Não estamos aceitando novos projetos no momento, saiba mais
A segurança é sempre uma prioridade na internet. Seja para proteger informações ou evitar que o site saia do ar, essa é sempre a maior preocupação para qualquer usuário, independente da plataforma utilizada, inclusive o WordPress.
Mesmo sendo o sistema de gerenciamento de conteúdo mais utilizado no mundo, o WordPress ainda possui vulnerabilidades. Contudo, com a manutenção adequada, é possível prevenir que essas vulnerabilidades atrapalhem o bom funcionamento do site.
Por que é importante cuidar da segurança do site WordPress?
Para qualquer marca que busque estar sempre presente no meio virtual, o site serve como uma vitrine dos produtos e serviços oferecidos. Se o site apresenta alguma instabilidade e fica fora do ar, a empresa já perde um importante ponto de contato com os seus potenciais clientes.
Além disso, um site inseguro pode afetar a confiança que os clientes possuem na marca, especialmente quando se precisa conceder informações pessoais sigilosas. Com a Lei Geral de Proteção de Dados (LGPD), tornou-se imprescindível fornecer um ambiente virtual o mais seguro possível para o usuário.
Ameaças à segurança do WordPress
Em qualquer sistema para criação e gerenciamento de sites, sempre vão existir ameaças que podem ser evitadas. Na maior parte das vezes, não é uma questão de uma plataforma ser mais segura do que a outra, mas sim de quais são as práticas de segurança adotadas.
Assim, a segurança do WordPress está relacionada à redução de riscos, já que nenhuma plataforma garante uma segurança perfeita. Por isso, é necessário conhecer as ameaças e saber como evitá-las.
Ameaças técnicas
Alguns erros técnicos podem resultar em falhas de segurança do WordPress, geralmente ligados a falta de atualização de funcionalidades do site. Essas ameaças podem ser:
- Falta de atualização do core do WordPress, plugins e temas
O core do WordPress é a base de todo site e sofre alterações regularmente. Em cada atualização são feitas melhorias de segurança de modo a estar sempre aperfeiçoando o sistema.
Da mesma maneira, os plugins e temas também são atualizados com frequência para garantir que estarão atuando da melhor forma possível. Logo, é importante que todos estejam atualizados para garantir o bom funcionamento do site.
No caso de plugins e temas, também é importante se certificar de que apenas plugins confiáveis sejam instalados. Sendo assim, o ideal é sempre buscar plugins e temas no diretório oficial, verificando a nota, avaliações e o número de instalações para evitar esse tipo de vulnerabilidade no seu site.
- Falta de atualização do PHP
O PHP é a linguagem de programação do WordPress. Por isso, utilizar a versão mais recente é tão relevante quanto manter o core atualizado. Mesmo que as versões principais sejam lançadas a cada dois anos, é importante acompanhar também as atualizações intermediárias, que também trazem correções de bugs e problemas de segurança.
- Hospedagem não confiável
A hospedagem também pode ser uma brecha na segurança do site. No geral, as hospedagens compartilhadas são as mais viáveis para sites menores e com o orçamento reduzido, mas é preciso se atentar aos protocolos de segurança oferecidos pela empresa.
Uma hospedagem não confiável pode fornecer passagens ocultas que ignoram a criptografia de segurança, chamadas de backdoors. Dessa forma, hackers podem destruir servidores inteiros, comprometendo vários sites ao mesmo tempo, sendo o tipo de ataque mais comum.
Por isso, a melhor opção é sempre aquela que possui servidores atualizados regularmente e com softwares de segurança. Protocolos de criptografia e de rede também são diferenciais no momento de escolher uma hospedagem confiável para o seu site.
- Não usar HTTPS
Instalar um certificado SSL e executar seu site por HTTPS, ao invés de HTTP, fortalece a segurança do seu site. Esse mecanismo permite que o navegador se conecte com segurança a um site, sendo visível ao usuário, o que aumenta também o sentimento de segurança do seu cliente.
Por mais que seja mais comum em lojas virtuais, qualquer tipo de site pode se beneficiar da segurança adicional oferecida pelo HTTPS. A mudança também pode beneficiar o SEO e a performance do site, além de evitar com que o site seja classificado como não seguro pelos navegadores.
Geralmente, uma boa hospedagem já oferece a instalação do certificado entre os seus serviços, não gerando custos adicionais para a empresa.
Ameaças humanas
Além das ameaças citadas acima, falhas humanas também podem deixar o site WordPress vulnerável a ataques. Alguns dos problemas mais comuns são:
- Utilizar o usuário “admin”
Um dos nomes de usuários mais comuns para WordPress é o “admin”, geralmente vinculado à função de administrador do site. Essa combinação perigosa é uma das vulnerabilidades mais frequentes e o recomendado é sempre alterar o nome de usuário para algo menos sugestivo.
- Utilizar senhas fracas
Assim como o nome de usuário mais comum é fácil de ser adivinhado, as senhas também costumam ser. O ideal é buscar usar senhas diferentes, tendo uma exclusiva para o WordPress, e que misturem letras maiúsculas e minúsculas, números e símbolos.
Nesse momento, usar um banco de dados criptografado no computador pode auxiliar a não perder as senhas. Outras medidas de segurança eficazes são a adoção da autenticação de dois fatores e um número limite de tentativas para login no site WordPress.
O fortalecimento do login com nomes de usuários e senhas fortes evita o ataque por força-bruta, em que são utilizados scripts automatizados para testar o máximo de combinações possíveis para invadir o site.
- Utilizar conexões que não são seguras
A invasão do roteador também representa uma ameaça ao seu site, por isso é dever buscar sempre conexões seguras. Logo, o melhor é evitar utilizar wi-fi abertos ou públicos e VPN e priorizar os protocolos de segurança WPA-2, WPA ou WEP para acessar o painel administrativo do site.
No roteador doméstico, é importante verificar se a senha é complexa e segura e utilizar IPs em um intervalo diferente do padrão. Na dúvida, procure sempre a conexão via cabo.
Com que frequência realizar a manutenção de segurança?
O ideal é que se mantenha uma periodicidade para realizar essa vistoria de segurança no site. É necessário estar acompanhando as atualizações anunciadas pelo WordPress, PHP e criadores de temas e plugins e manter a regularidade na verificação da segurança.
Essa manutenção também deve incluir a realização de backup, que deve ser feita de acordo com a frequência de atualização do site. Assim, caso alguma falha de segurança aconteça, o site poderá ser restaurado a sua última versão sem problemas.
Checklist de segurança WordPress
Elaboramos uma página no Notion interativa com todas as tarefas categorizadas e pronta para ser compartilhada com a sua equipe. Confira clicando aqui.
- Manter o core do WordPress atualizado
- Suporte para a versão mais recente do PHP
- Atualizar temas
- Atualizar plugins
- Remover temas e plugins não utilizados
- Substituir plugins desatualizados sempre que possível
- Adotar um serviço de hospedagem seguro
- Criar lista permitida de IP’s para acessos SSH e SFTP seguros
- Instalar certificado SSL para HTTPS
- Fortalecer usuários e senhas
- Gerenciar usuários para acesso controlado ao WordPress
- Estabelecer limite de tentativas de login
- Utilizar a autenticação de dois fatores para o login
- Utilizar o captchas em nos formulários
- Fazer backup
Um bom plugin de segurança pode auxiliar em boa parte dessas tarefas, por isso é essencial ter um instalado no seu site. Recomendamos o Sucuri Security.
Seguindo corretamente essas medidas de segurança, dificilmente seu site WordPress enfrentará problemas. Caso deseje um serviço de manutenção especializado para o seu site, entre em contato com a gente.