Blog

Como Proteger o Seu Site WordPress

Segurança Informática

Segundo estatísticas conhecidas, em todo o mundo, mais de 100.000 sites são atacados todos os dias. O WordPress, por ser uma plataforma utilizada por cerca de 40% dos sites de todo o mundo, é, particularmente, bastante atacado, liderando o tipo de sites infetados (83%, segundo um estudo de 2017).

 

O WordPress é, assim, um dos alvos mais frequentes dos hackers que, normalmente atingem o template, ficheiros principais, plugins e a página de login.

 

Mas nem só os sites WordPress são atacados pelos hackers! Qualquer site corre o risco de receber a “visita” destes intrusos. E para perpetuar frequentes ataques, e a vários sites simultaneamente, os hackers utilizam software que rastreiam a web, procurando alvos. São os chamados “bots”.

Quais os problemas que os hackers trazem?

Os hackers podem violar a segurança do seu site WordPress, acarretando consequências danosas.

  • Podem roubar ou expor os dados da empresa e dos seus clientes;
  • Podem apagar completamente o conteúdo do site;
  • Podem fazer com que o site infete outros visitantes, prejudicando gravemente a imagem da sua empresa.

Afinal de contas, ninguém quer aceder a um site de uma empresa que tem vírus e hackers a roubar dados, pois não?

 

E o que posso fazer para proteger o meu site WordPress desses intrusos?

 

Mantenha sempre a versão do WordPress atualizada

A chave é ter sempre a versão mais recente instalada. Uma versão desatualizada será um alvo fácil para os hackers. Faça sempre uma cópia de segurança antes de aplicar um update.

 

Atualize o tema (template) e plug-ins

Cada atualização não lhe irá apenas trazer mais funcionalidades, mas irá corrigir bugs e incrementar a segurança. Isto irá ajuda o seu site a permanecer seguro contra vulnerabilidades que possam ser exploradas por intrusos.

 

É extremamente importante manter todos os temas (templates) e plugins atualizados. Não recomendo, configurar as atualizações automáticas no WordPress. Algumas atualizações podem “quebrar” o seu site. Deve sempre fazer uma cópia de segurança da sua base de dados e dos seus ficheiros antes de proceder a qualquer update. Depois do update, verifique o site, se tudo está a funcional bem.

 

Se tivermos um plugin desatualizado a probabilidade de um hacker entrar no nosso site é bastante maior.

É preciso termos atenção aos plugins antigos, que já não utilizamos. Alguns podem continuar em funcionamento mesmo depois do utilizador deixar de os usar. Muitas vezes os hackers aproveitam-se destes plugins e atualizam-nos com malware.

 

Utilizar uma firewall

Uma firewall é um dispositivo de segurança da rede que bloqueia intrusos. A firewall monitoriza o tráfego de rede de entrada e saída e decide permitir ou bloquear tráfego.

 

Tenha um alojamento seguro

Qualquer empresa deve usar um VPS. Se ocorrerem problemas que ameacem a segurança do seu site WordPress, irá necessitar do suporte da sua empresa de alojamento (hospedagem) para que possa responder com rapidez e precisão.

 

Use a versão mais recente do PHP

É importante que utilize sempre a versão mais recente do PHP no seu servidor. As versões mais recentes são melhores a combater os hackers, pois o código obsoleto de versões anteriores pode já não é apoiado.

 

Utilize nomes de utilizador e senhas seguros

Para manter o seu site seguro deve sempre utilizar nomes e senhas que sejam inteligentes e difíceis de aceder. As típicas senhas “12345”, “password”, “123456789”, “111111” são exemplos do que não devemos escolher pois são sempre as primeiras opções dos hackers quando tentam aceder ao seu site. Muitos utilizadores utilizam este tipo de senhas por serem fáceis de decorar, mas isso faz com que a probabilidade de serem roubadas por intrusos seja muito maior.

 

Em relação ao nome de utilizador para o seu site WordPress não deve nunca deixar o nome padrão “admin”. Crie um nome diferente, apenas seu. Se deixar o nome padrão metade do trabalho do hacker já está feito e basta adivinhar a senha.

 

Utilize a Autenticação de Dois Fatores

E mesmo que ache que a sua senha é segura, esta alternativa é sempre muito aconselhada. Ao utilizar a autenticação de dois fatores a probabilidade de a senha ser roubada é muito baixa. Com este método, primeiro o utilizador precisa da senha para entrar e depois é enviada uma mensagem ou feito um telefonema de confirmação para o seu telemóvel.  Também pode ser uma senha seguida de uma pergunta secreta, um código secreto, um conjunto de caracteres ou palavras, etc. Desta forma é quase impossível um intruso entrar no seu site.

  

Utilize o email como login

Normalmente, por padrão, insere o seu nome de utilizador para se conectar e fazer login. Mas utilizar o email é muito mais seguro. Isto porque os nomes de utilizador são mais fáceis de adivinhar enquanto as ID’s de um email são mais complexas.

 

Altere as suas senhas com frequência

Mude as suas senhas regularmente para evitar entradas indesejadas.

 

Instale um certificado SSL e use HTTPS

Isto permite que o seu navegador se conecte com segurança a um site.

 

Altere as permissões

As permissões dos arquivos controlam a forma como os utilizadores interagem com os arquivos no servidor. Ou seja, quem pode ler ou executar determinado arquivo.

 

As permissões no arquivo wp-config.php devem ser mudadas para 440 ou 400 para impedir que outros utilizadores o possam ler.

 

Desative o XML-RPC

O XML-RPC permite a comunicação entre o WordPress e outros sistemas, com o HTTP a agir como mecanismo de transporte e o XML como um mecanismo de codificação.

 

Não existem problemas de segurança diretamente com este recurso, mas sim com o arquivo que é usado e que pode ativar um ataque ao site.

 

Nos últimos anos XML-RPC tem se tornado um grande alvo para ataques de brute-force. Por essa razão o melhor mesmo é desativá-lo.

  

Oculte a versão do WordPress

Se alguém verificar que está a utilizar uma versão desatualizada do WordPress vai ser mais provável que hackers se apercebam da vulnerabilidade do seu site.

 

Deixar a versão do seu WordPress visível, quando está desatualizada, é como uma bandeira para avisar hackers de que o seu site está desprotegido.

 

A melhor opção seria mesmo atualizar sempre o seu site para que problemas destes não aconteçam e o seu site esteja mais protegido de ataques de hackers.

 

Tenha os cabeçalhos de segurança HTTP mais recentes

Os cabeçalhos de segurança HTTP são uma forma de evitar que o site sofra ameaças mesmo antes destas acontecerem.

 

Quando um utilizador visitar o seu site, o servidor web vai enviar uma resposta de cabeçalho HTTP de volta ao navegador desse utilizador. Essa resposta informa sobre os códigos de erro.

  

Melhore a segurança da Base de Dados

Por exemplo, se o seu site se chamar “Loja de croissants” a sua base de dados iria chamar-se, por padrão, “wp_lojadecroissants”. Se alterar este nome para algo diferente ficará muito mais difícil para os hackers identificarem o seu site e acederem à sua base de dados.

 

Utilize Conexões Seguras

Tenha sempre a certeza de que o seu alojamento (hospedagem) WordPress oferece SFTP ou SSH. Manter as suas conexões seguras é um importante passo para que o seu site esteja protegido de eventuais ataques.

 

Tente aceder à sua conta WordPress com conexões via cabo. Evite aceder em wi-fi aberto ou público.

Caso a sua conexão for por wi-fi, use um dos seguintes protocolos de segurança: WPA-2, WPA ou WEP.

 

Atenção às permissões de arquivo na sua instalação e no servidor da web

Caso as permissões sejam fracas, será mais fácil ter acesso ao seu site. Opte por ter permissões mais restritas.

 

Proíba a Edição de Arquivos

Acontece frequentemente os sites WordPress terem vários utilizadores e administradores. Infelizmente acontece também muitas empresas darem o acesso de administrador a colaboradores para que eles possam editar o conteúdo. Isto não é, de forma alguma, aconselhado, podendo mesmo comprometer a segurança do seu site.

 

Pode desativar também o “Appearance Editor” no WordPress.

 

Se não permitir a edição de arquivos, mesmo que um hacker consiga entrar como administrador no seu painel do WordPress, ele não conseguirá modificar nenhum arquivo.

  

Desative a lista de diretórios com .htaccess

Se criar um diretório no site e não colocar um arquivo index.html, os seus visitantes podem conseguir uma lista do diretório e do que ele contém.

 

Evite fazer Hotlinking

Talvez até nunca tenha ouvido falar neste termo. Hotliking é quando encontra uma imagem na net e utiliza a sua URL no seu site. A imagem é então exibida no seu site, mas servida do local original. Acaba por ser vantajoso para si, mas não para o site de onde retirou essa imagem. Está a usar os recursos de outro site, colocando no seu.

  

Faça Backups com regularidade

Por mais que ache que está a fazer tudo para que o seu site esteja protegido de ataques, a verdade é que existe sempre essa hipótese. Então deve sempre fazer um backup para ter a certeza de que não perde nada importante. Ao criar automaticamente um backup diário do seu site, qualquer informação pode ser recuperada.

 

Proteja-se contra os ataques DDoS

DDos, Distributed Denial of Service, é uma ação realizada por uma rede de computadores ou bots que enviam dados de forma intensa ou solicitam dados de um servidor (o site alvo). A grande pressão de solicitações sobrecarrega a capacidade do servidor, tornando-o lento. Pode não ser tão perigoso como os ataques de hackers que podem destruir o seu site por completo, mas também podem deixar o seu site em baixo durante horas ou até mesmo dias.

 

Deve utilizar um serviço de segurança como o Cloudflare ou Sucuri.

Quais os melhores plugins para proteger o seu site WordPress?

Jetpack

Este é um dos melhores plugins e mais completos para sites em WordPress e além das suas funções como protetor da segurança do seu site, o JetPack também auxilia na otimização da página.

Permite acompanhar a audiência, monitorizar o site, oferecendo ainda uma infinidade de outros recursos num só plugin. Por tudo isto o JetPack é bastante conhecido e escolhido por utilizadores de sites WordPress.

 

Wordfence

Este é outro famoso plugin de segurança para sites WordPress. Monitoriza as visitas e tentativas de entrada por parte de hackers, registando a sua origem, endereço IP, hora e tempo de permanência no site.

O Wordfence protege contra tentativas de login e alerta-nos imediatamente em caso de ocorrência.

 

Sucuri

Considerado por muitos utilizadores como o melhor plugin de segurança para WordPress, o Sucuri é gratuito. Logo ao ser instalado, o Sucuri analisa o site e deteta se existe alguma vulnerabilidade ou algo errado que possa facilitar a entrada de hackers. O Sucuri faz a verificação de intrusos no site, protege eficazmente, toma ações de segurança depois de um ataque e notifica regularmente.

 

iThemes Security Pro

O iThemes Security analisa o site para detetar possíveis falhas que podem ser corrigidas. Este plugin também relata alterações no sistema de arquivos e bancos de dados que possam ameaçar a segurança dos dados no site. O iThemes Security Pro também impede ataques repetidos. Por exemplo, se tentarem aceder ao seu site por inúmeras vezes até conseguirem acertar a combinação e a senha esteja correta, o plugin irá bloquear estes bots.

 

WPScan

Um bom software para proteger o seu site WordPress é o WPScan. Ele evita e relata as ameaças que vai detetando no site.

O WPScan faz uma análise das vulnerabilidades do site e do seu tema e plugins. Faz uma pesquisa e lista os nomes dos utilizadores, verifica senhas fracas, lista todos os plugins e simula ataques.

 

BulletProof Security

É um plugin que deteta malware, protege contra tentativas de login, realiza backup dos dados e notifica-nos por email quando deteta uma tentativa de intrusão por parte de um hacker.

 

All In One WP Security & Firewall

Este plugin verifica e filtra IP´s e bloqueia hackers e certas localizações, bloqueia tentativas de login sucessivas e também possui uma lista negra para endereços suspeitos.

 

Google Authenticator

Esta é uma simples e poderosa ferramenta do Google que protege o seu site WordPress. Evita roubos de senhas e protege a sua página de variadas formas. Além disso, permite recuperar uma senha de forma totalmente segura. A autenticação é realizada em dois passos, impedindo que logins fraudulentos.

 

Quer saber mais sobre como proteger o seu site WordPress?