WordPress Logo

O WordPress em si é um CMS bem seguro, porém, podem passar algumas informações que o próprio usuário esquece de configurar, e ficam vulnerabilidades para serem exploradas para hackers de plantão.

Neste tutorial, vou passar algumas informações que devem ser configuradas pelo próprio usuário ou desenvolvedor para deixar seu WordPress mais seguro ainda.

Pode parecer algo sem importância, até chato eu diria, porém, todo blogueiro deveria estar atento aos fatos de segurança, pois, se alguém conseguir entrar no seu sistema, não vai ser sem motivos, provavelmente vão detonar com sua base de dados, tentar apagar coisas importantes e assim por diante.

Por isso, siga as dicas a baixo e durma sem preocupações.

Seu serviço de hospedagem

A primeira preocupação que um blogueiro deve ter é o serviço de hospedagem. Você sabe se o serviço de hospedagem que você está utilizando é seguro? É conhecido? Alguém já teve problemas com o serviço?

Muitas vezes o fator que faz escolhermos serviços de hospedagem menos conhecidos é o valor, porém, às vezes compensa pagar um pouco mais para ter um serviço com excelência.

Procure saber se o seu serviço de hospedagem é seguro; acesse fóruns; pesquise no Google; principalmente, verifique se o suporte funciona 24/7 (24 horas por dia, 7 dias por semana), já que seu blog deverá estar online a todo o momento.

A instalação do WordPress

Conforme descrevi no início desse artigo, o WordPress é, por si só, bastante seguro, porém, você deve estar atento a algumas informações.

Chaves únicas de autenticação e salts

Na instalação do WordPress, é necessário definir as "Chaves únicas de autenticação e salts", elas tornam a instalação mais segura. Para conferir se elas estão definidas no seu WordPress, você deve acessar o FTP do seu serviço de hospedagem e verificar o arquivo wp-config.php.

Para maiores informações, verifique nosso tutorial "Como instalar ou mover o WordPress", nele detalhei como configurar as "Chaves únicas de autenticação e salts".

Atualizações do WordPress, Plugins e Temas

O WordPress é atualizado constantemente. Isso significa que erros foram corrigidos e recursos foram adicionados. Muitas das correções podem estar relacionadas com problemas de segurança, portanto, sempre mantenha sua instalação do WordPress atualizada.

Também não se esqueça de manter seus temas e plugins atualizados, existem desenvolvedores trabalhando para sempre manter os recursos do seu site atualizados, as atualizações aparecerão na sua área administrativa, você só precisa instalar.

Seu usuário no WordPress

Nunca utilize o nome de usuário "admin".

No passado, "admin" era um padrão que todos os blogueiros utilizavam, porém, essa limitação já foi corrigida há tempos. Crie um usuário administrativo com um nome diferente e só utilize este usuário quando precisar fazer manutenções no seu site.

Quando for escrever, utilize um usuário com permissões de "Editor", você terá acesso a todas as funções de edição, criação e exclusão de artigos, porém, sem acesso às ferramentas administrativas.

Se quiser ser ainda mais restritivo, desça a permissão do seu usuário para "Autor", assim, você só poderá alterar, editar ou excluir seus próprios artigos. É ainda mais seguro.

Mas lembre-se, você deve ter um usuário "Administrador", guarde bem a senha desse usuário e só o utilize se for estritamente necessário.

Esconda seu nome de usuário

Você sabia que é muito simples descobrir seu usuário no WordPress? Simplesmente acesse o link do nome do autor no artigo e veja na URL.

Isso é uma falha de segurança, pois, é meio caminho andado para um hacker, agora ele só precisa saber sua senha.

Este problema pode ser resolvido com o plugin WP Author Slug (o mesmo que utilizo).

Pode utilizar SSL?

Se seu serviço de hospedagem permitir que você utilize SSL (verifique com eles), você pode forçar sua área administrativa a ser acessada apenas por https com apenas uma linha de código no arquivo wp-config.php.

Basta definir a constante abaixo:

define("FORCE_SSL_ADMIN", true);

Porém, volto a repetir, é necessário verificar com seu provedor de hospedagem.

Desative a edição de arquivos

O WordPress tem uma função muito legal para edição de arquivos diretamente da sua área administrativa, porém, eu vejo isso também como uma falha de segurança.

Se você quiser remover essa opção (eu nunca utilizei isso), basta definir a constante abaixo no seu arquivo wp-config.php.

define("DISALLOW_FILE_EDIT", true );

Reforce a segurança da área de login

Veja algumas dicas para reforçar a segurança da sua área de login.

Limite as tentativas de login

Após a instalação do WordPress, normalmente apenas entramos e escrevemos. Porém, percebi que pessoas ficam tentando fazer login em todos os blogs que tenho.

Para resolver este problema, simplesmente limite o número de tentativas de login. Um plugin excelente que utilizo em todos os blogs que tenho é o Limit Login Attempts. Com ele é possível bloquear por cookie e IP, além de trazer vários recursos legais.

Utilize captcha na área de login

Captcha é algo que você deve responder quando vai postar um formulário, como uma imagem com letras desordenadas, uma pergunta simples ou uma conta, isso prova que você é um humano e não um script tentando fazer login forçado (brute force).

Outro plugin que sempre utilizo em meus blogs é o Captcha, ele gera uma conta que você deve responder corretamente quando for fazer login. Isso reforça ainda mais a segurança da sua área de login.

Faça backups constantemente

Como seu WordPress fica na nuvem e ela não é sua, e sim do seu serviço de hospedagem, sempre faça backups da sua base de dados e dos arquivos do seu WordPress.

Veja bem, são dois backups a serem feitos separadamente: Por FTP você pode baixar os arquivos do site; com algum cliente MySQL você pode fazer o backup da sua base de dados.

Eu faço backups duas vezes por dia da base de dados dos meus blogs; dos arquivos uma vez por dia. Caso algo de ruim ocorra, eu consigo voltar os blog no ar em apenas alguns minutos (dependendo do host, é claro).

Não utilizo nenhum plugin para isso, tenho programas que fazer isso automaticamente por mim, porém, se você quiser um plugin que todos recomendam, veja o BackUpWordPress.

Infelizmente, nunca utilizei este plugin, portanto, não posso dizer como funciona.

Mas voltando ao assunto, FAÇA BACKUP, nunca se esqueça.

Só acesse seu blog em computadores confiáveis

Pode parecer bobagem, mas se você acessa seu site WordPress em vários computadores, é possível que ele esteja correndo risco.

Os possíveis problemas que você pode enfrentar são:

  • Computadores com vírus;
  • Redes inseguras (como de algumas LAN Houses, por exemplo);
  • Pessoas vendo você digitar sua senha;
  • Salvar dados em computadores que não são seus (como campos de usuário e senha);

Portanto, sempre mantenha seu computador limpo e o antivírus atualizado.

Concluindo

Muitas das dicas acima podem parecer paranoia, porém, eu já sofri com hackers quando iniciei e não recomendo a ninguém. Eles atrapalham tudo, apagam o que podem, fazem você perder todo o tempo valioso que você gastou escrevendo seus artigos.

Se você acha que as dicas acima são realmente paranoicas, vou deixar mais uma última dica para os usuários mais avançados: Se você tiver acesso ao usuário da base de dados do WordPress, após terminar toda sua instalação, limite as permissões desse usuário para apenas "DELETE", "INSERT", "UPDATE" e "SELECT". Afinal, o WordPress só precisa criar as tabelas uma vez.

Mas lembre-se de voltar as permissões totais quando for atualizar algum plugin que tenha acesso à base de dados, depois configure novamente o acesso restrito.

Siga as dicas que deixei e durma com tranquilidade sabendo que seu site está seguro.