Neste artigo, irá descobrir como melhorar a segurança do WordPress com as práticas para proteger o seu site contra hackers e malware que apresentamos.
Como plataforma de código aberto, o WordPress é infinitamente personalizável: há milhares de temas, plugins e programadores disponíveis para otimizar o design de acordo com as suas necessidades. Isto é precisamente o que torna a ferramenta tão poderosa e popular.
A desvantagem é que um elemento mal configurado ou a falta de manutenção pode causar problemas de segurança que não só custam tempo, dinheiro e energia, como também têm impacto na sua reputação junto dos clientes e motores de busca: todas as semanas, o Google faz uma lista negra de cerca de 70 websites!
Não é que os sites WordPress não sejam seguros, requerem é atenção da sua parte. A plataforma conta com uma boa equipa de investigadores e engenheiros de topo que fornecem atualizações regulares. A questão é que os sites WordPress são um alvo muito lucrativo. Mais de um terço de todos os sítios Web na Internet são construídos com WordPress. Os hackers que querem infetar o maior número possível de websites estão frequentemente à procura de um “buraco” neste software.
Para o ajudar a mitigar o risco de ciberataques no seu WordPress, neste artigo veremos o que pode fazer para melhor proteger o seu site.
Conteúdos do Artigo
- 1. Utilize sempre a última versão do WordPress
- 2. Defina passwords fortes
- 3. Ative a autenticação de dois fatores (2FA)
- 4. Escolha um tema WordPress fiável
- 5. Limite as permissões dos utilizadores
- 6. Escolha criteriosamente o seu alojamento web
- 7. Instale um plugin de segurança
- 8. Faça cópias de segurança
- 9. Remova aplicações antigas
- 10. Instale um certificado SSL
1. Utilize sempre a última versão do WordPress
Quase metade dos websites criados com WordPress utilizam uma versão antiga do programa. Contudo, as versões desatualizadas são um alvo comum para os hackers, pois estes conhecem as fraquezas de cada versão.
Para proteger o seu website contra ciberataques, é essencial que este esteja sempre atualizado. Isto inclui o núcleo WordPress assim como os seus temas, plugins e quaisquer outras aplicações que utilize.
Por defeito, o WordPress instala automaticamente pequenas atualizações. Mas, para as versões principais, é necessário fazê-lo à mão (especialmente para evitar erros de compatibilidade).
Portanto, certifique-se de verificar este ponto periodicamente e instalar a versão mais recente do programa assim que este sair. Para verificar se está a correr o mais recente, navegue até à área de administração e na secção de atualizações no menu da esquerda, encontrará a informação.
O mesmo se aplica ao código PHP que os hackers exploram de muitas maneiras. Atualize para a versão mais recente o mais cedo possível (se não tiver acesso à sua conta de alojamento, contacte o seu programador web).
2. Defina passwords fortes
As tentativas mais comuns de hacking do WordPress são baseadas em palavras-passe roubadas ou adivinhadas. Estes são os chamados ataques de “Brute Force”, onde os criminosos cibernéticos tentam entrar automaticamente, tentando uma palavra-passe atrás da outra até conseguirem entrar no seu site.
Para tornar-lhes mais difícil a tarefa, deve escolher uma password forte (não só para a área administrativa do WordPress, como também para contas FTP, base de dados, alojamento e endereços de correio eletrónico com o seu nome de domínio) e não utilizá-la em qualquer outro lugar.
Também se pode estabelecer um limite para o número de logins consecutivos que podem ser tentados. Esta opção está disponível em alguns hostings e firewalls, mas também pode instalar um plugin para ativar esta funcionalidade.
É também uma boa ideia não usar “admin” como nome de utilizador. Antigamente, o nome do administrador era o de todos os utilizadores. Isto facilitava aos hackers os ataques de Brute Force, porque conheciam antecipadamente metade das credenciais.
3. Ative a autenticação de dois fatores (2FA)
Com Autenticação de Dois Fatores (2FA), os utilizadores que queiram entrar no seu website terão de fornecer o seu nome de utilizador e palavra-passe. Receberão então um código de verificação no seu telemóvel, que terão de introduzir para poderem iniciar a sessão.
Para o fazer, é necessário instalar e ativar um plugin WordPress, e descarregar uma aplicação móvel. Há vários disponíveis, mas o LastPass Authenticator é interessante, porque faz uma cópia de segurança na nuvem.
Pode até adicionar um captcha ao seu site para validar que quem quer que queira entrar é realmente uma pessoa e não um bot. Existem também plugins para isto, tais como o reCaptcha da BestWebSoft.
4. Escolha um tema WordPress fiável
Tal como não instalaria um plugin não fiável, resista à tentação de usar qualquer tema que pareça bom, mas que não seja de fonte fiável, fidedigna.
Os chamados temas “nulos”, por exemplo, são reproduções baratas de temas pagos. O problema é que, muitas vezes, têm muitas falhas de segurança: ou o tema está desatualizado e sem suporte, ou os designers são hackers que invadiram o tema original e inseriram código malicioso.
É melhor escolher um tema a partir do repositório oficial do WordPress. Também pode dar uma vista de olhos aos designs de programadores de confiança em portais respeitáveis. Em todo o caso, pode verificar se um tema está em conformidade com as normas do WordPress, copiando o URL para o validador do W3C.
5. Limite as permissões dos utilizadores
Outro tipo de ataque comum é obter acesso utilizando uma conta de utilizador válida, mas sem acesso privilegiado. Por outras palavras, o hacker entra com um perfil real e tira partido de um bug para obter um nível de acesso mais elevado, com mais permissões.
Se tiver um grande número de funcionários ou colaborar com escritores externos, antes de criar uma conta e dar-lhes acesso ao seu WordPress, preste muita atenção às funções que lhes atribui: o WordPress tem seis funções.
Ao limitar o número de contas, há menos hipóteses de um hacker invadir o sistema. Ao atribuir papéis cuidadosamente, limita-se o dano que um hacker pode fazer se adivinhar as credenciais de um dos utilizadores.
6. Escolha criteriosamente o seu alojamento web
A maioria dos planos de alojamento de baixo custo armazenam websites em servidores partilhados. Em fornecedores respeitáveis, estes ambientes não são um problema. No entanto, ao alojar o seu site em empresas menos conceituadas, estes podem colocar o site num hosting partilhado onde outra pessoa na mesma máquina pode obter permissões que lhe dão acesso a “ler” ou “ler/escrever” os seus ficheiros.
Um hacker pode utilizar estas permissões para aceder à sua base de dados ou para inserir código malicioso no seu website. Ao escolher o alojamento WordPress, procure um serviço que isole os clientes e tome as melhores medidas para proteger os seus dados.
7. Instale um plugin de segurança
É altamente recomendável instalar um plugin de auditoria e monitorização (ou vários) para monitorizar automaticamente a integridade dos ficheiros, tentativas de login, verificação de malware, etc.
Existem muitos plugins deste tipo, mas um muito útil é o Wordfence:
- Este é um sistema de segurança economicamente acessível (há versões gratuitas e licenças anuais pagas a partir de $99) que monitoriza o sítio em tempo real para detetar possíveis ataques.
- Foi concebido especificamente para sites WordPress e inclui tanto uma firewall de endpoint como um scanner de malware.
- Tem também um feed de ameaças em tempo real que atualiza as funções de firewall com os dados mais recentes sobre malware.
- Quaisquer alertas de segurança são-lhe enviados por email e são também destacados no painel de instrumentos, onde existe uma lista de gravidade com instruções sobre como corrigir cada ataque.
8. Faça cópias de segurança
Se até os portais do governo são pirateados, lembre-se que o seu site pode também ser o próximo alvo. É por isso que vale a pena ter backups do seu WordPress. Desta forma, pode restaurar o seu site o mais rapidamente possível se algo acontecer.
O mais importante é manter cópias de todo o website, em pelo menos alguns locais, para além da sua conta de alojamento para redundância de informação. A frequência depende principalmente da frequência com que atualiza o seu site, mas é melhor fazer um backup uma vez por dia ou, idealmente, em tempo real.
9. Remova aplicações antigas
Isto inclui backups antigos e utilizadores inativos. Se mantiver o seu WordPress atualizado, os hackers procurarão outras aplicações não mantidas que sejam vulneráveis. Se tiverem acesso ao seu site através deles, poderão infetá-lo, mesmo que tenha protegido o próprio WordPress. Se apagar um plugin ou tema do painel de controlo, não se esqueça de apagar todos os dados associados na base de dados.
10. Instale um certificado SSL
Um Certificado SSL encripta os dados trocados entre o seu website e o browser do utilizador, tornando mais difícil aos hackers roubar informação (assim como ajudar a melhorar o seu SEO).
A maioria das empresas de alojamento já incluem o SSL nos seus planos. Por exemplo, a Amen.pt oferece, entre outras características o Certificado Let’s Encrypt na compra de domínio para o ajudar a manter o seu site seguro. Depois de instalar o certificado SSL na sua conta de alojamento, precisa de o ativar no WordPress.
Na Amen.pt ao comprar um domínio, tem também incluído alojamento dinâmico cPanel com WordPress inicial, endereço de e-mail, 1GB de espaço web, etc. Um domínio registado com a Amen.pt não é apenas um nome na web… é um “starter kit” pronto a usar que lhe permite ficar online da melhor maneira possível. Para mais informações sobre o WordPress Inicial Grátis na compra do seu domínio, leia este artigo.
A Amen.pt disponibiliza também o Hosting WordPress que é um plano fiável, rápido e seguro, especialmente otimizado para WordPress, o CMS mais conhecido e utilizado no mundo, integrado numa infraestrutura fiável e resiliente como a da Amen.pt.