Segurança do WordPress – Guia completo para garantir que seu site fique seguro

Inscreva-se em nossa Newsletter!

Para a maior parte das pessoas, a segurança do site é algo importante e que deva ser levado a sério. No entanto, na hora de realmente colocar como prioridade tendemos a postergar e achar que “algo nunca vai acontecer comigo”.

Mas por que é assim?

Pegando pela minha própria experiência, tendo a confiar demais nos softwares e serviços que contrato. Afinal, se tem um monte de gente usando e está bem, comigo também vai estar.

Porém, na prática mesmo tanto eu quanto dezenas de clientes que já atendi tiveram problemas, algumas vezes muito sérios, por causa de falhas de segurança.

Se você pensa um pouco como eu pensava, acredita que garantir a segurança de um site WordPress deva ser algo super difícil, complicado e que só especialistas podem fazer.

A boa notícia é a seguinte:

Existem inúmeras maneiras de garantir a segurança do seu website e muitas delas são fáceis, rápidas e você vai aprender nesse artigo.

Antes de iniciar, no entanto, quero te explicar um pouco mais sobre as razões pelas quais ter um site seguro é importante.

1 – Por que a segurança do seu site WordPress é importante?

Algo sobre segurança na web é que dificilmente você está 100% seguro. Sim, não é algo muito animador para começar essa parte, mas prefiro ser realista nesses casos.

As tecnologias estão sempre em mudança e a quantidade de código, interfaces e peças que se juntam umas às outras para formar um site é imensa. Tão grande que mesmo depois de anos sites grandes ou plataformas muito usadas – com o WordPress – ainda descobrem vulnerabilidades antigas.

No entanto, se você tomar precauções e seguir boas práticas de uso do seu site, provavelmente estará tranquilo.

Softwares maliciosos, frequentemente instalados em um site por hackers que encontraram alguma vulnerabilidade ou fraqueza podem espalhar virus e bugs. Esses problemas podem fazer seu site ficar offline, infectar seus visitantes ou mesmo adicionar textos, links e outros conteúdos que vão te prejudicar.

Me lembro em 2012 quando tive meu primeiro contato com um problema de segurança. Era um dos meus primeiros sites WordPress e do dia pra noite eu não conseguia mais acessá-lo. Todas as senhas dos usuários administrativos foram substituídas.

Custei para aprender como recuperar, mas no final deu tudo certo.

É muito chato e às vezes desesperador quando todos nossos esforços são jogados pelo ar por causa de uma falha de segurança.

Falhas de segurança comprometem nossa reputação, nos fazendo perder visitantes, negócios e vendas. Mais do que isso, invasões podem roubar dados privados dos seus usuários ou clientes, fazendo você ter problemas muito maiores por essa exposição.

Implementar camadas de segurança nos seus sites WordPress deve ser uma prioridade e não pode ser deixada de lado. Então, o que podemos fazer para garantir que os websites fiquem seguros?

2 – Avaliação de segurança do site

A primeira coisa que devemos conferir é se nosso site já está ou não infectado. Algo que acontece com certa frequência é que as invasões são sutis e não conseguimos perceber se ele está ou não comprometido.

Para isso, podemos usar um scanner que vai avaliar o estado atual do site.

O WordPress Security Scan é uma ferramenta que podemos utilizar gratuitamente para ter uma visão geral do estado atual dos nossos sites.

Scanner de segurança do WordPress

Naturalmente, existem planos pagos que são ainda mais profundos e poderão te dar mais tranquilidade, mas para a maior parte dos casos o scanner gratuito já é suficiente.

Outra ferramenta bacana é o SegurityCheck da empresa Sucuri. Nele você pode avaliar a existência de Malwares, erros e necessidade de atualização de softwares.

3 – Ações para garantir a segurança do site WordPress

Agora que já temos uma noção se estamos infectados ou não, podemos começar a tomar ações para ou remover os malwares existentes e/ou nos certificar que vamos estar seguros para o futuro.

Sempre atualize o seu site

Vamos começar com uma das ações mais simples e, ao mesmo tempo, mais importantes para que seu site fique seguro: Atualizá-lo sempre que possível.

Tanto o código base do WordPress quanto os plugins e temas são possíveis pontos de brechas de segurança, por isso vale a pena mantê-los sempre atualizados.

Manter todos os temas, plugins e WordPress atualizados

Sempre que uma nova versão do WordPress é lançada, falhas de segurança são corrigidas e, por isso, vale a pena atualizar.

Alguns serviços de servidor te avisam sempre que há uma nova atualização ou até mesmo atualizam automaticamente para você.

Dica: Muitas vezes fazemos modificações diretamente no código do WordPress, plugins e temas. Ou mesmo temos receio de que alguma funcionalidade irá quebrar depois que fizermos as atualizações.

Não posso afirmar que sempre as atualizações vão manter seu site bonitinho e sem alterações visuais, mas a recomendação de atualizar vale a pena mesmo que tenha que gastar alguns minutos corrigindo funcionalidades e layout do seu site.

Tenha consciência de quais plugins e temas usa

Naturalmente, os plugins e temas também precisam sempre ser atualizados, mas algo que é importante mencionar é que os plugins e temas do WordPress são criados por indivíduos que não necessariamente fazem parte do time de desenvolvedores que cria o WordPress.

Mais do que isso, qualquer um pode criar um plugin. Isto é, quem desenvolveu pode ou não saber das melhores práticas de segurança. Por isso, recomendo sempre utilizar plugins que são muito populares e evitar usar muitos. Quanto menos plugins usar, maior a probabilidade do seu site ficar rápido e seguro.

Algo que você pode ficar tentado a fazer é baixar temas e plugins premium piratas. Os chamados Nulled themes ou Nulled Plugins. Não faça isso!

Não só é ruim apoiar iniciativas de pirataria, quanto provavelmente o código estará infectado. Na verdade, é quase certeza que os códigos estarão infectados com malwares e virus.

Tenha uma atenção especial com isso.

Faça o login ser mais seguro

A sua página de login no seu site é super importante. Lá você adiciona sua senha e é por lá que muitos hackers ou robozinhos maliciosos vão invadir seu site.

Segurança na página de login do WordPress

Para melhorar a segurança dessa página, busque sempre utilizar um nome de usuário ( username) que não seja óbvio. Nomes como “Admin”, “Administrador” ou o seu próprio nome são muito fáceis de se descobrir.

Em seguida, sendo ainda mais importante, use senhas vindas de geradores complexos de senhas.

Por incrível que pareça, muitos ainda utilizam senhas como datas importantes, palavras soltas ou números em sequência.

Sua senha deve conter números, letras minúsculas, letras maiúsculas, símbolos e ser maior do que 10 caracteres.

Uma dica boa aqui é utilizar um gerenciador de senhas, com o LastPass. Esse tipo de ferramenta tem seu próprio gerador de senhas seguras e você nem precisa decorar as senhas. Basta adicionar a extensão no seu navegador e ele vai automaticamente preencher as senhas para você.

Uma outra dica legal é trocar suas senhas a cada 90 dias. É trabalhoso? Sim, mas é também muito mais seguro.

Por fim, algo que também pode fazer é adicionar um plugin de bloqueio de login. O Login Lockdown é um bastante usado. O que esse plugin gratuito faz é limitar a quantidade de tentativas que um usuário pode tentar fazer login no seu site WordPress. Mais do que isso, ele também limita a quantidade de tentativas por IP e vai te ajudar muito a prevenir tentativas de login por força bruta.

Instale um plugin de segurança no WordPress

Algo que vai aumentar muito a segurança do seu site é a instalação de um plugin específico de segurança. Existem vários, mas vou mencionar dois dos mais usados e confiáveis.

All in one Security and Firewall

O All in One Security and Firewall é um plugin gratuito e bem fácil de usar. Ele redus o risco de ser atacado ao implementar as melhores práticas e técnicas de segurança no seu site.

Esse plugin tem uma funcionalidade de firewall, te protege de tentativas de força bruta, garante a segurança do login e registro de usuários e muito mais. Além disso, ele tem um scanner que avalia os arquivos da sua instalação em busca de brechas de segurança. Se você está buscando uma solução gratuita, esse é um dos melhores disponíveis.

Sucury Security

Sucuri Security é uma solução um tanto quanto poderosa, mas ao mesmo tempo ela é paga. Com sua versão premium, você tem acesso a limpeza de sites hackeados e também uma proteção contínua. Ele escaneia seu site constantemente, remove malwares, tem um firewall e muitas outras ferramentas. Também, algo que o distingue por ser premium é que você tem acesso a um suporte online 24h caso tenha algum problema de segurança. Isso é bem valioso pois tem sempre alguém para recorrer quando tem problemas.

O Sucuri também possui um plugin gratuito para o WordPress, no entanto não é tão bom quanto o All in One ou outros do mercado.

Mantenha seu computador seguro

Infelizmente nada adianta ter seu site todo protegido mas utilizar um computador infectado para ficar mexendo nele. Por isso, recomendo que você utilize um antivirus para proteger também o seu computador e seus arquivos locais.

Existem vários antivirus bons e gratuitos e pagos. Para te dar uma referência, sugiro dar uma olhada no Bitdefender (pago) e no Avast (gratuito).

Faça backups

Outra ação super importante que merece atenção especial é fazer backups. Quando você tem um backup do seu site armazenado em um local seguro tem também a capacidade de voltar atrás caso algo dê errado com o site que está no ar.

Como eu comentei, mesmo tomando as melhores precauções ainda assim é possível que dê algum problema e que o seu site seja infectado.

Por isso, sugiro utilizar um plugin de backups automáticos. Uma opção gratuita é o Updraft e uma opção paga é o VaultPress. Ambos tem suas vantagens e desvantagens, mas os dois são suficientes para te dar essa segurança a mais. Além disso, ambos podem ser usados para recuperar uma versão salva anterior.

Utilize um servidor seguro e com boa reputação

Há um tempo eu escrevi um artigo sobre os servidores brasileiros e, infelizmente, muito deles ainda vão de mal a pior.

De tempos em tempos eu sou indicado para resolver problemas de segurança e/ou velocidade em sites hospedados na Locaweb, por exemplo.

É tão frequente que não dá pra acreditar que é só uma coincidência mais. Há algo errado na parte de segurança deles e isso compromete diretamente seu site.

Se você está seguindo esse tutorial de como criar um site, então talvez já tenha lido o artigo sobre como a internet funciona. Nele eu expliquei que o servidor é a máquina que hospeda nosso site e o disponibiliza para o restante da web.

Mesmo que você tenha feito todas as otimizações de segurança mencionadas, se seu servidor tem falhas de segurança você continuará vulnerável.

Por isso, dê preferência a empresas que são referência em segurança. Abaixo deixo minhas recomendações.

Utilize um CDN

Content Delivery Networks (CDN) já estão no mercado há um tempo e não são muito novidades, mas são cada vez mais importantes para o bom funcionamento de um site. Os CDNs são servidores espalhados pelo mundo que contém cópias de alguns conteúdos do seu site – como imagens, vídeos, downloads, etc. Quando esses conteúdos e arquivos são acessados eles são carregados do servidor mais perto fisicamente do visitante, o que implica em um tempo de carregamento mais rápido.

Mais do que isso, muitos serviço de CDN também o protegem de ataques e dão mais uma camada de segurança diretamente no seu domínio.

Um exemplo bom e gratuito é o CloudFlare. Com ele, você pode fazer com que todo o seu tráfego – acessos ao seu site – passe pelos servidores da CloudFlare antes de chegar ao seu servidor. Com isso, já há um filtro prévio de possíveis malwares, bots ou ataques.

Faça uso de SSL (HTTPS)

O HTTPS e HTTP são protocolos usados para acessar sites na web. Não vou entrar em detalhes, mas se quiser pode aprofundar mais no assunto com esse guia completo sobre http que escrevi.

Por alto, dê uma olhada no campo de endereço dos sites que digita no seu navegador.

site https

Quando um site possui um certificado de segurança (SSL), ele ganha aquele cadeado verdinho e também é acessado com “https” antes do domínio em si.

Esse certificado de segurança faz com que todas as informações que transitam do navegador para o servidor sejam encriptadas. Isto é, não é possível terceiros interceptarem essas informações – algo que é possível quando não fazemos uso do SSL.

É possível que o seu servidor já te ofereça gratuitamente esse certificado, então dê uma olhada no suporte para fazer a instalação.

Conclusão

Nesse artigo vimos várias maneiras de garantir a segurança do nosso site WordPress. Essas ações vão fazer com que evite problemas de infecções ou malwares, assim como evitar que hackers se aproveitem das brechas de segurança.

Reforço que é muito importante colocar como prioridade essa manutenção de segurança. Agradeço também ao site WpExplorer pelas referências de segurança.

Quero saber se você já está se prevenindo nos comentários e se possui alguma outra recomendação que não foi mencionada.

Divirta-se!

Gostou do artigo?

Facebook
LinkedIn
Pinterest
WhatsApp
Picture of André Lug

André Lug

Apaixonado por design e desenvolvimento de websites. De vez em quando gosta de escrever sobre produtividade, como é ser um freelancer e algumas reflexões da vida.