🤟Antes de começar:o cuidado contínuo é essencial para enfrentar os desafios dinâmicos do mundo digital. Nós sempre estaremos em busca de vulnerabilidades para corrigi-las.
Se você quer se estabelecer como um profissional WordPress confiável e, consequentemente, ser indicado por outros clientes, precisará compreender um pouco mais sobre a segurança da plataforma.
Pensando nisso, criei este guia de segurança para o WordPress, que servirá como um bom ponta pé inicial para seus estudos.
Para lhe auxiliar, estruturei o guia em duas seções principais: essencial e avançado. Cada seção é projetada para atender diferentes níveis de necessidade e experiência, garantindo que todos, de iniciantes a usuários avançados, possam aproveitar as informações da melhor forma possível.
Lembrando que essas são práticas que eu utilizo para proteção dos meus projetos.
Essencial: práticas de segurança WordPress indispensáveis
O alicerce da segurança começa com uma boa hospedagem
Indo direto ao ponto, a escolha da hospedagem é tão crucial para a segurança do seu site como a fundação o é para uma casa.
Particularmente, utilizo e indico sempre para todos os meus clientes os modelos de hospedagem em nuvem e já explico o porquê.
A escolha da hospedagem ideal varia conforme as necessidades específicas de cada site, sendo que as opções mais seguras geralmente incluem hospedagens em Cloud ou em Servidores Virtuais Privados (VPS).
No entanto, apesar de muitos optarem por VPS, este tipo de hospedagem requer conhecimento técnico avançado ou uma equipe especializada para gerenciamento do servidor. E é por esse motivo que minha recomendação principal são as hospedagens Cloud gerenciadas.
Essas hospedagens são projetadas para oferecer uma excelente combinação de performance, segurança e escalabilidade, atendendo à maioria das demandas sem exigir o mesmo nível de especialização técnica que um VPS demandaria.
Se você já leu outros posts, sabe que minhas hospedagens favoritas atuais são: xCloud e Hostinger Cloud.
xCloud
Conheci a xCloud enquanto buscava alternativas à Cloudways, ampliando as opções que eu poderia testar nos meus projetos. Hoje, é minha escolha principal para lojas virtuais.
Assim como a Cloudways, a xCloud é uma plataforma de hospedagem gerenciada em nuvem, que facilita a gestão de servidores, como, Vultr, AWS, Google Cloud, entre outras. A qualidade desses servidores dispensa maiores comentários!
Hostinger Cloud
Por outro lado, a Hostinger se destaca como uma escolha mais barata ainda, versátil e robusta, ideal para uma variedade de aplicações online, desde sites institucionais, blogs com alto volume de tráfego e, também, lojas virtuais.
Frequentemente, recebo muitas pessoas desesperadas por terem tido seus projetos WordPress hackeados. E essas hospedagens são de longe as hospedagens as que menos apresentaram problemas de segurança até o momento.
HTTPS: essencial para criptografar as informações do usuário
O HTTPS nada mais é do que hoje conhecemos por SSL (Secure Sockets Layer), que ajuda a criar um canal criptografado entre o usuário e o servidor, garantindo que qualquer informação transferida, como dados pessoais ou de pagamento, permaneça privada e segura.
Inclusive, o WooCommerce, plugin que transforma o WordPress em uma loja virtual, não funciona corretamente se acaso o SSL não estiver configurado no site.
Além disso, a implementação do SSL não se limita a uma questão de segurança; é também um fator SEO. O Google favorece sites seguros com classificações mais altas nos resultados de pesquisa. Então, se você ainda não o fez, obtenha um certificado SSL e eleve tanto a segurança quanto a visibilidade do seu site.
A maioria dos planos profissionais de hospedagem oferecem o certificado SSL gratuito, já incluso nos planos mensais.
Atualizações frequentes para correção de vulnerabilidades
Além do uso de hospedagens não confiáveis, aqui está um outro grande motivo dos sites serem hackeados, que é a falta do cuidado em atualizar os seus componentes principais: WordPress Core, temas e plugins.
Portanto, não há desculpas quando se trata de atualizações. O WordPress, assim como seus temas e plugins, é atualizado com frequência por uma razão crucial: segurança. A cada nova versão, correções para bugs e vulnerabilidades recentemente descobertas são aplicadas.
💡Dica importante: mantenha somente aquilo que é utilizado. Também frequentemente atendo clientes cujo sites foram infectados e, para minha pouca surpresa, a maioria deles possui diversos plugins desatualizados, plugins desativados mas não removidos, e múltiplos temas instalados. Na realidade, o ideal é que somente o tema principal (aquele que está em uso) permaneça instalado e ativo.
Por isso, também evite plugins em excesso e caso não esteja utilizando qualquer um deles, remova-o completamente, e não apenas desative. E lembre-se: instale plugins e temas somente de fontes confiáveis.
Promover o uso de credenciais fortes e únicas
As senhas são as chaves de nossas casas virtuais. Encorajar ou até mesmo impor a escolha de senhas seguras, com uma combinação de letras maiúsculas, minúsculas, números e caracteres especiais, é uma defesa simples, mas eficaz.
Também usar um serviço de autenticação de dois fatores (2FA) adiciona uma camada extra de proteção, que é altamente recomendada para qualquer login importante no WordPress (usuários com perfis de administrador, por exemplo).
Um plugin que também utilizo com frequência para isso é o “WP 2FA – Two-factor authentication for WordPress“. Para a maioria dos usuários, a versão gratuita já cumpre bem os requisitos de proteção.
Reduzir o risco de ataques de força bruta ao painel administrativo
Alterar o URL de login do painel é uma técnica simples, mas que fortalece a segurança do site. Ao modificarmos o endereço padrão (como /wp-admin ou /wp-login.php) para uma rota personalizada, dificultamos a ação dos invasores que buscam explorar essas páginas conhecidas com ataques de força bruta, que nada mais são do que tentativas automatizadas de adivinhar as credenciais de acesso.
Ferramentas de limitação de login, que bloqueiam acessos depois de um certo número de tentativas frustradas, são nossas melhores amigas para conter essas invasões.
Para esses casos, minha recomendação é o uso de dois plugins: “Limit Login Attempts Reloaded” e o “WPS Hide Login“.
Garantir que o servidor esteja utilizando uma versão segura e atualizada do PHP
Sabemos que o PHP é a linguagem de programação que serve de base para o WordPress. Uma versão desatualizada ou insegura do PHP pode ser uma vulnerabilidade significativa para o seu site. Certifique-se sempre de usar a versão mais recente do PHP compatível com o WordPress, para garantir não só segurança aprimorada, mas também melhor desempenho.
Lembre-se de fazer um backup de tudo antes de atualizar a versão.
Faça backups com frequência
Um backup é o nosso salva-vidas. Se o inesperado acontecer, um bom backup pode rapidamente devolver o site à vida como se nada tivesse acontecido.
A maioria dos planos de hospedagens sérios oferecem backups regulares, tanto diários quanto semanais, a depender do pacote contratado. Algumas dicas importantes são:
- Armazene backups em locais seguros, de preferência fora do servidor;
- Teste regularmente que os backups podem ser recuperados com sucesso;
- Tenha sempre mais do que somente 1 ou 2 backups;
- Lembre-se: é preciso fazer o backup tanto dos conteúdos do site (pastas, arquivos, etc.) quando do banco de dados (índices, tabelas, etc.).
E, sim, no início de minha trajetória cometi o erro de fazer o backup apenas dos conteúdos e me esqueci do banco de dados. Isso me trouxe muita dor de cabeça, mas, no final, tudo se resolveu 😌
Agora, vamos prosseguir com algumas dicas avançadas para proteger ainda mais nossos projetos WordPress.
Avançado: estratégias de segurança WordPress para profissionais
Abaixo, estão dicas mais avançadas para proteger seus projetos em WordPress. Porém, tenha em mente que essa lista não é exaustiva, ou seja, existem vários outros cuidados que você deverá tomar. E que nada na segurança digital é infalível e passível de burla.
Desabilitando a edição de arquivos
Desabilitar a edição de arquivos diretamente no painel administrativo de sistemas de gestão de conteúdo, como o WordPress, é uma prática de segurança importante. Isso previne que usuários, que possuam acesso administrativo, possam modificar arquivos de temas ou plugins diretamente através do editor de arquivos interno.
Para fazer isso, localize o arquivo wp-config.php, que fica na pasta public_html, raíz da sua instalação.
Você deve adicionar a linha de código “define('DISALLOW_FILE_EDIT', true);“, logo antes da frase /* That's all, stop editing! Happy publishing. */:
Desativando o relatório de erros PHP
Desativar o relatório de erros PHP é crucial para prevenir a exposição de informações sensíveis sobre sua configuração de servidor. Isso ajuda a proteger seu site contra potenciais hackers que exploram essas informações para ataques. Acesse o arquivo php.ini localizado na raiz do seu servidor.
Para desativar os relatórios de erro, adicione ou modifique a linha “display_errors = Off“. Certifique-se de fazer isso antes de terminar as configurações essenciais do arquivo.
Em muitas hospedagens, esse processo pode ser realizado com um único clique, como no exemplo abaixo:
Reduzir riscos de manipulação de banco de dados
Para reduzir os riscos de manipulação de banco de dados, é fundamental implementar controles estritos de acesso e uso de práticas de codificação seguras.
No arquivo de configuração, que já vimos anteriormente, wp-config.php, certifique-se de usar senhas fortes e únicas para o acesso ao banco de dados.
Usando .htaccess para aumentar a segurança no WordPress
Utilizar o arquivo .htaccess para aumentar a segurança do WordPress é uma técnica eficaz. Este arquivo, localizado na pasta public_html, permite que você restrinja o acesso a certos arquivos e diretórios.
Adicione regras que neguem o acesso a arquivos importantes, como o wp-config.php, para prevenir que sejam acessados diretamente, ou seja, que usuários não autorizados visualizem ou manipulem o arquivo através do navegador. Isso pode ser feito inserindo linhas como Deny from all dentro das tags <Files> apropriadas:
Implementar medidas para mitigar ataques de negação de serviço (DDoS)
Você sabe o que é uma rede CDN? Grosso modo, a CDN é uma rede de servidores distribuídos pelo mundo que trabalham em conjunto para fornecer entrega rápida de conteúdo da internet, independentemente da localização do usuário.
Para mitigar ataques de negação de serviço (DDoS), o uso de serviços como o da Cloudflare pode ser extremamente eficaz. A Cloudflare, além de outras funcionalidades, possui proteção contra DDoS, que absorve e filtra o tráfego malicioso antes que ele atinja o servidor.
A Cloudflare possui planos gratuitos e pagos, e os planos gratuitos já são mais do que suficientes para grande parte dos projetos.
Utilizar ferramentas especializadas para reforçar a segurança
Por fim, muitas ferramentas podem ajudar a aprimorar a segurança do seu site WordPress além das mencionadas anteriormente. Estas incluem scanners de vírus e malwares, ajustes mais finos de segurança, entre outros.
No entanto, aqui também tenho minhas preferências.
Caso você esteja com o orçamento reduzido, eu indico a utilização do Wordfence em sua modalidade gratuita. Agora, se você precisa de uma proteção extra para projetos mais robustos, recomendo Virusdie ou Malcare, sendo a primeira minha escolha para projetos de parceiros.
Conclusão
Em conclusão, continuar educando-se sobre as melhores práticas e revisando as políticas regularmente é imprescindível para manter WordPress seguro.
Mas é importante deixar claro: nenhum sistema é 100% infalível, mas uma abordagem de defesa proativa é o que vai tornar o seu site WordPress cada vez mais protegido.
Espero que as dicas compartilhadas sejam úteis para o desenvolvimento e segurança de seus projetos. Caso tenha alguma dúvida, sugestão ou precise de mais informações, fique à vontade para deixar seu comentário abaixo 👇🫡
Perguntas frequentes
Qual é a melhor hospedagem para garantir a segurança do meu site WordPress?
Para nós que atuamos como freelancers e precisamos de segurança e agilidade, eu sempre recomendo hospedagens Cloud gerenciadas, como a xCloud e Hostinger Cloud, que é a que utilizo tanto para o FreeLab quanto para meu site de serviços e clientes. A dica é: busque simplificar os seus processos com uma plataforma que seja amigável e confiável ao mesmo tempo.
Preciso mesmo usar HTTPS no meu site WordPress?
Sim, absolutamente. Esse protocolo é indispensável para proteger as informações trocadas entre o usuário e o servidor. Além disso, sem o SSL, plugins como o WooCommerce nem funcionam corretamente. E a maioria das hospedagens profissionais já oferece SSL gratuito.
Por que devo manter o WordPress, temas e plugins sempre atualizados?
Atualizações corrigem vulnerabilidades e bugs apresentados em versões anteriores dos softwares. Muitos casos de invasão que atendo envolvem plugins desatualizados ou até mesmo instalados, mas desativados e esquecidos.
Como posso proteger meu painel de administração contra ataques?
Recomendo algumas práticas como:
- Usar senhas fortes e únicas.
- Implementar autenticação de dois fatores (2FA), com plugins como o WP 2FA.
- Alterar o URL padrão de login para uma rota personalizada, usando plugins como WPS Hide Login.
- Limitar tentativas de login com Limit Login Attempts Reloaded.
Essas medidas dificultam, principalmente, os chamados ataques de força bruta.
Backups são realmente necessários se o site estiver seguro?
Sim, backups são indispensáveis, mesmo em sites bem protegidos. Já cometi o erro, no início da minha trajetória, de fazer backup apenas dos arquivos e me esquecer do banco de dados. Isso me deu muita dor de cabeça e não preciso dizer que nunca mais cometi esse erro, né 😅🙏? Hoje, sempre recomendo:
- Teste regularmente se eles podem ser restaurados com sucesso.
- Faça backups frequentes, incluindo arquivos e banco de dados.
- Armazene-os fora do servidor principal.
