Por ser o sistema mais popular na internet, preferido dos usuários e desenvolvedores, o Wordpress é também o alvo prioritário de hackers, vírus e botnets.
Neste artigo vamos apresentar algumas sugestões, para melhorar a segurança do seu Wordpress:
NOME DO USUÁRIO ADMINISTRADOR
Para entrar como administrador no Wordpress, é preciso saber o nome do usuário e a senha, certo? Como medida de segurança, você não deve usar nomes de usuários simples e comuns, como por exemplo "admin" ou "super". Também é comum cair no erro e usar o nome do site como usuário, exemplo do site meusite.com.br e o login de administrador é "meusite".
Ao instalar seu Wordpress, defina o nome do administrador usando algo diferente do normal, sem semelhança com o domínio do seu site. Assim dificultará a vida de que tentar descobrir a senha do Wordpress.
Mas se você já tem o Wordpress instalado, existem algumas formas de trocar o nome do usuário:
- Utilizando um plugin. Procure por plugins do tipo "username change", existem vários e gratuitos;
- Criando outro usuário. Este método é simples, crie um novo usuário administrador, faça login com este novo usuário e remova o antigo.
SENHA COMPLEXA E SEGURA
Ninguém gosta de senhas complexas, são difíceis de memorizar, mas qualquer medida de segurança tem um custo. Para o seu usuário do Wordpress, senha complexa é extremamente recomendável.
Não utilize senha com menos de 8 caracteres, misture letras, números e símbolos. Não coloque na senha seu nome, sobrenome, nome do site ou palavras comuns. Nada de usar como senha "meusite2000" ou "fulano123" - é pedir para ter o Wordpress invadido!
Utilize senhas de 10, 12 caracteres ou mais. Considere adotar o uso de um gerenciador de senhas, assim não terá mais que digitar senhas e poderá então usar senhas complexas de 20, 30 caracteres.
Crie o hábito de trocar a senha regularmente, seja a cada 30, 90 ou 180 dias - trocar a senha regularmente aumenta a segurança.
PLUGIN DE SEGURANÇA
Existem vários plugins de segurança para o Wordpress. São capazes de verificar a sua instalação e detectar arquivos modificados/contaminados, podem bloquear quem tenta entrar com senha errada, enviam alertas sobre atualizações necessárias e muitas outras funções úteis.
Um dos plugins mais populares é o Wordfence, que mesmo na versão gratuita oferece muitos recursos.
Considere instalar um plugin de segurança no seu Wordpress, depois invista alguns minutos estudando o plugin, para fazer uma boa configuração e obter a máxima proteção.
REMOVA PLUGINS E TEMAS NÃO ATUALIZADOS
É comum durante a fase de desenvolvimento e testes do site, instalarmos muitos plugins e temas. Quando o seu site estiver em pronto, recomendamos que você revise todos os plugins e temas instalados, remova tudo que não está em utilização.
Não há porque manter o seu Wordpress "inchado" com plugins/temas inúteis, que podem servir como porta de entrada para problemas. Mantenha somente o que o site realmente utiliza.
SOMENTE INSTALE PLUGINS E TEMAS DE FONTES CONFIÁVEIS
Encontra-se facilmente muitos plugins e temas gratuitos, mas os temas e plugins mais cobiçados, normalmente são pagos. Cabe a você decidir se orçamento do seu site justifica comprar aquele tema, aquele plugin. Mas não vá pelo caminho de conseguir um tema/plugin comercial (não-gratuito) "de graça, com um jeitinho".
Existem sites que distribuem gratuitamente os plugins e temas que normalmente são pagos. Mas ninguém trabalha de graça... quem comprou estes plugins e temas para distribuir de graça, não o faz por boa vontade, na maioria das vezes estes temas/plugins piratas foram alterados para distribuir malware, virus e programas, que vão permitir a invasão do seu Wordpress.
Portanto, se o plugin/tema é gratuito, procure no repositório oficial do Worpdress ou no site oficial do tema/plugin. Se decidiu comprar um plugin/tema comercial, procure o site oficial ou vendedor autorizado.
ATUALIZAÇÃO DO WORDPRESS, TEMAS E PLUGINS
Site pronto, tema e plugins instalados e tudo funcionando bem. O trabalho não acabou!
O Wordpress recebe atualizações frequentes, muitas para corrigirem falhas de segurança. Se você deixar seu Wordpress, temas e plugins sem atualizar por algumas semanas, corre o risco de ter o site invadido.
Não acredita? Visite as páginas abaixo, que registram os lançamentos de versões do Wordpress:
https://codex.wordpress.org/Current_events
https://wordpress.org/news/category/releases/
O mesmo se aplica aos plugins e temas, que também recebem atualizações, sejam de funcionalidades, compatibilidade e segurança. Você deve criar uma rotina, periodicamente visitar a administração do seu Wordpress e atualizar temas, plugins e o próprio Wordpress.
Sabemos de casos, onde o proprietário do site se recusa a atualizar o Wordpress, porque o tema (ou plugin) utilizado não é compatível com a nova versão do Wordpress. Isso é um cenário terrível para a segurança: significa que o desenvolvedor do tema/plugin abandonou o desenvolvimento, que o seu Wordpress ficará preso em uma versão antiga (e insegura). Você não deve deixar isso ocorrer, se o tema ou plugin que você utiliza não é compatível com a versão mais recente do Wordpress, busque uma alternativa - pior será quando o seu site for invadido.
DUPLA AUTENTICAÇÃO
Como você sabe, para entrar na administração do Wordpress basta saber o usuário e senha. Você pode ter a senha mais complexa e segura do mundo, mas se um vírus/malware entrar em seu computador e capturar a senha, já é o suficiente para um invasor acessar o seu Wordpress.
Para evitar este tipo de situação, você pode instalar no seu Wordpress um plugin de dupla autenticação, também conhecido com autenticação de dois fatores (2FA). Com esta linha de proteção ativada, não basta saber a senha - é necessário informar um código temporário, que é gerado por um aplicativo instalado no seu celular. Mesmo que ocorra vazamento da sua senha, não será possível entrar na administração do seu Wordpress.
Para ativar esta proteção no seu Wordpress, você precisa de duas coisas, ambas gratuitas:
- Um aplicativo de 2FA, como o Google Authenticator ou Authy;
- Um plugin de 2FA para Wordpress. Existem vários, alguns totalmente gratuitos e outros pagos. Podemos indicar o plugin Wordpress 2 step verification, mas existem muitos outros, pesquise por "wordpress plugin two factor" e vai encontrar muita variedade.
Independente do plugin e aplicativo que escolher, o processo basicamente é o mesmo:
- Instale o aplicativo Google Authenticator ou Authy em seu celular;
- Instale o plugin de 2FA no seu Wordpress, ative o plugin;
- Acesse as configurações do plugin, ative a proteção. O plugin vai gerar um QR CODE na sua tela;
- Abra o aplicativo no seu celular e adicione um novo site, o aplicativo vai pedir para fotografar o QR CODE gerado pelo plugin do Wordpress;
- Permita ao aplicativo fotografar o QR CODE, se tudo estiver certo o aplicativo vai gerar um código;
- Volte no plugin do Wordpress e informe o código gerado, para confirmar que o aplicativo leu o QR CODE.
Pronto, você ativou a proteção de dois fatores no seu Wordpress. Da próxima vez que você for efetuar login, será necessário informar usuário, senha e o código gerado pelo aplicativo, no seu celular.
DICA: Alguns plugins de 2FA geram código de backup (backup code) - se o seu plugin gerar este código, anote e guarde em local seguro. Servirá para você entrar no Wordpress caso você não tenha acesso ao celular. Observe ainda que se você trocar de celular, talvez tenha que desativar o 2FA em seu Wordpress e depois ativar novamente no novo aparelho.
CONCLUSÃO
As dicas acima são básicas, são os primeiros passos para melhorar a segurança do seu site feito em Worpdress. Acreditamos que seja o mínimo que deve ser feito.
Existem muitas técnicas de segurança, plugins especializados e até mesmo serviços que cuidam da segurança do seu Wordpress.
