A segurança no WordPress é um dos assuntos mais importantes para toda pessoa que possui ou pretende possuir um site nessa plataforma. Afinal de contas, são cerca de 10 mil sites que o Google coloca na lista negra por dia e 50 mil páginas consideradas phishing por semana.
Esses números servem para explicar o quanto a segurança é primordial para o Google e ele não conterá esforços para eliminar seu site dos resultados de busca se encontrar algo que possa prejudicar os usuários.
Para evitar que algo nesse nível aconteça contigo e com suas páginas, escrevemos esse guia com todas as práticas recomendadas de segurança no WordPress. Nos tópicos abaixo, falaremos sobre quais são as principais dicas e conteúdo para proteger seu site contra todo e qualquer tipo de ataque.
Nessa etapa inicial do conteúdo, muitos podem se perguntar: “Mas o WordPress não é reconhecido pela sua extrema segurança?”. Sim, pois há atualizações frequentes com as melhores práticas para proteger seus usuários. Mas segurança não depende apenas da plataforma em si, mas também de seus usuários, visto que a maior falha de segurança tender a ser humana.
Por isso, é mais do que essencial garantir que está fazendo tudo o que é possível para proteger seu site. Com isso, fique atento às dicas e, por favor, as coloque em prática.
Por que a segurança no WordPress é tão importante?
Porque um site hackeado causa sérios danos à reputação e ao lucro do seu negócio, seja ele totalmente digital ou híbrido. Os criminosos virtuais podem roubar informações sensíveis suas e também de seus usuários. Muitas vezes, o objetivo desses hackers é inserir código malicioso no seu site, muitas vezes até mesmo sem você perceber. Assim, suas páginas terão sido invadidas, mas pode ser se descubra apenas depois, quando o estrago já tiver sido feito.
E por estrago queremos dizer: uso indevido das informações dos seus usuários, exclusão dos seus resultados do Google e aviso do próprio navegador e antivírus de seus usuários, que determinado site é um perigo para seus dispositivos.
Sem falar que, além de todos esses malefícios, temos ainda o trabalho árduo de conquistar o controle do seu site de volta, limpar possíveis vírus, restaurar backups e muito mais.
Para se ter ideia, só em 2016 o Google avisou que mais de 50 milhões de usuários de sites foram alertados sobre vírus. Isso, mais uma vez, comprova que o Google não está de brincadeira e avisará seus visitantes se o seu site for potencialmente perigoso para eles.
Como manter a segurança no WordPress?
Abaixo mostraremos dicas práticas para tornar a sua instalação do WordPress mais segura. Pedimos que siga essa lista à risca e que a revisite com frequência para garantir que está dando a devida proteção ao seu site.
Por favor, pedimos que todas as ações mostradas nesse post sejam colocadas em prática quanto antes. Futuramente, acredite, você será grato por isso.
1. Mantenha seu WordPress atualizado
O WordPress é uma plataforma de código aberto mantida e atualizada de forma regular por vários programadores ao redor do mundo. Sempre que se nota uma nova falha de segurança ou apenas a iminência de uma possível falha, esses programadores trabalham o mais rápido possível para evitar problemas maiores, resolvendo a brecha de forma quase que imediata.
Isso significa que se, por algum motivo, mantiver seu WordPress desatualizado, há a chance dele não estar protegido para uma nova forma de ataque que pode estar se espalhando pela rede. Assim, seu site será invadido, mesmo que o WordPress já tenha solucionado o problema, porque você não atualizou. Dessa forma, é essencial atualizar o core do WordPress sempre que houver novas atualizações. De preferência, permita que esse recurso funcione de forma automática.
2. Atualize seus plugins
Os arquivos principais do WordPress são atualizados constantemente, como falamos acima. Tudo isso é fiscalizado pelo Automattic, empresa que gerencia as versões da plataforma. No entanto, os plugins, criados por terceiros, não são analisados da mesma maneira. Isso significa que mesmo seu WordPress estando seguro, se instalar um plugin inseguro, ele estará correndo risco de invasão.
Assim como os programadores do WordPress trabalham para deixá-lo seguro a cada atualização, o mesmo acontece com as empresas e desenvolvedores que criam os plugins. A cada nova atualização, se tem a garantia de que o plugin estará funcionando da forma mais segura possível. Por isso, atualize sempre seus plugins, ou prefira deixar a atualização automática.
E sim, sabemos que muitos usuários optam por usar plugins piratas que não podem ser atualizados. Isso é um problema muito sério que pode comprometer a segurança no WordPress. De preferência, assim que possível, opte pela versão original dos plugins. Isso irá garantir que esteja sempre com a proteção do seu site intacta.
3. Atualize o seu tema
Sim, correndo o risco de parecermos redundantes, é essencial que também atualize o seu tema atual. Ele é a base de todo o layout do seu site e, por isso, pode ser uma brecha de segurança significativa para criminosos virtuais. Claro que atualizações para temas são menos frequentes, mas não demore a fazer o update dele, assim que novas versões forem lançadas.
4. Remova os temas inativos
Embora os temas inativos não sejam uma brecha de segurança propriamente dita, já que estão… bem, inativos. Acabam sendo um aglomerado de códigos e arquivos sem necessidade. Pensando nisso, os exclua e, se precisá-los futuramente, faça um backup deles.
5. Tenha senhas fortes
É comum as pessoas lerem “tenha senhas fortes” e ignorarem esse conselho. Porém, se tratando de segurança no WordPress, é talvez a dica mais importante de todas. Por que? Você sabe como funcionam a maior parte das invasões por senha?
A maioria das pessoas usa a mesma senha para tudo. A senha do Instagram é a memsa senha do e-mail, que também é a senha do seu site no WordPress. Uma vez que um site que possua a sua senha sofra um ataque, como o Facebook, por exemplo (e isso já aconteceu mais de uma vez), os hackers entendem que o seu e-mail e sua senha podem ser utilizados em outros serviços.
Dessa forma, eles varrem a internet com tudo o que estiver cadastrado no seu e-mail e com a sua senha. Se isso acontecer com o seu site, as chances são grandes de conseguirem acesso ao seu painel de controle do WordPress.
Por isso, tenha senhas fortes e senhas diferentes para cada serviço. Para isso, é possível utilizar geradores de senhas seguras, como o LastPass. Muitos podem se perguntar: “Mas como vou me lembrar das senhas se todas elas precisam ser diferentes?”. Isso pode ser feito via gerenciadores de senha, como a do próprio Google Chrome.
6. Defina corretamente os usuários do painel do WordPress
O WordPress é um sistema que permite vários usuários. Cada um desses usuários pode possuir papéis e funções diferentes: administrador, editor, autor, colaborador e assinante.
Um resumo do para quê serve cada um pode ser visto abaixo:
Função | Descrição |
Administrator (Administrador) | Tem acesso total ao site WordPress, incluindo todas as configurações, instalação de plugins e temas, e gerenciamento de usuários. |
Editor (Editor) | Pode criar, editar e publicar conteúdo de qualquer autor. Também pode gerenciar as categorias e tags. |
Author (Autor) | Pode criar, editar e publicar seu próprio conteúdo. Geralmente, não tem permissão para editar o conteúdo de outros autores. |
Contributor (Colaborador) | Pode escrever e editar seu próprio conteúdo, mas não pode publicá-lo. Precisa de revisão e aprovação de um editor ou administrador. |
Subscriber (Assinante) | Tem permissão mínima, geralmente limitada ao perfil do usuário e à inscrição para receber atualizações do site. |
O problema é que pode não conhecer o funcionamento dos tipos de usuário, em blogs com vários autores, muitos acabam sendo administradores sem necessidade, tendo acesso a áreas sensíveis do site que pode colocar ele em risco.
Se for o caso do seu site, permita apenas um (ou no máximo dois) administrador e dê aos outros usuários a devida função.
7. Tenha uma boa hospedagem
Quando se trata da segurança no WordPress, seu serviço de hospedagem tem uma responsabilidade imensa. Um bom provedor de hospedagem de sites, como a Hostinger, realiza ações extras de proteção de seus servidores. É quase como se funcionasse como uma camada a mais de proteção para suas páginas.
A própria rede da empresa de hospedagem pode monitorar acessos suspeitos, habilidade de lidar com ataques DDoS, atualizar as versões dos softwares utilizados e até mesmo planos de backup para lidar com invasões mais severas.
Qual hospedagem utilizar? Nós sempre recomendamos a Hostinger por ser o nosso principal servidor de todos os sites da nossa rede. Indicamos ela por saber como o suporte já nos ajudou inúmeras vezes e como a velocidade dos sites chega a ser assustadora, se comparada a outros serviços que já utilizamos.
Os planos da Hostinger começam a partir de R$13 por mês (sim, um valor muito acessível) e possuem 30 dias de garantia. Caso não goste de algo ou até mesmo mude de ideia, você receberá o dinheiro de volta sem nenhuma pergunta esquisita ou complicações.
8. Faça backups
Só quem já sofreu um ataque e não tinha um backup sabe como é horrível perder meses de trabalho e dedicação ao seu site. Por causa disso, crie uma rotina de backup boa o suficiente para te deixar tranquilo se algo muito ruim acontecer com a sua instalação do WordPress.
A orientação mais comum é que o backup seja feito na mesma frequência de publicação de conteúdo. Por exemplo, se o seu site WordPress publica conteúdo 1 vez por semana, realize o backup logo após a publicação, também 1 vez por semana. Há também aqueles que prefiram em toda quinzena, como todo dia 15 e dia 30.
Independente de qual período de backup escolha, opte por um método seguro e, de preferência, na nuvem, para ter a certeza de que conseguirá recuperar facilmente.
Caso tenha dúvidas de como realizar seu backup, já mostramos aqui no Hospedagem de Sites como criar cópias de segurança com facilidade.
9. Instale um plugin de proteção
Existem vários plugins de segurança no WordPress. Cada um deles é importante, mas existem aqueles que agrupam várias ações de segurança em conjunto, é o caso do All in One Security (AIOS) – Security and Firewall.
O AIOS é o plugin de segurança e firewall do WordPress mais bem avaliado. Ele é da mesma equipe do UpdraftPlus (empresa e plugin renomado em cópias de segurança) e possui recursos como:
- Ocultar a página de logins dos robôs.
- Alterar o prefixo wp_ padrão do banco de dados.
- Bloquear tentativas de login.
- Gerar relatórios de segurança.
- Forçar a saída de usuários inativos.
- Verificar robôs.
- Autenticação de dois fatores.
- Firewall.
- Lista negra.
- Prevenir SPAM nos comentários.
- Proteger seu site de iFrames.
- Proteger seu conteúdo de cópias.
- Alertas.
- Monitoramento.
O plugin, além de possuir tudo isso, ainda é traduzido para o português do Brasil e te permite criar várias camadas de segurança para áreas diferentes do seu site. Dissemos anteriormente que todos os passos desse conteúdo são praticamente obrigatórios de serem seguidos. Mas esse está em um nível de importância bem elevado.
10. Evite temas e plugins nulled
Temas e plugins nulled são temas e plugins piratas disponibilizados gratuitamente em sites, muitas vezes, pouco confiáveis. Eles são uma cópia ilegal alterada para não exigir licença por parte dos usuários, deixando de graça extensões que eram pagas. A grande questão dos plugins e temas nulled é que, como são alterados, abrem margem para instalação de códigos maliciosos que podem pôr em risco a segurança do seu WordPress.
Sem ignorar também os problemas com violação de direitos autorais, falta de suporte e atualizações, anúncios indesejados e problemas de desempenho.
Conclusão – segurança no WordPress
Hoje nós vimos todas as dicas de segurança a serem tomadas para garantir totalmente segurança no WordPress. Esperamos que todos os itens tenham sido aplicados no seu site e que ele esteja com muito mais proteção nesse exato momento.
Se tiver qualquer dúvida, por favor, fale conosco na seção dos comentários logo abaixo.
Obrigado por ler até aqui. Um forte abraço!