Com o aumento da utilização do WordPress começaram a aparecer mais relatos de sites que são atacados. Na maior parte dos casos as falhas de segurança não estão no WordPress, estão sim em plugins, temas ou outros scripts desatualizados e que servem de porta de entrada para pessoas mal intencionadas danificarem o seu site.
Para ajuda-lo a prevenir estes problemas, juntamos num só artigo 18 dicas que vão tornar o seu site e hospedagem mais seguros, evitando assim perda de conteúdo, prejuÃzos e downtimes desnecessários. Estas dicas são para quem usa o wordpress.org, quem usa o wordpress.com não tem que se preocupar com a segurança.
Backups
Fazer backups (cópias) de segurança do seu site não o protege de ataques, mas deixa-o prevenido para o caso de ser atacado. Ao fazer backups regulares para um lugar seguro (o seu computador, por exemplo) evita perder conteúdo ou partes do tema ou plugins que são infetados pelos intrusos.
Se tiver uma cópia, tem os ficheiros a salvo e sem códigos maliciosos. Neste caso só tem que ver onde está o problema, resolve-lo, colocar tudo online e o problema está resolvido.
Recomendamos que faça pelo menos um backup semanal de todo o seu site (não se esqueça da base de dados). Em sites com muitas atualizações diárias é recomendado que faça backups mais regulares para o risco de perder dados ser menor.
WordPress e Plugins Atualizados
Uma das principais portas de entrada para os hackers são os scripts desatualizados, neste caso o próprio wordpress, os plugins e em alguns casos os temas.
Para minimizar os riscos de ser atacado você deve de manter tudo atualizado na última versão. Assim os bugs são menos e torna o trabalho mais difÃcil para quem está a tentar prejudica-lo.
É importante alertar para o facto de alguns plugins não serem compatÃveis com a versão mais recente do WordPress, por isso recomendamos que veja primeiro até qual é a versão que o plugin é compatÃvel e que faça sempre um backup antes da atualização. Caso alguma coisa corra mal tem sempre essa segurança.
Instalar o WordPress de Forma Segura
Instalar o WordPress é uma coisa simples e rápida, no entanto existem alguns pontos em que você pode aumentar a segurança da instalação. Deixamos as seguintes dicas:
- Faça sempre o download através do site oficial
Deve de fazer o download sempre através do site oficial (wordpress.org). Ao fazer o download através de outro site, você pode estar a transferir uma versão alterada do WordPress que pode funcionar mal ou ter já código malicioso instalado.
- Não use scripts de instalação automática
Muitos alojamentos web oferecem sistemas de instalação rápida de scripts como o WordPress. É verdade que você perde menos tempo, mas a configuração automática nunca é tão boa e além disso algumas pessoas sentem depois dificuldades a realizar tarefas básicas como a atualização para versões mais recentes.
Recomendamos que instale o wordpress manualmente e evite estes scripts automáticos para sites que estão disponÃveis para o público.
- Dados seguros para aceder a base de dados
A base de dados (no Brasil, banco de dados) é o local onde toda informação do seu site fica guardada (posts, links, configurações, etc) por isso a ligação entre a base de dados e o WordPress deve de ser segura.
Ao criar um user para adicionar a base de dados que vai usar para o wordpress, escolha uma password muito complexa e difÃcil de descobrir, assim fica muito mais difÃcil para um hacker conseguir aceder a sua base de dados.
- Nome das tabelas que o wordpress vai usar
Uma base de dados é organizada por tabelas e dentro de cada tabela fica um certo tipo de informação. Por defeito o wordpress usa como prefixo de cada tabela o texto wp_ mas não é o mais seguro porque é o mais vulgar. Ao fazer a instalação do wordpress, use um outro nome qualquer que não faça sentido. Por exemplo: m2a_, 1dp_, etc...
- Username de login no wordpress
Normalmente o username para fazer o login no painel de gestão do WordPress é "admin" e isto pode causar alguns problemas em termos de segurança. Uma pessoa mal intencionada que pretenda entrar no painel de gestão vai começar por usar o username "admin" por ser o mais comum e por isso é importante que o username seja outro.
Nas últimas versões do WordPress foi adicionado um espaço onde você pode escolher o nome para fazer o login. Em vez de "admin" use outra coisa qualquer, o seu nome por exemplo ou outra coisa que não passe pela cabeça de outras pessoas.
- Configurar bem o wp-config
No caso de instalar o WordPress manualmente e por alguma razão não quiser usar o seu navegador para fazer a primeira parte da instalação, terá de configurar o wp-config.php, um ficheiro onde fica toda a informação que vai permitir o WordPress comunicar com a base de dados e que por vezes é usado para adicionar alguns códigos que podem alterar o comportamento do WordPress.
Recomendamos a leitura do artigo como configurar o wp-config.php.
Elimine Ficheiros Desnecessários
Outra das causas para os sites serem atacados é o facto de existir "lixo" na conta de alojamento do site. Apague os plugins e themes que não esteja a usar, deixe online apenas o conteúdo que seja necessário para o site funcionar.
Apague ainda alguns ficheiros que  resultam da instalação ou atualização do wordpress. Esses ficheiros (wp-config-sample.php, readme.html, license.txt) contém informação preciosa para os hackers por isso apague-os para evitar problemas.
Limite o Numero de Logins Falhados
Muitos usam ataques brute force para descobrir a password para entrar no painel de gestão do wordpress, por isso é importante adicionar uma proteção que bloqueie o acesso do IP que fez o ataque se inserir a password várias vezes errada. Recomendamos a utilização do plugin Login LockDown que bloqueia um IP ou até mesmo uma inteira gama de IPs caso seja detectado um grande ataque.
Limite o Acesso a Pastas e Ficheiros
Usando vários métodos é possÃvel visualizar ou até mesmo editar os ficheiros que estão no alojamento, por isso é importante protege-los e torna-los inacessÃveis para o publico, algumas coisas que pode fazer:
- Proteger o acesso ao wp-config e .htaccess
O wp-config.php e o .htaccess são dois ficheiros que contêm informação importante sobre a sua instalação de wordpress e hospedagem respetivamente, por isso deve de ter um cuidado especial com estes ficheiros. Para proteger o wp-config.php, adicione este código no fim do seu .htaccess:
order allow,deny deny from all
Pode fazer o mesmo para proteger o próprio .htaccess:
order deny,allow deny from all
- Esconda o conteúdo das pastas
Quando criamos uma pasta no nosso alojamento ela fica, na maioria dos casos, acessÃvel através do seu navegador. É possÃvel desta forma ver todo o conteúdo dessa pasta e também ver ou fazer o download dos ficheiros que estão lá.
Para deixar o conteúdo invisÃvel pode criar um ficheiro vazio e chamado de index.html, depois só tem de o colocar dentro de cada pasta. Quem tentar aceder a pasta com esse ficheiro vai ver uma página branca em vez do conteúdo. O problema desta solução é que você precisa de colocar este ficheiro em todas as pastas... isso dá trabalho e você corre o risco de se esquecer de alguma pasta.
A maneira mais simples de fazer isto é adicionar o seguinte código ao .htaccess:
Options All -Indexes
- Esconda a informação do software que está instalado no seu servidor
Normalmente os servidores que usam o Apache mostram, nas páginas de erro e listagem do conteúdo de pastas, o que você tem instalado no servidor e as respetivas versões. Isto pode aumentar a probabilidade do atacante explorar alguma falha conhecida para essas versões. Para resolver este problema, adicione o seguinte código ao .htaccess:
ServerSignature Off
O resultado é este (antes / depois):
- Altere as permissões dos ficheiros e pastas
Cada pasta e ficheiro que estão no seu alojamento têm um conjunto de permissões e quando estas permissões estão mal definidas o seu site corre o risco de ser atacado. As permissões ideais normalmente são o valor 755 para pastas e 644 para ficheiros.
Para perceber melhor como é que as permissões dos ficheiros funcionam e saber como pode alterar estas permissões, recomendamos a leitura do artigo Como Mudar as Permissões de Pastas e Ficheiros através de FTP.
Use uma Hospedagem Segura
Ter um servidor ou uma conta de alojamento num servidor seguro é fundamental para não sofrer ataques. Alguns dos ataques feitos a sites são feitos através de falhas que existem no software que está instalado no servidor. É importante ter tudo atualizado, usar versões estáveis e nunca usar versões editadas ou personalizadas por amadores.
Use o Cloudflare
Já aqui falamos várias vezes no Cloudflare, um serviço que protege o seu site de ataques, aumenta a velocidade de carregamento e ainda diminui o consumo de recursos do seu alojamento (tráfego, load, etc). Além da proteção contra IP's que já tenham estado envolvidos em ataques anteriores, o Cloudflare ajuda a bloquear ataques DDoS, sql injection, ataques de spam, entre outros.
Recomendamos a leitura do artigo onde apresentamos o Cloudflare e todos os prós e contras e também do artigo como usar o cloudflare.
Conclusão
Como pode ver com apenas algumas coisas simples de aplicar você pode aumentar muito a segurança do seu site. Nada é 100% seguro e infalÃvel mas mesmo assim vale a pena estar protegido.
Espero que este artigo seja útil, se tiver alguma dúvida deixe um comentário em baixo 🙂
Info: Quer adicionar código nos comentários? Por favor use as tags <pre><code> ... </code></pre>
Comentários
Sem comentários até ao momento. Seja o primeiro a comentar!