👋 Antes de começar: absorva as informações passo a passo. Não é necessário se aprofundar em cada detalhe imediatamente. Existem várias práticas de segurança para o WordPress que precisamos considerar. Concentre-se nas estratégias com as quais você já está familiarizado e, gradualmente, expanda seu conhecimento explorando novas técnicas e ferramentas.
Se você é (assim como eu) um aficionado por WordPress, um entusiasta da web que adora mergulhar no código, um especialista em segurança digital ou um novato tentando desvendar as melhores práticas de segurança WordPress, este artigo é para você.
Este guia está estruturado em duas seções principais (Essencial e Avançado) para facilitar a navegação e a implementação das práticas de segurança. Cada seção é projetada para atender diferentes níveis de necessidade e experiência, garantindo que todos, de iniciantes a usuários avançados, possam aproveitar as informações da melhor forma possível.
👉 Alguns dos links abaixo são afiliados, o que significa que posso receber uma pequena comissão se você fizer uma compra através deles, sem nenhum custo adicional para você. Mas saiba que minha recomendação é sincera e baseada em minha própria experiência, independentemente de comissões. Por isso, há também indicações de recursos que são gratuitos e que cumprem muito bem o seu papel.
Essencial: Práticas de Segurança WordPress Indispensáveis
O alicerce da segurança começa com uma boa hospedagem
É o ponto de partida de qualquer empreendimento na web. A escolha da hospedagem é tão crucial para a segurança do seu site como a fundação o é para uma casa. Eu utilizo e indico para todos os meus clientes os modelos de hospedagem em nuvem e já explico o porquê.
A escolha da hospedagem ideal varia conforme as necessidades específicas de cada site, sendo que as opções mais seguras geralmente incluem hospedagens em Cloud ou em Servidores Virtuais Privados (VPS). Apesar de muitos optarem por VPS, este tipo de hospedagem requer conhecimento técnico avançado ou uma equipe especializada para gerenciamento eficaz do servidor.
Por esse motivo, minha recomendação principal são as hospedagens Cloud. Elas são projetadas para oferecer uma excelente combinação de performance, segurança e escalabilidade, atendendo à maioria das demandas sem exigir o mesmo nível de especialização técnica que um VPS demandaria. Isso as torna uma solução especialmente atrativa para quem busca eficiência e facilidade de gestão.
A hospedagem que utilizo e indico é a Hostinger Cloud. Ela se destaca como uma escolha versátil e robusta, ideal para uma variedade de aplicações online, desde sites institucionais e blogs com alto volume de tráfego até lojas virtuais e outros tipos de e-commerce.
Frequentemente, recebo muitas pessoas desesperadas por terem tido seus projetos WordPress hackeados. E a Hostinger é de longe a hospedagem que menos apresentou problemas de segurança até o momento. Pode parecer surpreendente, mas não me recordo de nenhum caso em que um usuário, estando em um plano da Hostinger, sobretudo Cloud, tenha enfrentado esse tipo de problema.
HTTPS – Certificado SSL – Essencial para criptografar as informações do usuário
O protocolo seguro de transferência de dados é padrão para websites que se preocupam genuinamente com a segurança. O SSL (Secure Sockets Layer) ajuda a criar um canal criptografado entre o usuário e o servidor, garantindo que qualquer informação transferida, como dados pessoais ou de pagamento, permaneça privada e segura.
A implementação do SSL não se limita a uma questão de segurança; é também um fator SEO. O Google favorece sites seguros com classificações mais altas nos resultados de pesquisa. Então, se você ainda não o fez, obtenha um certificado SSL e eleve tanto a segurança quanto a visibilidade do seu site.
A maioria dos planos profissionais de hospedagem oferecem o certificado SSL “gratuito”, isto é, já incluso em qualquer de seus planos mensais.
Atualizações frequentes para correção de vulnerabilidades
Além do uso de hospedagens não confiáveis, aqui está um outro grande motivo dos sites serem hackeados é a falta do cuidado em atualizar os seus componentes principais: WordPress Core, Temas e Plugins.
Portanto, não há desculpas quando se trata de atualizações! O WordPress, assim como seus temas e plugins, é atualizado com frequência por uma razão crucial: segurança. A cada nova versão, correções para bugs e vulnerabilidades recentemente descobertas são aplicadas, dificultando a vida dos criminosos virtuais.
Outra dica importante é manter somente aquilo que é utilizado. Por isso, evite plugins em excesso e caso não esteja utilizando qualquer um deles, remova-o completamente, e não apenas desative. Essa regra de ouro também também para seus temas. E lembre-se: instale plugins e temas somente de fontes confiáveis!
Caso você tenha receio de manter o seu projeto atualizado por medo de quebrar alguma parte do seu site, confira mais meus planos de manutenção mensal 🔧
Promover o uso de credenciais fortes e únicas
A senha é a chave da sua casa virtual. Encorajar ou até mesmo impor a escolha de senhas seguras, com uma combinação de letras maiúsculas, minúsculas, números e caracteres especiais, é uma defesa simples, mas eficaz.
Além disso, o fortalecimento de credenciais não se limita ao WordPress. Usar um serviço de autenticação de dois fatores (2FA) adiciona uma camada extra de proteção, que é altamente recomendada para qualquer login importante no seu site. Lembre-se, senhas fortes são uma das melhores defesas contra ataques de força bruta.
Um plugin que também utilizo com frequência para isso é o “WP 2FA – Two-factor authentication for WordPress“. Para a maioria dos usuários, a versão gratuita já cumprirá bem os requisitos de proteção.
Reduzir o risco de ataques de força bruta ao painel administrativo
Ataques de força bruta registram um número alarmante de tentativas de login mal-sucedidas, na esperança de descobrir a combinação correta das suas credenciais. Ferramentas de limitação de login, que bloqueiam acessos depois de um certo número de tentativas frustradas, são suas melhores amigas para conter essas invasões.
Vários plugins do WordPress oferecem essa funcionalidade. Monitore as tentativas de login, defina um número limite e o tempo de bloqueio. Dessa forma, você dificulta a vida dos invasores sem prejudicar a acessibilidade legítima.
Um outro plugin gratuito também muito utilizado é o “Limit Login Attempts Reloaded“. Ele possui mais de 2 milhões de instalações e classificação 5 estrelas surpreendente:
Garantir que o servidor está utilizando uma versão segura e atualizada do PHP
PHP é a linguagem de programação que serve de base para o WordPress. Uma versão desatualizada ou insegura do PHP pode ser uma vulnerabilidade significativa para o seu site. Certifique-se sempre de usar a versão mais recente do PHP compatível com o WordPress, para garantir não só segurança aprimorada, mas também melhor desempenho.
Se o seu provedor de hospedagem não oferece a opção de escolha da versão do PHP, é hora de iniciar uma conversa com eles ou avaliar alternativas mais seguras. Afinal, o PHP é o core do seu site, e zelar pela sua atualização é uma das chaves para manter a segurança do WordPress.
Aqui mais um motivo que indico a Hostinger: os seus planos Cloud oferecem a flexibilidade de alterar a versão do PHP para cada site de forma individualizada, mesmo que todos estejam hospedados em um único servidor.
Faça backups com frequência
Um backup é um salva-vidas em um mar de problemas de segurança. Se o inesperado acontecer, um bom backup pode rapidamente devolver seu site à vida como se nada tivesse acontecido.
A maioria dos planos de hospedagens sérios oferecem backups regulares, tanto diários quanto semanais, a depender do pacote contratado. Algumas dicas importantes são:
- Armazene backups em locais seguros, de preferência fora do servidor;
- Teste regularmente que os backups podem ser recuperados com sucesso;
- Tenha sempre mais do que somente 1 ou 2 backups;
- Lembre-se: é preciso fazer o backup tanto dos conteúdos do site (pastas, arquivos, etc.) quando do banco de dados (índices, tabelas, etc.).
Uma camada adicional de segurança para o acesso ao painel
Um ‘hiato comum’, por assim dizer, é o URL padrão do painel administrativo do WordPress, que é bem conhecido e, consequentemente, alvo fácil para tentativas de invasão.
Alterar o endereço do painel administrativo (exemplo.com/wp-admin) é um passo adicional para manter os curiosos e mal-intencionados afastados.
Existem plugins que oferecem essa funcionalidade. O segredo aqui é escolher um plugin de confiança, que ofereça segurança real ao invés de criar novas vulnerabilidades. Vale também destacar que a obscuridade da URL não substitui boas práticas de segurança, mas é um complemento relevante.
Agora, vamos prosseguir com algumas dicas avançadas para proteger ainda mais seu projeto WordPress. Caso encontre alguma dificuldade, comente no post que terei o maior prazer em ajudar 🤓
Avançado: Estratégias de Segurança WordPress para Profissionais
Desabilitando a Edição de Arquivos
Desabilitar a edição de arquivos diretamente no painel administrativo de sistemas de gestão de conteúdo, como o WordPress, é uma prática de segurança importante. Isso previne que usuários, que possuam acesso administrativo, possam modificar arquivos de temas ou plugins diretamente através do editor de arquivos interno.
Para fazer isso, localize o arquivo wp-config.php, que fica na pasta public_html, raíz da sua instalação.
Você deve adicionar a linha de código “define('DISALLOW_FILE_EDIT', true);“, logo antes da frase /* That's all, stop editing! Happy publishing. */:
Desativando o relatório de erros PHP
Desativar o relatório de erros PHP é crucial para prevenir a exposição de informações sensíveis sobre sua configuração de servidor. Isso ajuda a proteger seu site contra potenciais hackers que exploram essas informações para ataques. Acesse o arquivo php.ini localizado na raiz do seu servidor.
Para desativar os relatórios de erro, adicione ou modifique a linha “display_errors = Off“. Certifique-se de fazer isso antes de terminar as configurações essenciais do arquivo.
Em muitas hospedagens, esse processo pode ser realizado com um único clique, como no exemplo abaixo:
Reduzir riscos de manipulação de banco de dados
Para reduzir os riscos de manipulação de banco de dados, é fundamental implementar controles estritos de acesso e uso de práticas de codificação seguras.
No arquivo de configuração, que já vimos anteriormente, wp-config.php, certifique-se de usar senhas fortes e únicas para o acesso ao banco de dados.
Usando .htaccess para aumentar a segurança no WordPress
Utilizar o arquivo .htaccess para aumentar a segurança do WordPress é uma técnica eficaz. Este arquivo, localizado na pasta public_html, permite que você restrinja o acesso a certos arquivos e diretórios.
Adicione regras que neguem o acesso a arquivos importantes, como o wp-config.php, para prevenir que sejam acessados diretamente, ou seja, que usuários não autorizados visualizem ou manipulem o arquivo através do navegador. Isso pode ser feito inserindo linhas como Deny from all dentro das tags <Files> apropriadas:
Implementar medidas para mitigar ataques de negação de serviço (DDoS)
Você sabe o que é uma rede CDN? Grosso modo, a CDN é uma rede de servidores distribuídos pelo mundo que trabalham em conjunto para fornecer entrega rápida de conteúdo da internet, independentemente da localização do usuário.
Para mitigar ataques de negação de serviço (DDoS), o uso de serviços como o da Cloudflare pode ser extremamente eficaz. A Cloudflare proporciona uma rede de distribuição de conteúdo (CDN) e funcionalidades de proteção contra DDoS, absorvendo e filtrando o tráfego malicioso antes que ele atinja seu servidor.
A Cloudflare possui planos gratuitos e pagos, e os planos gratuitos já são mais do que suficientes para grande parte dos projetos 💪
Utilizar ferramentas especializadas para reforçar a segurança
Por fim, muitas ferramentas podem ajudar a aprimorar a segurança do seu site WordPress além das mencionadas anteriormente. Estas incluem scanners de vírus e malwares, afinadores de segurança, entre outros.
Escolher as ferramentas corretas é crucial, e quase todas devem ser bem revisadas e confiáveis. O ideal é uma combinação de ferramentas e processos de modo que eles funcionem em conjunto para uma segurança abrangente e sustentável.
Aqui, também tenho minhas preferências. Caso você esteja com o orçamento reduzido, eu indico a utilização do Wordfence em sua modalidade gratuita. Agora, se você precisa de uma proteção extra para projetos mais robustos, recomendo Virusdie ou Malcare, sendo a primeira minha escolha para projetos de parceiros.
Conclusão
Conforme você se aprofunda na abordagem desses tópicos, lembre-se da importância de manter-se atualizado e de manter uma atitude proativa em relação à segurança do site.
É importante que seja dito: nenhum sistema é 100% infalível, mas uma abordagem de defesa proativa é o que vai tornar o seu site WordPress cada vez mais protegido. E lembre-se de que a segurança digital é uma maratona, não uma corrida. Continuar educando-se sobre as melhores práticas e revisando suas políticas regularmente é inestimável para manter seu site WordPress seguro.
Espero que as dicas compartilhadas neste artigo sejam úteis para o desenvolvimento e segurança do seu site. Caso tenha alguma dúvida, sugestão ou precise de mais informações, estou à disposição para ajudar. Fique à vontade para deixar seu comentário abaixo 👇🫡
