacks.

Através da função Page Rules do CloudFlare é possível configurar regras diferentes para locais diferentes do WordPress.

Sendo assim, podemos definir segurança mais avançada sob esses arquivos como por exemplo bloquear qualquer acesso que não seja a partir de um navegador válido e definir o nível de segurança como sob ataque (Nível de proteção mais alto do CloudFlare).

Bots

Configurações simples para deixar seu Wordpress mais seguro 2

A internet é basicamente criada por bots que rastreiam sites com os mais diversos objetivos.

Temos por exemplo, bots como do Google e do Bing que navegam em nosso site com o objetivo de encontrar e atualizar conteúdos para listar em seus resultados de busca.


Em contrapartida também existem milhões de bots que tem como objetivo extrair conteúdos, dados de usuário, gerar comentários spam e muitos outros em nossos sites.

Esses bots, no mínimo consomem recursos de nossos servidores deixando o site mais lentos e devem ser bloqueados.

Geralmente não é possível bloquear todos os bots, mas podemos pelo menos reduzir os bots que acessam nossos sites.

Novamente preciso recomendar o CloudFlare que por padrão já bloqueia uma grande lista de bots prejudiciais.

Outra boa dica é instalar alguns plugins de segurança como por exemplo o https://br.wordpress.org/plugins/stopbadbots/ que vem se mostrando muito eficiente em meus testes.

Ataques que aproveitam brechas de segurança

Configurações simples para deixar seu Wordpress mais seguro 3

Brechas de segurança. Nossa, podia escrever sobre esse assunto durante dias.
Mas serei breve e vou tratar apenas algumas mais comuns em sites WordPress.

Nomes de usuário e senha padrão ou fracos: Essa é uma brecha de segurança frequentemente deixada por usuários.

Existem programas como Black Hole por exemplo, que são capazes de testar milhões de combinações de usuário e senha por segundo.

Logicamente esses softwares têm uma lista de nomes de usuário e senha padrão que são testados primeiro, então, nada de usar dados padrão ou simples.
Capriche principalmente na sua senha, isso vai lhe evitar muitos problemas.
Também recomendamos a utilização de serviços de capcha como o recaptcha do Google que é muito eficiente em bloquear tentativas de login suspeitas.

Softwares vulneráveis: Para WordPress existem milhares de temas e plugins premium e obviamente esse mercado também é visado pelos famosos piratas que quebram as licenças desses temas e plugins e os disponibilizam na internet.

O grande problema é que esses softwares piratas geralmente acompanham algum backdoor que dá acesso ao site.

Então não preciso nem falar para manter distância de softwares piratas.

Atualizações: Softwares como WordPress, seus plugins e temas estão em constante evolução e correção.

A grande maioria das atualizações são destinadas a corrigir falhas de segurança. Sendo assim, trate de manter seu WordPress, temas e plugins sempre atualizados.

Backups

Configurações simples para deixar seu Wordpress mais seguro 4

Como mencionei anteriormente, poderia ficar por muito tempo escrevendo sobre como melhorar a segurança de sites WordPress.

Mas sei muito bem que ler artigos longos é extremamente cansativo e por isso quero finalizar com o assunto mais importantes nesse quesito.

Estou falando sobre os backups.

Por mais que cuidamos do nosso site e tomamos todas as medidas de segurança possíveis nunca podemos falar que estamos 100% seguros.
Sempre existe o risco de o site ser invadido e você perder meses ou até mesmo anos de serviço.

É nesse momento que você vai precisar do backup para restaurar seu site.

Então o backup deve ser sua primeira medida de segurança.

A frequência do backup vai depender da frequência em que atualiza seu site.

Se for um site estático, que não tem muitas atualizações recomendaria pelo menos um backup por semana.

Agora, se for um site de e-commerce que gera vendas constantes e armazena registros de clientes deve se pensar em backups pelo menos diários.

Existem muitas formas de fazer backups.

A grande maioria das hospedagens gera um backup automático semanal mas pessoalmente utilizo o plugin https://wordpress.org/plugins/xcloner-google-drive/ para armazenar backups no GDrive do Google.

Como criar um blog? Começando da maneira correta.

Configurações simples para deixar seu Wordpress mais seguro 5

A melhor alternativa é contratar um especialista no assunto, dessa forma, você terá certeza que seu blog será criado da forma correta, com ferramentas profissionais e principalmente segura.

Em nosso site você pode contratar nosso serviço de desenvolvimento de sites. (Clique e confira)

Agora se preferir fazer por conta própria podemos recomendar o Gerenciando Web.

No Gerenciado Web você vai encontrar muitos conteúdos sobre Wordpress e também um completo portal de cursos que pode lhe interessar.

Ficou com alguma dúvida, comenta em baixo.
Se gostou do artigo compartilhe em sua rede social favorita.

Compartilhe este conteúdo.
Facebook
Twitter
LinkedIn
WhatsApp
Email

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *