9 dicas de segurança para o WordPress

Pensar em segurança para sites em WordPress nunca é demais. Por mais segura que a plataforma seja e pelas constantes atualizações de correção pela equipe de desenvolvimento, há diversas medidas que podem ser tomadas para contribuir ainda mais e evitar dores de cabeça com problemas futuros.

 

1. Mantenha a plataforma atualizada

Começando pelo básico mas muito importante: manter o WordPress atualizado constantemente. Quando uma nova versão é lançada, seja versões com grandes novidades ou pequenos updates, ela traz várias correções de bugs reportados pelos usuários. Portanto, verifique a compatibilidade com plugins e temas e atualize.

 

2. Atualize os plugins e temas

Assim como o próprio WordPress, estar sempre com os plugins e temas atualizados é importante para a segurança do seu site. Desenvolvedores lançam correções e otimizações com bastante frequência, então sempre que surgir uma notificação nova de atualização no painel administrativo, confira quais são as novidades do update e execute-o.

 

3. Permissões de arquivos e diretórios

Por padrão os arquivos e pastas do WordPress recebem algumas permissões em nível de servidor, mas recomenda-se que sejam alteradas tais permissões para impedir o acesso à informações confidenciais e sensíveis do seu site. Você pode alterar as permissões de arquivos facilmente via SFTP ou, se preferir, por linha de comando via SSH. A seguinte tabela traz os valores recomendados para os arquivos e pastas específicos:

 

Arquivo/diretório Permissão
.htaccess 644
wp-config.php 644
index.php 644
wp-blog-header.php 644
/wp-admin 755
/wp-includes 755
/wp-content 755

 

4. Oculte a versão do WordPress

Uma instalação padrão do WordPress insere a metatag generator contendo a versão atual da instalação. Com a versão explícita, alguém mal intencionado poderá conhecer uma vulnerabilidade específica da versão que você estiver usando para direcionar um ataque. Ocultar tal metatag é simples, basta adicionar o seguinte trecho de código no arquivo functions.php do seu tema:

 

remove_action('wp_head', 'wp_generator');

 

5. Limite as tentativas de logins

Impedir que qualquer pessoa com acesso à página de login possa tentar acessar uma conta infinitas vezes é uma medida de segurança importante para um site WordPress. Os motivos são óbvios: isso impede que programas automatizados tentem combinações de senhas diferentes o tempo todo até que tenha a senha certa.

Limitando as tentativas, pode ser definido uma quantidade de vezes que uma senha pode estar errada e, então, o acesso àquele usuário fica bloqueado por um determinado tempo. Essa limitação pode ser facilmente conseguia com o uso do plugin Limit Login Attempts, basta instalar e configurar.

 

6. Chaves de segurança no wp-config.php

Todas as sessões de logins no WordPress são armazenados em cookies, dos quais são protegidos com base em um cálculo complexo entre um hash do nome de usuário, a senha e texto aleatório. Para manter essa proteção ainda mais elevada podemos (e devemos) inserir chaves únicas no wp-config.php. Acessando esta página você terá chaves (também chamadas de ‘salts’) geradas automaticamente para esta finalidade.

 

7. Faça backups com frequência

Dica importante e onipresente em qualquer post sobre segurança: cópia de segurança, o famoso backup. No WordPress não é diferente, você precisa ter sempre uma cópia dos arquivos e do banco de dados do seu site. Se acontecer alguma falha, a recuperação será mais fácil e rápida.

Há uma infinidade de plugins para WordPress que auxiliam e automatizam os backups do seu site. Você pode encontrar mais detalhes e plugins recomendados nesse nosso post sobre automação de backup.

 

8. Servidor e computador pessoal seguros

Assim como o próprio WordPress, é muito importante também garantir a segurança do computador usado para atualizar o site e do próprio servidor de hospedagem do mesmo. É normal que o serviço de hospedagem ofereça backups do seu site (é o caso da Ninjas Host), então certifique-se de que isso está em dia.

Já com o seu computador, mantenha o sistema operacional e softwares atualizados, tenha sempre um programa antivírus para mantê-lo livre de spywares, malwares e outros riscos à máquina.

Como extra, certifique-se também de cuidar da segurança da caixa de e-mail associada a usuários com privilégio de administrador no WordPress. Afinal, se um invasor tiver acesso ao seu e-mail, é possível redefinir a senha sem esforço e ter acesso integral ao site.

Lembre-se: a segurança do seu site é tão boa quanto o elo mais fraco. Não adianta muito você cuidar da segurança do site e do servidor, mas não adotar bons hábitos pessoalmente.

 

9. Acesso restrito ao diretório wp-content

Na pasta wp-content estão todos os plugins, temas e uploads do seu site, então é importante adicionar uma proteção extra ao diretório impedindo o acesso direto, permitindo o acesso apenas à arquivos CSS, JavaScripts e imagens. Para isso, o seguinte trecho deve ser adicionado em um arquivo .htaccess a ser criado dentro do diretório /wp-content:

Order Allow,Deny
Deny from all

Allow from all

 

Estas são algumas dicas que contribuem para a segurança do seu site. Como qualquer software ou produto digital, sempre haverá riscos de invasão ou problemas do tipo, porém, é sempre bom trabalhar para que esse risco seja o menor possível.

Conhece mais alguma dica? Compartilhe com a gente nos comentários!

  • 0 Usuários acharam útil
Esta resposta lhe foi útil?

Artigos Relacionados

10 truques úteis de segurança e desempenho para o .htaccess do seu site WordPress

Muita gente que trabalha com Internet ou mexe bastante com servidores já deve ter se deparado...

Como permitir ou bloquear acessos de IP de outros países via .htaccess

  Se você percebeu que seu site tem sofrido ataques de países específicos ou...