Segurança contras ataques no WordPress. O que você precisa saber?

Em primeiro é bom deixar claro que o WordPress não é inseguro. Os ataques no WordPress aparecem mais nas notícias pois o volume de sites feitos com a plataforma é espetacularmente maior do que em outros CMS e sistemas customizados.

Como o WordPress é usado profissionalmente em maior escala, é um dos motivos que engrossam a lista que o deixam mais visado.

Proteger as organizações dos ataques digitais, das falhas humanas, dos desvios de conduta por parte dos colaboradores e dos desastres naturais, invasões em geral são os principais objetivos de um artigo sobre segurança.

É muito desagradável ter o site invadido mas, é mais comum do que se pensa.

O pior de tudo é que a maioria dos desenvolvedores não entregam um site nem com metade dos recursos de segurança ideais.

10 medidas para se precaver de ataques no WordPress

1. Bloqueio de tentativas de login

Os ataques são tão comuns que hoje em dia virou um recurso opcional nas instalações via cpanel, por exemplo. O plugin iThemes Security dá uma boa mão nisso.

2.Personalize a página de login

Os sites wordpress são sempre, por padrão, na URL seudominio.com.br/wp-admin. As invasões se dão através de buscas automáticas por brechas de segurança e varrem os sites através de spiders que vão buscar justamente este incremento. Que tal mudar este endereço? ter sua URL.com.br/uma-palavra-em-português, por exemplo seudominio.com.br/administrar, já vai derrubar 90% das tentativas de logon.

3. Logar por email

Usar um email ao invés de um nome de usuário, sobretudo os manjadaços como Admin, é um recurso a mais de segurança. O plugin leve como https://wordpress.org/plugins/wp-email-login/ pode solucionar isso.

4. Melhore suas senhas

A gente tende a usar senhas que a gente lembra, certo? Errado. É mais seguro ter anotada ou pensar em um padrão mais complexo e DECORAR!

5. Use SSL

SSL é um criptogafia de dados. Se nao protege 100%, ao menos te deixa bem visto com o Google e espanta boa parte dos ataques fracos. Hoje em dia estes certificados são gratuitos na maior parte dos provedores de hospedagem, exceto nas hospedagens extremamente ruins como a Locaweb, por exemplo.

6. Utilize um plugin de segurança

Não importa se você usa Wordfence ou Sucuri, ambos são ótimos recursos para coibir invasões, sobretudo quando bem configurados.

7. Um filtro de dados

WAF são as Web Applications Firewalls. Geralmente estão incluídos nas versões pagas dos plugins de segurança, nas CDNs. Se o que você quer é estar seguro, invista.

8. Proteger o wp-config.php

Se o host é invadido, se o FTP é invadido, tudo isso pode levar o invasor ao wp-config onde está a senha e o endereço da sua base de dados, por exemplo. É possível mover o wp-config para um diretório superior e tirá-lo da raiz.

9. Atualize o wordpress e os plugins

Tarefa relegada ao desenvolvedor, geralmente é esquecida depois que o site é entregue. É nela que reside a maior parte das brechas de segurança.

10. Impeça a listagem de arquivos

Pelo seu FTP é possível enxergar o diretório raiz e o arquivo .htacess. Proteja incluindo a linha

Options All -Indexes

Se ainda assim, você não quer nem pensar no assunto, o jeito é contratar alguém que o faça. A Agência Trampo faz por você, consulte-nos.

E se você chegou até aqui buscando por Ataques no WordPress, é bom conhecer um plano de marketing de conteúdo e SEO também, mas isto é outro assunto.

Pular para o conteúdo