Categorias
Segurança WordPress

WordPress mais seguro: saiba como

Com certeza, você já viu ou conhece alguém que teve seu WordPress invadido, né?

Infelizmente, não é uma situação nada agradável, principalmente quando o site é de algum cliente.

Todavia, com poucos ajustes, você consegue deixar seu WordPress muito mais seguro. Para isso, criamos este conteúdo para te ajudar!

Considerando que a invasão, por mais que existam recursos a fim de evitá-la, é um risco real, em primeiro lugar:

Faça seu backup (de preferência mais de um)

Tenha sempre em mente que existem brechas de segurança no ecossistema do WordPress, já que ele permite que qualquer desenvolvedor possa criar plugins e temas.

Os ajustes que ensinaremos podem lhe ajudar, mas não garantem que seu site não será invadido.

Por isso, nada melhor do que garantir criando um backup do seu ambiente.

Preferencialmente, crie uma rotina para que os backups sejam realizados com mais frequência.

Você pode fazer o backup realizando uma cópia de segurança do seu banco de dados e compactando a pasta raíz do seu WordPress, mas, caso não tenha conhecimento para isso, pode simplesmente utilizar algum plugin, como por exemplo:

Na Infinite, você não precisa se preocupar em fazer o seu backup, pois todos os seus bancos de dados e arquivos serão salvos automaticamente todos os dias, com 15 dias de retenção.

No entanto, como todo cuidado é pouco! A Infinite, ainda assim, recomenda que você faça backups do seu site e do seu banco de dados, mesmo que localmente.

Atualize seu WordPress e as extensões

Parece a coisa mais óbvia do mundo, né? Pois realmente é.

O time de desenvolvimento do WordPress, assim como os desenvolvedores de plugins e temas, estão sempre atualizando suas bases de código para disponibilizar novos recursos, além de corrigir vulnerabilidades reportadas pela comunidade.

Essas atualizações são sempre necessárias para garantir sua efetividade e segurança.

Então, manter o seu WordPress e as extensões atualizadas aumenta a segurança do seu site.

Não use o usuário ADMIN e use senhas FORTES

O nome de usuário WordPress padrão é "admin" e os hackers sabem disso.

Então, você deve mudá-lo para algo mais pessoal, como "Jonh293".

A melhor coisa a se fazer é adicionar esse novo usuário e torná-lo um administrador para excluir o login original de "admin".

Certifique-se de usar uma senha forte, com número, símbolos, letras minúsculas e maiúsculas, como por exemplo: jiO%Aj*248!DMDx.

A maioria dos hackers tenta ataques de força bruta (também conhecidos como brute-force) para conseguir identificar qual senha é utilizada.

Logo, se for realmente forte, você deve se sair bem a esse respeito.

Aconselhamos você a utilizar o Password Generator, um gerador de senhas automático e gratuito.

Considere, também, utilizar um gestor de senhas, como o LastPass, que, além de gerá-las, também as armazena de forma segura.

Ajuste para remover indexação da área administrativa do WordPress

(válido para site institucional apenas)

Existe uma regra que podemos adicionar no robots.txt, a qual impede que mecanismos de busca indexem a área administrativa do seu site.

Para tanto, basta adicionar a regra abaixo (se não existir o arquivo, você pode criá-lo):

#WP-ADMIN PROTECT
User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */feed/
Disallow: /*/feed/rss/$
Disallow: /category/*

Prevenções com .htaccess

O arquivo .htaccess é um aliado na segurança do seu WordPress.

.htaccess é um nome padrão do arquivo de configuração em nível de diretório. Abaixo seguem algumas regras para situações específicas.

Lembre-se!

Utilize os ajustes com sabedoria, pois se usá-los sem conhecimento pode causar conflitos com plugin de cache, minificação de arquivos "(como js,html,css), segurança etc."

a) Prevenir o próprio .htaccess na raiz (public_html) e wp-config.php:

# PROTECTION HTACCESS 

<files .htaccess>
order allow,deny
deny from all
</files>

# PROTECTION WP-CONFIG.PHP

<Files wp-config.php>
order allow,deny
deny from all
</Files>

b) Agora vamos prevenir a navegação entre diretórios (árvore de diretório):

 # PROTECTION DIRECTORY BROWSING
Options All -Indexes

c) Prevenir alguns tipos de injeção SQL (sql injection):

 # PROTECTION SQL INJECTION
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

d) Limitar acessos diretos à wp-content (cuidado! Isso pode quebrar alguns plugins):

Vá até a pasta /wp-content e crie um arquivo .htaccess com a regra abaixo:

Order deny,allow
Deny from all

Allow from all

e) Acesso ao wp-admin somente por um IP específico:

Substitua o IP 111.111.111.111 na regra para o seu próprio IP (saiba qual seu IP em meuip.com).

Caso seu provedor de internet utilize IPs dinâmicos, será necessário realizar este ajuste com frequência.

Vá até a pasta /wp-admin e crie um arquivo .htaccess com a regra abaixo:

 # PROTECT WP-ADMIN
order deny,allow
allow from 111.111.111.111
deny from all

Plugins de segurança

No geral, os plugins de segurança realizam boa parte destes ajustes automaticamente, porém vale lembrar que nem sempre o plugin de segurança é a melhor opção.

Abaixo segue uma lista top 5 dos melhores plugins de segurança:

  1. Sucuri Security – Auditing, Malware Scanner and Security Hardening;
  2. MalCare Security – Free Malware Scanner, Protection & Security for WordPress;
  3. Wordfence Security – Firewall & Malware Scan;
  4. All In One WP Security & Firewall;
  5. iThemes Security (formerly Better WP Security).

Vale lembrar que os plugins de segurança são limitados se tratando de segurança.

Se você procura uma segurança substancial a nível de aplicação, o ideal é a contratação de um WAF, próximo item das nossas dicas.

Contrate um WAF

WAF (Web Application Firewall) é um guardião que atua entre seu website e a maior parte das ameaças virtuais conhecidas, utilizando diversas técnicas.

Dentre elas, ele mitiga ataques de negação de serviço distribuindo (DDoS) e utiliza uma técnica chamada virtual patching, que faz com que vulnerabilidades conhecidas sejam corrigidas virtualmente sem a necessidade de instalar, atualizar ou editar o código de sua plataforma.

Além disso, o WAF protege sua aplicação contra as 10 principais vulnerabilidades catalogadas pela OWASP (e muitas outras) e também impede tentativas de força bruta contra as páginas de login do seu site.

Bônus:

Caso você queira se aprofundar no assunto, deixaremos um link abaixo com um artigo oficial do WordPress.org sobre segurança no WordPress:
Hardening WordPress | WordPress.org

Deixar seu site mais seguro é mais simples do que você imagina!

Conte com a gente para te ajudar!

Por Pietro Mauro

Entusiasta por tecnologia, mas principalmente WordPress, e apaixonado por um bom café.