10 Dicas obrigatórias de Segurança para Proteger seu site WordPress
Para tudo na vida, segurança é essencial. E o mesmo vale para o ambiente online, principalmente quando tratamos da segurança WordPress. Quem tem negócios online, seja ele em qualquer dimensão e segmento, sabe o quanto é importante manter seu site e conteúdo protegidos.
A tecnologia garantiu muitos avanços sociais em diversos setores e vem facilitando a nossa vida em questão de mobilidade, segurança e, principalmente, comunicação e acessibilidade.
Contudo, da mesma forma que as coisas evoluíram significativamente para o bem, também evoluíram para o mal.
Diariamente, cerca de 70 mil sites entram na tão temida lista negra do Google por apresentarem algum tipo de ameaça ao ambiente online, por meio de malware ou phishing. (Se você está com esse problema, pode ler o nosso post Como recuperar um WordPress Hackeado?)
Além disso, são incontáveis os números de hackers que existem por aí, gerando prejuízos a milhares de pessoas ao redor do mundo todos os dias.
Os cybercrimes, dos mais diversos tipos, são cada vez mais comuns. E a facilidade de se mostrar e se esconder online torna a rastreabilidade algo difícil e comum, contribuindo para a impunidade de uma série de crimes.
Felizmente, existem muitas formas de reduzir o risco de cair em alguma dessas armadilhas do ambiente online. Infelizmente, essas medidas de segurança WordPress reduzem o risco, porém não o eliminam completamente.
Por isso, assim como na nossa casa e com nossos bens materiais e pessoais, é aconselhável que você combine mais de uma medida de segurança WordPress no seu negócios online.
Você pode garantir a sua segurança WordPress de diversas maneiras, gratuitas ou não. O mais importante é você entender por que precisa proteger o seu site, como fazê-lo e quais são as opções mais adequados para o seu perfil e seu orçamento.
Muitas pessoas, quando começam seu site, talvez por empolgação, falta de informação ou simplesmente por não acreditarem no risco mesmo, ignoram as questões de segurança.
Contudo, é importante que você saiba que a segurança WordPress garante não só a proteção do seu projeto como também traz diversos outros benefícios, como aumento da velocidade e melhor acessibilidade.
Aqui, vamos te mostrar alguns outros benefícios de manter seu site seguro, além de algumas formas e dicas de plugins de segurança WordPress.
O que você irá ver nesse post
Por que devo garantir a Segurança WordPress?
Conforme citamos anteriormente, manter a sua segurança WordPress pode te trazer inúmeros benefícios além de proteger o seu conteúdo propriamente dito, apesar de ser esse o principal objetivo, claro.
Proteger o seu site garante medidas de segurança básicas caso haja alguma tentativa de ataque ao seu conteúdo. Ou seja, se em algum momento, um hacker ou código malicioso ameaçar o seu site, o mesmo estará “blindado” para os tipos mais comuns de ataques.
Se o seu site não estiver devidamente protegido, um hacker pode acessar o seu conteúdo e roubar informações de usuários, senhas, distribuir malwares para os seus usuários, etc.
Além disso, nos casos mais extremos, você poderá simplesmente ter o seu site como um todo roubado e nunca mais conseguir recupera-lo.
Essa situação pode, facilmente, se tornar uma bola de neve de problemas. Dependendo do conteúdo e do tipo de ataque que você vier a sofrer, poderá ainda ter que ressarcir, indenizar e responder por situações que não praticou.
Como se isso já não fosse motivo suficiente para garantir a segurança WordPress, você ainda tem outros benefícios ao proteger seu site, tais como:
- Aumento da velocidade do site;
- Não entrar na lista negra do Google;
- Maior acessibilidade de usuários.
A segurança WordPress também garante credibilidade ao seu negócio, uma vez que o visitante, também se sente seguro em te fornecer informações e dados que podem ser úteis para prospectar clientes, por exemplo.
Se o seu site não apresenta segurança, o visitante provavelmente receberá uma notificação, fazendo com que ele não acesse mais esse conteúdo ou que não finalize uma próxima ação dentro do site (Temos um post que explica como o HTTPS Pode garantir mais segurança e visibilidade para o seu site no Google).
Além disso, no pior dos cenário, sua URL pode ser interpretada como maliciosa e perigosa no ambiente online, entrando para a indesejável lista negra do Google.
O risco que todos esses fatores podem trazer para o seu negócio são quase infinitos. Contudo, é muito fácil reduzir e até evitar que diversas dessas situações aconteçam e comprometam o futuro do seu site. Garantir a segurança WordPress é, então, fundamental.
Caso não queira se preocupar com isso e queira garantir a segurança total do seu site ou e-commerce, a Abale possui um serviço especializado de proteção de sites em WordPress com Backups Diários, servidores dedicados e especialmente estruturados para WordPress além de monitoramento de Malwares e bloqueio de invasões. Você pode entrar em contato conosco e pedir mais informações.
Se você for do tipo que coloca a mão na massa e tem algum conhecimento, pensando em todos os riscos da falta de segurança WordPress e também em todos os benefícios em proteger o seu sites, fizemos um breve checklist com dez itens obrigatórios de segurança.
Checklist de Segurança Obrigatório WordPress
Lá vem o checklist! Mais do que uma moda, saiba que um avião não levanta vôo se não passar por um ou vários desses, então, pode ser chato mas devemos passar por todos eles!
Os dez itens listados são obrigatórios para quem quer manter o mínimo de segurança WordPress em seu projeto e não contratou nenhum serviço profissional para monitorar e proteger o site.
Existem ainda outras formas e métodos de proteger o seu negócio online e garantir a sustentabilidade e a probabilidade de sucesso do seu site (como o nosso serviço de segurança para sites em WordPress por exemplo).
Vou explicar de forma resumida, como cada um desses itens são importantes e essenciais para reduzir a vulnerabilidade do seu projeto.
Vale lembrar também que a própria ferramenta exige alguns itens de segurança e oferece diversas dicas para o usuário. Por isso, se você ainda não começou o seu negócio, atente-se a esses itens, estude e leia bastante sobre segurança.
Porém, se o seu negócio já existe, verifique se está tomando todas as medidas de segurança básica para ele. E, caso ainda não esteja, coloque-as em prática o quanto antes.
Item 1: Manter o WordPress atualizado
Por ser uma plataforma muito conhecida e de código aberto, é essencial que você mantenha o seu WordPress sempre atualizado.
Isso porque, devido a sua popularização e facilidade de trabalho, fica fácil de entender o código, quebrá-lo e verificar as falhas que possam ter, tornando os golpes mais fáceis e mais frequentes.
A boa notícia é que, na verdade, existem mais hackers bonzinhos do que malvados. E muitos reportam à plataforma quando encontram qualquer falha, principalmente de segurança.
É por isso que, frequentemente, são lançadas as atualizações.
Normalmente, as pequenas atualizações são instaladas automaticamente, pela própria plataforma, porém as maiores e mais complexas precisam ser feitas de forma manual.
Manter a versão desatualizada do seu WordPress significa manter uma versão com falhas já conhecidas, facilitando a vida dos hackers mal intencionados.
Item 2: Senhas fortes
Atualmente, temos tantas senhas para memorizar que muitas pessoas se limitam a elaborar senhas que sejam fáceis de memorizar.
E, também, de hackear.
Elaborar uma senha forte e mantê-la atualizada periodicamente é uma medida de segurança WordPress fácil, rápida e eficiente, que pode evitar uma série de problemas.
Quando elaborar a sua senha, tenha em mente dicas básicas:
- Evite números e letras sequenciais: 123456 ou abcdef
- Evite números e letras iguais: 000000 ou aaaaa
- Evite nomes e datas de nascimento de pessoas próximas: nome da mãe, data de nascimento do filho, etc.
- Mescle letras maiúsculas e minúsculas, números e caracteres, sempre que possível;
- Atualize sua senha com frequência: a cada dois ou três meses, atualize suas senhas;
- Evite utilizar a mesma senha de outros portais: assim, você também evita ter a vida hackeada.
- Evite senhas óbvias: se seu site é sobre programação, por exemplo, evite senhas intuitivas e obviamente relacionadas ao seu negócio, como: software;
- Evite colocar o nome de usuário e senha iguais.
Item 3: Permissão de usuários
Seja cuidadoso (a) quando decidir que tipo de acesso e permissão os usuários terão ao seu site.
Tenha certeza do que, exatamente, cada tipo de usuário poderá fazer, ler, modificar e visualizar no WordPress. Faça uma análise detalhada sempre que precisar / quiser adicionar novos usuários.
É importante você ter muita certeza do nível que confiança que pode ter com os usuários e, consequentemente, o nível de liberdade que permitirá aos mesmos.
Se você tiver, por exemplo, uma equipe grande é aconselhável que tenha também um elevado nível de critério e rigor, para que as coisas não saiam do controle.
Item 4: Remova plugins e temas que não são utilizados
Existe um termo em segurança que se chama “Superfície de ataque”. Basicamente, quando você mantém plugins e temas que não está utilizando, você aumenta a superfície de ataque.
O que acontece é que esses plugins não deixarão seu WordPress mais lento ou terão efeitos enquanto estiverem desativados, mas se algum desses plugins ou temas possuírem falhas, fácilmente elas poderão ser exploradas mesmo com ele desativado.
Item 5: Backups
Os backups te dão a facilidade de restaurar / recuperar o seu site, caso aconteça qualquer ataque.
É importante também se atentar em salvar os backups completos em lugares diferentes e remotos.
Esses backups devem ser feitos com frequência compatível ao seu ritmo de atualização, seja diário, semanal, mensal… não importa.
Para garantir a segurança WordPress do seu projeto, tente fazer com o menor intervalo possível. E ai? Você sabe se o seu servidor tem Backup? Sabe qual á e frequência? Fica ai a sua lição de casa!
Item 6: Hospedagem
Os serviços de hospedagem são, talvez, os mais hackeados, por isso é extremamente importante quando falamos de segurança WordPress.
Os diversos provedores de hospedagem oferecem também as mais variadas medidas de segurança para as ameaças mais comuns.
Item 7: Invista em plugins de segurança WordPress
Sim, eles são muito bons e evitam diversas situações desagradáveis.
Existem plugins de segurança gratuitos que atendem de forma bastante completa às questões mais comuns de segurança WordPress.
Esses sistemas funcionam como uma espécie de armadura para o seu WordPress.
Os plugins, normalmente, executam varreduras periódicas (manual, programadas ou automáticas) no WordPress, notificam sempre que detectam ameaças ao site e tomam algumas medidas de segurança imediatas quando percebem algum ataque.
Alguns ainda oferecem versões mais completas, incluindo notificações por e-mail e celular, verificação da lista negra do Google, verificações de malware, limites de tentativas de login e monitoramento de integridade e vulnerabilidade.
Listamos os 5 plugins de segurança WordPress mais comuns e acessíveis no mercado atual:
- WordFence: É o mais popular de todos, melhor avaliação dentre os usuários e conta com uma versão gratuita muito eficiente.
- Sucuri Security: Possui versão gratuita disponibilizada pelo próprio WordPress.
- iThemes Security: Oferece mais de 30 formas diferentes de proteger o seu site.
- Google Authenticator: Possui um sistema de autenticação em duas etapas, reduzindo o risco de ataque.
- BulletProof Security: Oferece medidas de segurança fáceis e rápidas, bloqueia o usuário em casa de longo período de inatividade.
Item 8: Limitar tentativas de login
Os ataques de força bruta são feitos com diversas tentativas de logins utilizando códigos diferentes. Isso só reforça a importância de utilizar senhas fortes, conforme explicamos no Item 2.
O padrão WordPress permite que os usuários tentem, por diversas vezes, efetuarem o login. Por isso, ao limitar as tentativas de login você reduz a probabilidade de ataques.
É a mesma lógica utilizada por cartões de crédito e bancos, por exemplo. Após um determinado número de tentativas, o sistema bloqueia o acesso do usuário. A liberação é feita somente após uma verificação ou uma segunda etapa de login, que pode ser através de uma confirmação por e-mail, respondendo a uma pergunta chave cadastrada ou código de verificação enviado para o celular ou e-mail cadastrados.
Essa medida simples, disponível na grande maioria dos plugins de segurança WordPress, pode evitar muitos dos mais comuns tipos de ataques e ameaças.
Item 9: Alterar o nome de usuário
Além de manter suas senhas atualizadas frequentemente (Item 2), atualizar e alterar o nome de usuário também ajuda a aumentar a segurança WordPress do seu projeto.
As mesmas dicas para elaborar as senhas são válidas na hora de definir o seu nome de usuário.
Lembre-se que os hackers mal intencionadas irão trabalhar com a lógica de tentativa e erro, em outras palavras: vão tentar de tudo até conseguir.
Por isso, quanto melhor elaborado for seu nome de usuário e senha, menores as chances de acerto do hacker.
Evite nomes como “admin”, “administrador”, “marketing”, “{nome do seu site}”
Item 10: Se for utilizar um plugin ou tema “premium”, pague por isso
Infelizmente, uma prática bastante comum entre desenvolvedores não profissionais/éticos, é a utilização de Plugins e Temas que são pagos, mas são baixados ilegalmente na internet.
Isso é feito na maioria das vezes, porque o desenvolvedor compete pelo preço, e não qualidade, ou seja, ele cobra mais barato, e baixa os plugins e temas irregularmente.
Ao fazer isso, você perde qualquer suporte que teria profissional do tema ou plugin.
O barato sai caro, a grande maioria desses plugins e Temas possuem brechas que permitem que outras pessoas controlem seu site apagando conteúdo, direcionado para site de terceiros e enviando instalação de vírus para seus clientes. Baixe somente plugins e temas de fontes confiáveis.
Agora, fica evidente a importância da combinação dos diversos itens de segurança WordPress listados. Veja o exemplo a seguir.
Ao aplicar os itens listados anteriormente, é possível imaginar o cenário:
Item 2: Senhas fortes: o hacker terá dificuldade de decifrar a senha de acesso;
Item 3: Permissão de usuários: ainda que o hacker consiga acessar o sistema utilizando uma determinada combinação de usuário e senha, o acesso pode ser limitado.
Item 7: Plugins de segurança: o sistema detecta possíveis ataques e comportamentos suspeitos, bloqueia o acesso, notifica o usuário e executa as medidas de segurança;
Item 8: Limitar as tentativas de acesso: as diversas tentativas de combinação de usuário e senha, bloqueiam o acesso exigindo uma segunda etapa de verificação;
Item 9: Alterar o nome de usuário: a variação do nome de usuário, limita a facilidade de um novo ataque após algum tempo.
item 10: Você terá suporte e garantia de que o código que está rodando na sua instalação é um código validado e constantemente atualizado pelo desenvolvedor que recebeu por isso.
Conclusão
A segurança não é um plugin, é um conjunto de atitudes e verificações rotineiras que garantem a disponibilidade do seu site e a segurança e preservação do código e conteúdo.
Se você ainda precisa de ajuda ou tiver alguma outra dica ou souber se algum item que não listamos aqui, manda pra gente!