O WordPress é um dos sistemas de criação de sites mais usado no mundo, pois além de ser muito completo, ele é totalmente gratuito para seus usuários.
Entretanto, por existir milhões de sites criados com WordPress, o sistema acaba sendo um grande alvo das tentativas de invasão por hackers pelo mundo todo.
Caso o seu site já tenha sido hackeado, não se preocupe, temos um artigo que pode lhe ajudar nessa situação: WordPress hackeado? Saiba como resolver.
Por ser uma ferramenta open source (código aberto), existem diversas brechas no seu código, onde pessoas mal intencionadas podem tentar invadir o seu site para coletar dados de usuários, praticar spam e até mesmo tirar o seu site do ar.
Mas a boa notícia é que você não precisa se desesperar…Apenas aplicando alguns passos simples, o seu site ficará muito mais seguro contra qualquer pessoa mal intencionada.
Nesse artigo você aprenderá 7 dicas para deixar o seu WordPress seguro e protegido de qualquer invasão. Vamos lá?
1 – Use o protocolo HTTPS
Sempre que pensamos em segurança de um site, a primeira coisa que notamos é se o site possui ou não uma cadeado de segurança ao lado do domínio no navegador (URL), isso porque este cadeado está relacionado ao Certificado SSL.
O certificado é responsável por criar uma conexão segura e criptografada entre o computador do usuário e o servidor do site que está sendo exibido.
E quando o site não possui um Certificado SSL instalado, os navegadores por padrão informam aos usuários que aquele site não é seguro.
Você já deve ter visto essa mensagem em alguns sites que navegou, certo? Tenho certeza que você não continuou com a sua navegação e abandonou o site para evitar conflitos. Os visitantes do seu site não farão diferente!
Por esse motivo, a primeira coisa que você precisa ter em seu site é o Certificado SSL instalado e o protocolo HTTPS ativo para que o seu site conste como seguro quando alguém tentar acessá-lo.
Temos um artigo muito completo onde você pode conhecer qual a diferença dos protocolos HTTP e HTTPS envolvendo a segurança do seu site.
Atenção! Cuidado com certificados SSL gratuitos
Em relação ao Certificado SSL, você tem duas opções para escolher: certificados SSLs gratuitos ou pagos.
A primeira vista ambos cumprem a mesma função, porém os certificados SSLs gratuitos tem como principal desvantagem a incompatibilidade com navegadores mais antigos ou versões não atualizadas.
Por exemplo: no caso de um usuário tentar acessar seu site com um dispositivo mais antigo, o SLL não funcionará e aparecerá a mensagem “esse site não é seguro”.
Já os Certificados SSL pagos em sua grande maioria são compatíveis com uma variedade muito maior de navegadores, sendo assim garantem a segurança do site e do usuário até mesmo em navegadores mais antigos.
Além da diferença de compatibilidades do navegador, o Certificado SSL gratuito tem outras diferenças que podem acabar gerando problemas futuros aos sites que utilizam, e você pode conhecer os principais problemas dos certificados gratuitos neste artigo.
2 – Fique em dia com as atualizações de segurança
O WordPress é uma plataforma que está sempre sendo melhorada, a cada nova versão são adicionadas novas funções da plataforma para o usuário, e o mais importante das atualizações são as melhorias de segurança do site, onde brechas são fechadas e novos sistemas de segurança são adicionados.
Por isso, uma maneira muito eficiente de deixar o seu WordPress seguro é sempre deixá-lo atualizado na versão mais recente.
Você pode ativar as atualizações automáticas, onde o seu site sempre será atualizado quando uma nova versão for lançada. Porém, é sempre bom você acessar o painel do WordPress com frequência e verificar se há atualizações de versão disponíveis, e se houver, então atualizar manualmente o seu WordPress.
Atualização de plugins e temas
Assim como o WordPress, os plugins e temas dos sites sempre estão sendo atualizados para adicionar melhorias e principalmente segurança.
Como cada plugin/tema é desenvolvido por equipes diferentes, muitas vezes estes acabam deixando passar brechas ou backdoors (porta dos fundos) abertas para hackers invadirem o seu site.
E como a comunidade de usuários sempre está ajudando os criadores de plugins/temas, as brechas são corrigidas rapidamente com atualizações. Por isso, sempre que possível deixe todos os seus plugins e temas atualizados na versão mais recente.
Leia também: 4 Plugins de Segurança para WordPress
3 – Invista em uma hospedagem segura
Ao ter um site na internet, além de pensar no que você deseja publicar, é muito importante escolher muito bem a empresa de hospedagem de sites onde você colocará o seu projeto no ar.
Além de ter o seu WordPress seguro, você precisa ter a certeza que a sua hospedagem é confiável e que possui profissionais qualificados monitorando os seus serviços contra qualquer tipo de invasão nos servidores.
Aqui na ServerDo.in, os servidores são monitorados 24/7 pelos nossos especialistas que conferem qualquer atividade suspeita em seus serviços, verificando endereços de IPs suspeitos e realizando varreduras semanais em todos os sites a procura de qualquer arquivo que possa estar infectado.
Assim, caso algo seja encontrado alguma ameaça ou instabilidade, é feita a limpeza do malware e prevenindo que o site apresente qualquer problema.
Você pode conhecer um pouco melhor sobre os nossos planos de hospedagem e a segurança de nossos servidores clicando aqui.
4 – Escolha com cuidado o nome de usuário e senha
Por incrível que pareça uma das principais maneiras de um site WordPress ser hackeado é através dos logins fracos e de baixa segurança.
Existem casos onde na hora de criar sua conta o usuário cria acessos genéricos, como por exemplo “Admin” e senha simples e comum, como por exemplo “123456789”.
É aí onde mora o problema, já que um hacker sempre tenta acessar o administrador do site com os dados de usuário e senhas mais comuns.
Por isso, nunca use o usuário do seu site como “Admin” e sim algo mais incomum, como o seu nome, apelido ou alguma sigla para o nome de sua empresa. Sempre tenha uma senha de acesso bastante forte, seguindo algumas recomendações de segurança abaixo:
- Sua senha precisa ter pelo menos 8 caracteres;
- Use sempre letras maiúsculos e minúsculas na sua senha
- Use números no meio da sua senha;
- Utilize caracteres especiais no meio da sua senha;
Seguindo essas recomendações, você terá uma senha muito segura. Você também pode aprender com o nosso artigo de Como ter Senhas Seguras, com diversas outras dicas adicionais para ter uma senha ainda mais segura para o seu site.
5 – Use plugins de segurança
Como já vimos nesse artigo, é muito importante que você mantenha todos os seus plugins atualizados.
Entretanto, os plugins não são apenas uma porta para possíveis invasões no seu site, existem plugins dedicados a proteger o seu site contra qualquer tipo de invasão ou infecção.
Para garantir a total segurança do seu site, é preciso que você tenha um plugin de segurança instalado em seu WordPress, o plugin além de proteger o seu site também fará uma varredura para verificar se já há algum arquivo infectado e poderá lhe auxiliar na limpeza do mesmo caso tenha algum problema.
Existem diversos plugins de segurança que você pode escolher, cada um com suas funcionalidades. E para te ajudar na escolha, temos um artigo excelente para te apresentar 4 plugins de segurança para WordPress.
6 – Faça backups com frequência
A melhor segurança que você pode ter para o seu site é a prevenção, por isso uma forma muito boa de se prevenir é sempre manter os backups do seu site em dia.
Ter o backup do site sempre atualizado é de extrema importância, pois caso venha a acontecer algum problema com seu site, como por exemplo, ser infectado por malware ou até mesmo passar por alguma atualização mau sucedida, você poderá restaurar o backup rapidamente e seu site voltará a funcionar corretamente como se nada tivesse ocorrido.
Pegando o gancho do exemplo acima, caso o site tivesse passado por algum problema e não tivesse backup, seria necessário passar muitas horas trabalhando para corrigir o problema.
Em casos mais graves, seria preciso começar o site todo do zero. E tenho certeza que você não gostaria de passar por esse problema, não é mesmo?
Aqui na ServerDo.In, sites menores possuem backup já é incluso e feito de forma automática. Já para sites maiores e que necessitam de um espaço maior para backup, nós oferecemos o serviço de backups automáticos em nuvem.
Você pode conhecer mais sobre nossos serviços de backup em nuvem clicando aqui.
Um cronograma de backup regular para o seu site servirá como prevenção em casos de ataques por malware, erros humanos e outras falhas que podem acontecer. Com a garantia de que o seu conteúdo esta salvo e com uma restauração rápida, e assim, não haverá perda significativa, garantindo que volte ao ar o quanto antes.
A melhor forma de garantir a segurança do seu site é através da prevenção, e uma das práticas mais essenciais para isso é manter backups regulares. Um backup atualizado do seu site é crucial para que, em caso de problemas como infecções por malware, falhas em atualizações ou até mesmo erros humanos, você possa restaurar rapidamente o conteúdo e as configurações, evitando perdas significativas e garantindo que seu site volte a funcionar corretamente o mais rápido possível.
Diferentes Opções de Backup
-
Backups Manuais
Os backups manuais são interessantes pois você poderá ter total controle sobre o processo além da possibilidade de salvar apenas o que deseja, outro detalhe é o tempo, pode demorar mais do que o esperado e propensa a erros humanos, por não ser automática é mais fácil de ser esquecida e o processo não ser realizado. Estes backups deverão ser realizados através da cópia manual dos arquivos e do banco de dados, o indicado para sites maiores é o backup diário, mas se o seu site não for atualizado com tanto frequência, você poderá realizar backups manuais semanais.
-
Backups Automáticos
Por outro lado, o backup automático não necessita da intervenção manual, você poderá pré determinar o tempo e a regularidade do backup, garantindo que o processo será realizado da devida forma. Os serviços de hospedagem que oferecem os backups automáticos podem programar a frequência de acordo com a necessidade do seu site, por exemplo, sites com publicações frequentes o recomendado são backups diários.
-
Backups em Nuvem
O backup em nuvem é uma segurança a mais no armazenamento de seus backups fora da hospedagem de seu site, ou seja, em casos em que o servidor seja comprometido você garante a segurança de seus arquivos. Google drive, Dropbox e algumas soluções de backup específicas para WordPress são exemplos de integrações para armazenar esses backups. O ideal é a combinação de backups automáticos com o serviço em nuvem, o que garante que seus dados se mantenham seguros e acessíveis.
A rotina adequada de backup de acordo com o perfil de seu site é crucial para que em casos de emergência não ocorram prejuízos para você. Lembre-se de proteger o seu trabalho e investimento, garanta sua tranquilidade quanto ao seu conteúdo e não deixe de implementar uma rotina de backup para restaurações rápidas e sem complicações.
7 – Não utilize Plugins e temas de sites não oficiais (Plugins piratas / Nulled)
O WordPress possui milhares de plugins e temas disponíveis para você poder utilizar na criação do seu site.
Existem plugins e temas gratuitos, assim como existem opções premium que para você poder utilizar, é preciso pagar uma licença para o desenvolvedor desse plugin/tema (geralmente são opções mais completas e possuem mais recursos para seu site).
Dependendo do plugin/tema premium, o valor da licença pode ser elevado e uma alternativa que diversos sites disponibilizam são versões piratas gratuitas destes plugins, também conhecido como Plugin Nulled.
Nosso maior alertar aqui: não se engane, esses sites que disponibilizam esses plugins piratas ou pelo valor muito baixo, acabam lhe enviando os arquivos desses plugins/temas já infectados com códigos maliciosos, que ao ser adicionado no WordPress, infecta todo o seu site.
Por isso, utilize somente plugins e temas baixados em sites oficiais. Para plugins gratuitos, baixar apenas no site oficial do WordPress e para plugins e temas premium, adquira diretamente dos criadores dos ou em sites confiáveis como o Themeforest.
8 – Autenticação de dois fatores
A autenticação de dois fatores é umas das medidas de segurança para o seu site WordPress. Ela serve como uma camada adicional de segurança que protege o acesso ao seu site WordPress. Além da senha, ela exigirá um dispositivo que receberá o código de verificação ou uma confirmação para que o acesso seja liberado.
Alguns plugins facilitarão a implementação da autenticação de dois fatores no WordPress já que podem oferecer uma integração com aplicativos mais conhecidos como Google Authenticator ou exigiram a autêntica através de códigos por SMS ou e-mail, permitindo que você escolha o método de verificação que melhor atende às necessidades do seu site WordPress.
Sem contar que é possível a configuração personalizada para os seus usuários, principalmente para administradores ou editores. As contas mais sensiveis ficam mais protegidas dos invasores, ja que a autenticação de dois fatores mantem uma camada significativa de protecao ao seu WordPress. Mesmo que alguém descubra sua senha, não conseguirá acessar o site sem esse segundo fator e isso irá dificultar e ate mesmo impedir o invasor de acessar o seu WordPress.
9 – Proteção contra ataques de força bruta
Outra forma adicional de proteger o seu wordpress é colocar numero limitados de tentativas de login que podem ser feitos em um determinado tempo. Uma forma de invasão comum são os ataques de força bruta, eles são basicamente tentativas automáticas de adivinhar combinações de nome de usuário e senha até que um login correto seja encontrado. O problema destes ataques é quando se utiliza senhas fracas, com pouco ou nenhum caractere especial ou até mesmo senhas que se tornam comuns e podem ser óbvias para o invasor . Alguns plugins permitem bloquear ou atrasar temporariamente o acesso de endereços IP que tentam realizar muitas tentativas de login sem sucesso. Além disso, você pode configurar o reCAPTCHA no formulário de login, é mais uma maneira de proteger o seu WordPress contra ataques de força bruta. Outra consideração importante para este tipo de ataque é a queda no servidor, ja qje os bots implantados prlos invasores sobrecarregam o servidor, fazendo com que ocorram quedas na performance.
10 – Monitoramento de atividades
Saber as atividades do seu site é bem importante para que você controle atividades que podem ser fora dp comum, tentativas de login que deram errado ou até mesmo a instalação de algum plugin errado. Por isso monitore as atividades do seu site, para que a identificação de qualquer risco seja feita com antecedência e medidas possam ser tomadas mais rapidamente.
Para garantir a segurança do seu site WordPress considere a instalação de um plugin de monitoramento, já que além dos benefícios antes mencionados para garantir a segurança do seu site, ele irá registrar dados e informações que poderão contribuir para auditorias de segurança, ou seja, você poderá identificar com mais certeza a origem e extensão de um problema e poderá resolvê-lo com mais precisão.
Conclusão
Você aprendeu que o Certificado SSL é de extrema importância para o seu site, e que para garantir a segurança do seu site é preciso estar em uma hospedagem de sites confiável.
Além disso, para manter o WordPress seguro você deve sempre manter o seu WordPress, plugins e temas atualizados, e nunca instalar plugins adquiridos em sites não oficiais.
Seguindo essas dicas, com certeza você terá um site muito mais seguro, mas se atente: para você garantir a segurança total do seu site é preciso seguir todas as dicas acima, pois cada uma complementa a segurança da outra.
Após ter aplicado todas as dicas, nenhum hacker ou bot conseguirá acessar o seu site facilmente, garantindo assim uma segurança maior para o seu site e os seus usuários.
Você deseja ter o WordPress seguro? Venha para a ServerDo.in, aqui nós fazemos a migração do seu site totalmente gratuita e ainda lhe ajudamos em todos os passos para deixar o seu site muito mais seguro.