7 dicas para melhorar a segurança do WordPress

Proteção e segurança no Wordpress

O WordPress é seguro. Nunca pense o contrário. Em relação a “soluções próprias” e websites programados do zero o sistema do WordPress é seguro e evolui rapidamente, sempre sujeito a atualizações e melhorias.

Entretanto, como trata-se de uma plataforma completamente customizável, é imperativo que possua flexibilidade para o desenvolvedor. Tudo pode ser alterado e personalizado, então os níveis de permissões e características abertas do código beneficiam essas mudanças e customizações. Ao terminar o website, por essa razão, é preciso em geral “fechar portas”, para que acessos indevidos não ocorram.



O problema é que a grande maioria das agências e desenvolvedores simplesmente deixam tudo isso escancarado.

Dicas para melhorar a segurança do WordPress – utilize um certificado SSL

Muitos donos de site e empresas não adquirem certificados SSL. A verdade é que em Portugal, Espanha e também no Brasil, países no quais atendemos clientes, a grande maioria das empresas de hosting são “espertas”. Usam do expediente de proibir o upload ou uso de certificados gratuitos, para além de não oferecê-los, e terminam por cobrar pequenas fortunas nesses certificados. Dois ou três dos serviços de alojamento mais famosos de Portugal cobram não menos que € 50 anuais para lhe dar o que teria de graça.

A dica aqui é buscar um alojamento que já ofereça tal certificado ou permita a utilização daqueles gerados gratuitamente. Temos um post inteiro explicando como poderá conseguir um certificado igualmente eficaz, sem ter de pagar um único centavo.

Dicas para melhorar a segurança do WordPress – livrar-se do “admin”

Um usuário “admin” é padrão nas instalações WordPress. Todos que trabalham com web design e desenvolvimento o sabem – especialmente hackers. Tentativas de sequestro de palavras-passe tornam-se muito mais fáceis quando um site ainda possui um usuário com esse nome. Crie sempre um usuário com status de administrador e, em seguida, livre-se do “admin” na aba de “Utilizadores”.

Dicas para melhorar a segurança do WordPress – prefixo da base de dados

Ao instalar o WordPress em um alojamento, pede-se nas configurações o nome da base de dados SQL, o usuário e sua palavra-passe e, ao final, o prefixo da base de dados. Por padrão, esse prefixo é “wp_”. Modifique-o para algo que tenha que ver com seu site ou empresa, mas evite deixar a coisa como está. Assim como ocorre com o usuário “admin”, ao saber dessa informação tentativas de injeção de códigos maliciosos em sua base de dados tornam-se muito mais fáceis para hackers mal-intencionados.

Dicas para melhorar a segurança do WordPress – erros de login

Mensagens de erro personalizadas na área de login podem dar dicas a hackers de como aceder ao seu website. Para melhorar isso e reduzir os riscos, a melhor política é uniformizar a mensagem de erro para falhas de autenticação. Para tanto, é possível incluir um trecho de código PHP simples, seja no ficheiro functions.php de seu tema ou em um plugin personalizado.

function meuppt_wordpress_errors(){
return 'Erro de autenticação - tente de novo';
}
add_filter( 'login_errors', 'meuppt_wordpress_errors' );

Dicas para melhorar a segurança do WordPress – atualizações

A grande maioria das atualizações, seja do próprio WordPress ou de plugins e temas, têm como objetivo corrigir falhas e mesmo problemas de segurança. A dica que todos dão é manter tudo sempre atualizado, mas preferimos ser mais cautelosos. Cuidado quando atualizar versões do WordPress – alguns plugins e temas podem não funcionar na versão mais recente. Antes de fazê-lo, consulte o site do desenvolvedor do plugin ou tema para verificar a compatibilidade.

Além disso, versões “quebradas” de atualização são menos arriscadas. Por exemplo: dificilmente terá problemas ao atualizar seu site da versão 4.0 do WordPress para a 4.0.2. O número de versão no terceiro dígito indica que apenas alterações e correções menores foram realizadas. Contudo, evite atualizar sem analisar os riscos quando o update parecer mais estrutural e relevante. Da versão 3.8 para a 4.3, por exemplo. As alterações são imensas e podem invalidar parte do que se utiliza no site.

Dicas para melhorar a segurança do WordPress – melhorias no .htaccess

O .htaccess é um ficheiro de sistema que indica ao servidor diretrizes que devem ser observadas em relação ao seu site ou aplicação. Há imensas alterações que podem nele ser feitas para melhorar a segurança. Contudo, sua operação é arriscada e exige algum conhecimento de programação e de funcionamento de servidores Apache ou Nginx. Abordaremos novamente esse aspeto no futuro, mas a otimização aqui pode resolver muitos dos problemas de segurança de alojamentos compartilhados.

Dicas para melhorar a segurança do WordPress – cabeçalhos HTTP

Outra melhoria tremenda em websites é a optimização e reformulação dos chamados cabeçalhos HTTP. Quando um site é consultado, o navegador da pessoa que o busca envia uma requisição ao alojamento ou servidor. O servidor responde e inicia a transferência de dados. Os cabeçalhos HTTP determinam que tipo de transferência deve ser realizada, se há redirecionamentos ou não, que recursos do navegador devem ou não ser acionados e, claro, diretrizes de segurança na manipulação e tratamento dos dados.

Há maneiras de aprimorar muito a segurança de um website e mesmo servidor apenas pelo modo com que se configuram os cabeçalhos. Entretanto, esse é um trabalho técnico e minucioso. A MeuPPT realiza optimizações desse nível e também em instalações WordPress e ficheiros de servidores. Se pretende aprimorar seu site de forma rápida e barata, fale connosco e diga seu problema.

Dicas para melhorar a segurança do WordPress – hosting certo

O hosting ou alojamento mais barato nem sempre é o melhor. Assim como o mais caro também pode não ser. Em termos de segurança, parte do trabalho precisa ser realizado pela empresa que presta o serviço de alojamento ou hospedagem. Planos que não incluem políticas de back-up, não possuem qualquer tipo de filtro ou proteção server-side ou proíbem o uso de certificados SSL próprios ou ferramentas e extensões de segurança e optimização devem ser automaticamente vetados.

Para sorte de quem precisa de um site e utiliza o WordPress, há excelentes hostings no mundo todo. Separámos uma lista dos mais fiáveis em nossa opinião, mas é possível encontrar na internet avaliações técnicas de revistas respeitadas sobre tais serviços. Sempre pesquise antes de formalizar ou migrar seu website.