Checklist de segurança WordPress

A segurança é sempre uma prioridade na internet. Seja para proteger informações ou evitar que o site saia do ar, essa é sempre a maior preocupação para qualquer usuário, independente da plataforma utilizada, inclusive o WordPress.

Mesmo sendo o sistema de gerenciamento de conteúdo mais utilizado no mundo, o WordPress ainda possui vulnerabilidades. Contudo, com a manutenção adequada, é possível prevenir  que essas vulnerabilidades atrapalhem o bom funcionamento do site.

Por que é importante cuidar da segurança do site WordPress?

Para qualquer marca que busque estar sempre presente no meio virtual, o site serve como uma vitrine dos produtos e serviços oferecidos. Se o site apresenta alguma instabilidade e fica fora do ar, a empresa já perde um importante ponto de contato com os seus potenciais clientes.

Além disso, um site inseguro pode afetar a confiança que os clientes possuem na marca, especialmente quando se precisa conceder informações pessoais sigilosas. Com a Lei Geral de Proteção de Dados (LGPD), tornou-se imprescindível fornecer um ambiente virtual o mais seguro possível para o usuário.

Ameaças à segurança do WordPress

Em qualquer sistema para criação e gerenciamento de sites, sempre vão existir ameaças que podem ser evitadas. Na maior parte das vezes, não é uma questão de uma plataforma ser mais segura do que a outra, mas sim de quais são as práticas de segurança adotadas.

Assim, a segurança do WordPress está relacionada à redução de riscos, já que nenhuma plataforma garante uma segurança perfeita. Por isso, é necessário conhecer as ameaças e saber como evitá-las.

Ameaças técnicas

Alguns erros técnicos podem resultar em falhas de segurança do WordPress, geralmente ligados a falta de atualização de funcionalidades do site. Essas ameaças podem ser:

• Falta de atualização do core do WordPress, plugins e temas

O core do WordPress é a base de todo site e sofre alterações regularmente. Em cada atualização são feitas melhorias de segurança de modo a estar sempre aperfeiçoando o sistema.

Da mesma maneira, os plugins e temas também são atualizados com frequência para garantir que estarão atuando da melhor forma possível. Logo, é importante que todos estejam atualizados para garantir o bom funcionamento do site.

No caso de plugins e temas, também é importante se certificar de que apenas plugins confiáveis sejam instalados. Sendo assim, o ideal é sempre buscar plugins e temas no diretório oficial, verificando a nota, avaliações e o número de instalações para evitar esse tipo de vulnerabilidade no seu site.

• Falta de atualização do PHP

O PHP é a linguagem de programação do WordPress. Por isso, utilizar a versão mais recente é tão relevante quanto manter o core atualizado. Mesmo que as versões principais sejam lançadas a cada dois anos, é importante acompanhar também as atualizações intermediárias, que também trazem correções de bugs e problemas de segurança.

• Hospedagem não confiável

A hospedagem também pode ser uma brecha na segurança do site. No geral, as hospedagens compartilhadas são as mais viáveis para sites menores e com o orçamento reduzido, mas é preciso se atentar aos protocolos de segurança oferecidos pela empresa.

Uma hospedagem não confiável pode fornecer passagens ocultas que ignoram a criptografia de segurança, chamadas de backdoors. Dessa forma, hackers podem destruir servidores inteiros, comprometendo vários sites ao mesmo tempo, sendo o tipo de ataque mais comum.

Por isso, a melhor opção é sempre aquela que possui servidores atualizados regularmente e com softwares de segurança. Protocolos de criptografia e de rede também são diferenciais no momento de escolher uma hospedagem confiável para o seu site.

• Não usar HTTPS

Instalar um certificado SSL e executar seu site por HTTPS, ao invés de HTTP, fortalece a segurança do seu site. Esse mecanismo permite que o navegador se conecte com segurança a um site, sendo visível ao usuário, o que aumenta também o sentimento de segurança do seu cliente.

Por mais que seja mais comum em lojas virtuais, qualquer tipo de site pode se beneficiar da segurança adicional oferecida pelo HTTPS. A mudança também pode beneficiar o SEO e a performance do site, além de evitar com que o site seja classificado como não seguro pelos navegadores.

Geralmente, uma boa hospedagem já oferece a instalação do certificado entre os seus serviços, não gerando custos adicionais para a empresa.

Ameaças humanas

Além das ameaças citadas acima, falhas humanas também podem deixar o site WordPress vulnerável a ataques. Alguns dos problemas mais comuns são:

• Utilizar o usuário “admin”

Um dos nomes de usuários mais comuns para WordPress é o “admin”, geralmente vinculado à função de administrador do site. Essa combinação perigosa é uma das vulnerabilidades mais frequentes e o recomendado é sempre alterar o nome de usuário para algo menos sugestivo.

• Utilizar senhas fracas

Assim como o nome de usuário mais comum é fácil de ser adivinhado, as senhas também costumam ser. O ideal é buscar usar senhas diferentes, tendo uma exclusiva para o WordPress, e que misturem letras maiúsculas e minúsculas, números e símbolos.

Nesse momento, usar um banco de dados criptografado no computador pode auxiliar a não perder as senhas. Outras medidas de segurança eficazes são a adoção da autenticação de dois fatores e um número limite de tentativas para login no site WordPress.

O fortalecimento do login com nomes de usuários e senhas fortes evita o ataque por força-bruta, em que são utilizados scripts automatizados para testar o máximo de combinações possíveis para invadir o site.

• Utilizar conexões que não são seguras

A invasão do roteador também representa uma ameaça ao seu site, por isso é dever buscar sempre conexões seguras. Logo, o melhor é evitar utilizar wi-fi abertos ou públicos e VPN e priorizar os protocolos de segurança WPA-2, WPA ou WEP para acessar o painel administrativo do site.

No roteador doméstico, é importante verificar se a senha é complexa e segura e utilizar IPs em um intervalo diferente do padrão. Na dúvida, procure sempre a conexão via cabo.

Com que frequência realizar a manutenção de segurança?

O ideal é que se mantenha uma periodicidade para realizar essa vistoria de segurança no site. É necessário estar acompanhando as atualizações anunciadas pelo WordPress, PHP e criadores de temas e plugins e manter a regularidade na verificação da segurança.

Essa manutenção também deve incluir a realização de backup, que deve ser feita de acordo com a frequência de atualização do site. Assim, caso alguma falha de segurança aconteça, o site poderá ser restaurado a sua última versão sem problemas.

Checklist de segurança WordPress

Elaboramos uma página no Notion interativa com todas as tarefas categorizadas e pronta para ser compartilhada com a sua equipe. Confira clicando aqui.

• Manter o core do WordPress atualizado
• Suporte para a versão mais recente do PHP
• Atualizar temas
• Atualizar plugins
• Remover temas e plugins não utilizados
• Substituir plugins desatualizados sempre que possível
• Adotar um serviço de hospedagem seguro
• Criar lista permitida de IP’s para acessos SSH e SFTP seguros
• Instalar certificado SSL para HTTPS
• Fortalecer usuários e senhas
• Gerenciar usuários para acesso controlado ao WordPress
• Estabelecer limite de tentativas de login
• Utilizar a autenticação de dois fatores para o login
• Utilizar o captchas em nos formulários
• Fazer backup

Um bom plugin de segurança pode auxiliar em boa parte dessas tarefas, por isso é essencial ter um instalado no seu site. Recomendamos o Sucuri Security.

Seguindo corretamente essas medidas de segurança, dificilmente seu site WordPress enfrentará problemas. Caso deseje um serviço de manutenção especializado para o seu site, entre em contato com a gente.