Aumente a segurança de Websites em WordPress

Aprenda a aumentar a segurança de Websites em WordPress !

Imaginem um dia completamente aleatório, vocês tentarem abrir o vosso site ou loja online está está indisponível. Um verdadeiro caso de Halloween, correto?

O que fazer?
A primeira coisa será recorrer ao suporte da empresa onde está alojado o website. Se tem uma empresa a tratar do suporte para si, ótimo, mas podem haver casos mais delicados, onde poderá ficar completamente sozinho.
Existem empresas especializadas no suporte ao cliente no que toca a alojamento e que garantem atualizações e backups recorrentes, como a empresa que colaboro, a digitalgreen.

Aprenda como proteger o seu Website WordPress de ataques!
O WordPress é dos CMS (Content Management System) mais populares e utilizados em todo o mundo, porém essa popularidade tem uma vertente menos boa. Devido à sua fama, também existem mais pessoas mal intencionadas, com interesse em descobrir brechas de segurança. Ainda assim, o WordPress continua a ser dos CMS mais seguros do mundo, sendo que as falhas são corrigidas regularmente pela grande comunidade de programadores do WordPress.

1. Invista num Alojamento Seguro

Além dos cuidados e boas práticas que devemos aplicar no WordPress, temos também que considerar a qualidade do servidor onde vamos alojar o Website. 
Escolha um fornecedor de Alojamentos de confiança, que invista no sistema de segurança para proteger os seus websites (por exemplo: Fail2ban, um Firewall robusto e outros sistemas de segurança).

2. Utilize a última versão do PHP sempre que possível

O PHP é a linguagem base utlizada na construção do WordPress Core, por isso é muito importante que utilizar a versão mais recente sempre que possível.

Atualizar para a versão mais recente do PHP pode ser uma vantagem, já que as novas versões detém correções de bugs e ainda tem como objetivo aumentar a performance e a segurança.

Dica:
– Conforme vai atualizando o WordPress, pode também acompanhar a versão de PHP mais recente (se suportado).
– Verifique se os Temas e os Plugins suportam as versões de PHP mais recentes.
– Caso pretenda, pode mudar de versão de PHP no servidor, sem interferir na Base de Dados e instalação do WordPress.

3. Utilize conexões criptografadas - HTTPS / Certificado SSL.

Para websites que utilizam conexões HTTP (não seguras), as informações são passadas para o servidor em texto simples, o que possibilita que um hacker obtenha as informações “facilmente”.
Uma ligação HTTPS, obtendo um certificado SSL garante que todas as conexões são seguras (o acesso aos websites e dados transacionados são encriptados entre o site e o browser).

O certificado SSL tem muitas outras funções, como o fator de classificação do SEO, a confiança e credibilidade do website entre os seus visitantes, melhoria de velocidade em alguns casos com a conjugação do protocolo HTTPS/2, entre outras vantagens.

4. Atualize o WordPress Core, Tema e Plugins

Sempre que o WordPress sugerir uma nova atualização, o aconselhado é fazer. Atenção, não faça nenhuma atualização sem um backup recente do website & base de dados. Em caso de incompatibilidade com algum Tema ou Plugin, poderá reverter o processo com alguma simplicidade. 

Caso algum Tema ou Plugin não seja compatível com a versão mais recente do WordPress Core, por favor, consulte a sua documentação e atualize-os também, assim que possível.

5. Proteja o login do Painel de Administrador

Bem, esta é uma das portas de entrada no site que devemos ter também muita atenção.
Sabemos que para aceder ao Painel de Administrador do WordPress temos que aceder ao URL terminado em /wp-admin/ (e os hackers também sabem!).

Para impedir o acesso direto ao link /wp-admin/ podemos renomear para outro nome, como por exemplo /meu-dashboard/ (algo que não seja tão óbvio para despistar os hackers).

Para mudar o /wp-admin/ para outro nome podemos utilizar um plugin como o WPS Hide Login.

6. Reforce os Nomes de Utilizador

Por costume ou comodidade, o utilizador “admin” pode ter o nome “admin” ou “administrator”.

Se tiver uma conta de Administrador com um desses nomes de utilizador, crie outra conta com outro nome e apague a antiga.

A indicação acima, tem uma razão de ser: os hackers sabem quais os nomes de utilizador mais utilizados pela internet e por isso mesmo pode ser uma porta de entrada aliciante.

Proteja o seu site ou a sua loja online, seja criativo na hora de atribuir um nome de utilizador para Administrar o WordPress.

7. Passwords e Autenticação de 2 Fatores

Alguns robots ou bots utilizados por hackers, tentam encontrar a sua passwords através dos chamados ataques “brute-force”. Eles vão testando várias passwords até conseguirem entrar no Painel de Administrador do WordPrees.

Não utilize passwords como “123456”, provavelmente a segurança do seu website irá ser ultrapassada numa questão de horas.
Utilize passwords complexas, utilizando caracteres especiais como “ç.1?p@ss-w03d
#

Para reforçar ainda mais a segurança, utilize um plugin para ativar a autenticação de 2 fatores.

8. Atualize as Chaves de Segurança do WordPress

A chave de segurança do WordPress é um sistema que melhora a criptografia das informações guardadas nos cookies do Browser. Quando instala o WordPress, as chaves são geradas aleatoriamente, mas no caso de já ter migrado o Website, é boa ideia gerar novas chaves.

Para gerar novas chaves, basta aceder ao site indicado abaixo e substituir a informação no ficheiro wp-config.php:
https://api.wordpress.org/secret-key/1.1/salt/

9. Faça Backups Regulares

Mesmo com todo o cuidados de segurança no WordPress, algo pode correr mal. O assunto pode não estar diretamente relacionado com um hacker, mas pode ser um erro no seu servidor, uma falha do disco rigido, ou por ter apagado algum ficheiro essencial, etc…

Para se proteger, convem ter os backups mais atuais possíveis. 

Imagine no caso de uma loja online, perder o acesso ao seu website, centenas de encomendas e dados de clientes. Ia ser uma desgraça, certo? 

Recomendo vivamente um sistema de backups, o mais completo possível para que possa se salvaguardar o seu negócio. Mais uma vez, a digitalgreen, é uma empresa bastante completa nesse quesito e que se diferencia totalmente da concorrência nacional.

10. Instale um Plugin para verificar as vulnerabilidades de segurança

Existem alguns plugins que analisam o seu WordPress e procuram por falhas de segurança e a forma como pode proteger melhor o seu site.  

Recomendo o iThemes Security por proteger contra os ataques brute-force e também por ter a capacidade de banir bots que tentam invadir o WordPress.

11. Instale Temas e Plugins apenas de fontes confiáveis.

Os Temas e Plugins podem ser encontrados de variadas formas pela internet. Tente sempre pesquisar na página do autor do plugin, ou então na base de plugins e temas oficial do WordPress. 

Temas e Plugins de origem duvidosa podem trazer backdoors e podem ser utilizados para propagar spam.
Utilize Temas e Plugins de origem confiável, sempre!

Aqui fica um website seguro que utilizo frequentemente para comprar Plugins e Temas:
https://themeforest.net

12. Oculte a versão do WordPress

Uma das formas de despistar um hacker, é ocultar a versão que o WordPress está a utilizar. Para remover a indicação relativamente à versão do WordPress que está a ser utilizada, remova o ficheiro readme.html da raiz do WordPress e no ficheiro functions.php, inclua a linha:

remove_action (“wp_head”, “wp_generator”);

13. Altere o prefixo das tabelas da Base de Dados

Por defeito, o prefixo das tabelas de um site em WordPress começam por “wp_” (exemplo: “wp_users”). Durante a instalação do WordPress pode alterar o prefixo das tabelas da Base de Dados para algo da sua preferência (exemplo: “cm_”).

Caso não tenha alterado o prefixo da tabela da Base de Dados na instalação do WordPress, pode modificar o nome das tabelas utilizando o plugin Brozzme DB Prefix & Tools Addons (faça um backup do website antes e só depois prossiga com a alteração).

14. Desative o editor de Tema e Plugins

A partir do Painel de Administrador do WordPress é possível modificar os ficheiros do site. Uma pessoa mal intencionada pode incorporar um código malicioso dentro desses ficheiros, portanto tente negar o acesso a essa secção.

Para desabilitar a opção de desativar o editor de código, adicione a seguinte linha no ficheiro config.php:

define (‘DISALLOW_FILE_EDIT’, true);

15. Altere as permissões do diretório do website

Se aceder ao servidor de alojamento através do seu cliente FTP, pode definir as permissões de acesso aos arquivos do WordPress.

As permissões devem ser definidas para 0755 no caso das pastas e 0644 para os ficheiros.

16. Limite o número de tentativas de login no WordPress

Limitar o número de tentativas de login é um ótimo reforço de segurança. Ou seja, poderá definir o tempo de bloqueio e o número de tentativas de login no seu WordPress. 

Como leram em cima, existem diversas formas de proteger do seu website ou loja online. Para muitos, o site é uma fonte de renda essencial, por isso nunca é demais reforçar a segurança, de forma a evitar prejuízos elevados.
Tenham em consideração os backups frequentes e em ter uma ferramenta que torne o processo automatizado.

Se pretender aprofundar mais um pouco sobre o WordPress, veja os cursos disponíveis na Academia Zonaverde.
Os cursos são certificados e podem ser incluídos de forma oficial no seu Curriculum Vitae.

Ficou com alguma dúvida?
Se tiver alguma dúvida, pedido de informação, ou se quiser aprofundar algum assunto, faça o seu comentário.

Bom trabalho! 🙂

Sobre o autor

Celso Marino d’Sousa

Licenciado em Multimédia com frequência no Mestrado de Sistemas Gráficos e Multimédia (Eng. Informática), tem mais de 14 anos de experiência em Tecnologias de Informação e Comunicação.
Atualmente é um apaixonado por tecnologia e é especializado na criação de Sites e Lojas Online e-Commerce em WordPress.
Exerce funções de Full Stack Developer, Web Designer e Formação Online.

Aprenda a criar Websites e Lojas Online Profissionais com o WordPress

Aprenda a criar Websites com o WordPress e Lojas Online com o Woocommerce, seguindo as boas práticas recomendadas.
Usufrua de conteúdos interativos, tutoriais explicativos, vídeos, exemplos práticos e exercícios. Aceda ao curso onde e quando quiser e coloque as suas dúvidas ao formador.

👉 Curso elegível para o Cheque-formação + Digital.

Mensagens