Atualmente, o Wordpress é uma das plataformas de gerenciamento de conteúdo mais utilizadas no mundo. Ele é responsável por quase 70% do mercado de sites. Por esse motivo e também por ser de código aberto, é alvo de muitos ataques na web. Mas isso não quer dizer que ele é ruim: assim como temos que proteger nossa casa de possíveis ladrões e isso não a torna ruim, temos que proteger também o nosso site.

Vamos às dicas de como fazer isso, então?

Mari, é possível aumentar a segurança do meu site?

Quando falamos em vulnerabilidade, já dá até um frio na barriga, não é mesmo? Mas não se assuste: é possível aumentar a segurança do seu site ou blog fazendo apenas algumas alterações e tomando alguns cuidados importantes.

O ideal é que a segurança do nosso site seja pensada desde sua criação, para evitar que em alguns momentos o site saia do ar ou ofereça algum risco aos nossos visitantes.

Se seu site já está no ar, é importante cuidar dessas coisas também. Algumas pessoas acham que apenas sites famosos ou com muitas visualizações são invadidos e isso é um mero engano. Estando na web, todos estamos sujeitos a tentativas de invasão e invasões, portanto, nunca é cedo demais para se proteger!

O que acontece quando um site é invadido?

Dos muitos casos encontrados na internet, vários vão da substituição dos arquivos principais do site por um conteúdo malicioso, inclusão de redirecionamentos para sites de pornografia, criação de usuários indesejados (muitos usuários), perda de arquivos, alteração de senha do administrador e muito mais.

Quando o Google ou algum antivírus descobre que um site está com conteúdo malicioso e que pode prejudicar os usuários, ele é notificado e toda vez que algum usuário for acessar vai receber uma mensagem de que a página pode conter conteúdo malicioso.

Isso é bom e ruim: é bom para o visitante que vai conseguir evitar ser levado a páginas com conteúdos maliciosos e ter seus dados roubados. É ruim para quem teve o site invadido porque tem que provar para os servidores que o site está limpo para que a notificação seja retirada.

Prevenir é melhor do que remediar: Faça Backup!

Parece clichê, mas a realização de backup do site é fundamental para a prevenção de perda de dados e rápida recuperação caso ocorra alguma invasão ou qualquer outro problema.

A maioria dos servidores de hospedagem fazem o backup do nosso site com uma certa frequência, no entanto, caso você precise solicitar o backup para eles, você vai perder tempo (muitas vezes, eles demoram mais que 24 horas para voltar o backup) e dinheiro (esse serviço é cobrado à parte e, em algumas hospedagem custa em torno de R$ 30,00).

Se você mesmo fizer o backup do seu site, você já vai saber onde ele está e poderá reverter qualquer problema quase que instantaneamente. No repositório de plugins do WordPress.ORG você pode encontrar vários plugins que fazem backups (inclusive, temos um artigo aqui no site falando sobre isso: clique aqui para acessar).

Como se prevenir?

Evite spam nos comentários

Uma forma de tirar o seu site do ar ou causar instabilidade no seu servidor é receber muitos comentários spam. Caso isso ocorra, torna-se difícil acessar tanto o site quanto o painel administrativo dele, pois o site fica fora do ar devido ao grande número de acessos.

Para evitar isso é muito fácil: toda instalação do wordpress.org, desde a versão 2.0 já vem com o plugin Askimet instalado. Basta ativá-lo e cadastrar-se no site para pegar a API KEY para utilização. A partir de ativado e configurado, ele já vai proteger seu site de comentários spam e trackbacks, e ainda permitirá que você visualize todos os comentários marcados como SPAM.

O Askimet tem um filtro de spam de links e trackbacks que combina informações recebidas de todos os blogs que utilizam o serviço. Sendo assim, ele utiliza essas informações para bloquear o recebimento de futuros comentários spams.

Protegendo várias brechas de segurança de uma vez

Como eu disse no início do artigo, tem várias coisinhas que podemos fazer para proteger nosso site. Algumas delas são:

  • Não utilizar o prefixo wp_ para as tabelas do banco de dados (wp_ é o prefixo padrão sugerido na instalação, dessa forma, fica fácil utilizar scripts com códigos mal intencionados para atingir as tabelas)
  • Não exibir a versão do wordpress utilizada (exibindo a versão utilizada, você facilita a vida das pessoas má intencionadas que exploraram as vulnerabilidades de determinadas versões)
  • Remover alguns arquivos ou alterar a permissão deles (alterando a permissão dos arquivos, evita-se que eles sejam acessados por determinados usuários e, até mesmo, que alguns arquivos sejam executados sem permissão)
  • Ter arquivos index.php em cada um dos diretórios (para que, caso algum diretório seja acessado diretamente, não tenha todos os seus arquivos listados)

Entre os itens informados na lista acima, muita gente deixa de fazer essas alterações por achar que precisa de conhecimentos técnicos para isso, no entanto, existem plugins que fazem uma varredura na sua instalação e apontam várias ações que você pode executar para deixar seu site mais seguro, inclusive, em suas configurações, é possível marcar algumas opções para que as alterações sejam feitas automaticamente. Um dos plugins com essas funcionalidades é o Acunetix Secure WordPress.

Basta instalar o plugin e, no seu dashboard, já serão mostrados os status de cada item avaliado no seu site, o motivo de ser necessária alguma alteração e como alterar. Não é fantástico, mesmo? 🙂

 

Não use o usuário padrão admin

Muitas vezes, deixamos o usuário administrador com o login padrão “admin”. Essa é uma forma de “facilitar” ataques ao nosso site pois, sabendo qual o login do administrador, basta que descubram a senha e pronto! O site é invadido facilmente.

Utilize senhas fortes

Esse é um aviso padrão, mas que nunca é demais! Utilizar uma senha forte dificulta a descoberta da senha por usuários mal intencionados. O ideal é que, além de utilizar senhas fortes, nós utilizemos uma senha diferente em cada aplicação/ferramenta que utilizamos.<  Uma forma de gerar senhas fortes é utilizar algum gerador de senhas disponível na internet. Um que utilizo e recomendo é o Norton Identity Safe Password Generator. Nele você pode configurar a extensão da senha (tamanho), se vai incluir letras, números, maiúsculas, minúsculas, pontuação, etc.

Se você prefere gerar a própria senha, tente sempre mesclar letras, números, caracteres especiais, maiúsculas e minúsculas e, até mesmo, utilizar frases no lugar de palavras: quanto maior a extensão da sua senha, mais difícil de ser descoberta.

Para lembrar as senhas utilizadas vale tudo: desde anotar em algum canto até utilizar um programa de gerenciamento de usuários e senhas, que hoje existem disponíveis inclusive para celular.

Mas atenção: não é recomendado guardar as senhas em um arquivo no computador ou até mesmo marcar a opção “lembrar senha” do navegador!

Desinstale os plugins/temas não utilizados

Os plugins e temas podem facilitar a invasão em seu site, principalmente se não estiverem atualizados. Sendo assim, todo cuidado é pouco, então, desinstale todos os plugins e temas que você não utiliza para evitar qualquer problema.

Mantenha TUDO atualizado

Sempre que uma brecha de segurança é encontrada e os desenvolvedores são avisados, tanto o wordpress, quanto os temas e plugins geram atualizações de segurança. Dessa forma, manter tudo atualizado é também uma forma de se precaver das ameaças.

Atualize sempre que possível também as versões do PHP e MySQL.

Evite ataques de força bruta

Ataques de força bruta são realizados por robôs que tentam descobrir sua senha por meio do método “tentativa e erro”. Após descobrirem a senha, a utilizam para acessar o painel administrativo e fazem a festa: desde colocar códigos maliciosos, até fazer alterações.

Para evitar esse tipo de ataque, há vários plugins que limitam as tentativas de login inválidas. Um deles é o Login LockDown. Após configurado, é possível também acompanhar quantos logins foram bloqueados pelo plugin.

Avalie o seu site

É possível avaliar a atividade de malwares em um site utilizando um serviço online e gratuito chamado Sucuri SiteCheck. Basta informar a URL do seu site e o serviço faz uma varredura na URL e apresenta o resultado  na tela. Para fazer a varredura no site, o Sucuri SiteCheck utiliza os serviços de outras empresas de segurança, como Norton Safe Web, Google Safe Browsing, entre outros.

Não utilize temas ou plugins piratas

A gente é responsável por tudo que colocamos no nosso site. A utilização de temas ou plugins piratas pode abrir uma brecha de segurança gigantesca no seu site. Cuidado com as ferramentas que utiliza. Se alguém conseguiu “quebrar” a questão de segurança, quem garante que não inseriu algum código malicioso também?


O wordpress.org é uma excelente plataforma e, ter que se proteger de ataques, não diminui os benefícios de sua utilização. A segurança do seu site depende muito da forma como você se previne, portanto,  estar sempre atento às atualizações e ferramentas que podem nos ajudar e zelar pelos pontos de alerta deste artigo evita que tenhamos que lidar com esse tipo de problema.

Esse artigo vai ficando por aqui. Mas a gente quer saber: você já teve problemas de invasão no seu site? Como resolveu? Conta aqui pra gente <3