Neste post vamos responder uma pergunta muito comum: WordPress é Seguro?. Mas antes de respondê-la, vamos passar por alguns dados primeiramente para compreender todo cenário.
De acordo com a W3Techs, 43,2% de todos os sites na internet usam o WordPress. E de todos os sites que usam um CMS (Sistema de gerenciamento de conteúdo), mais da metade ( 64% ) utiliza o WordPress para alimentar seu blog ou site. Infelizmente, como o WordPress tem uma participação de mercado tão grande, ele também se tornou um dos principais alvos dos invasores.
Você pode estar se perguntando se o WordPress é seguro de usar. E a resposta curta é sim – o núcleo do WordPress é seguro de usar, mas apenas se você o mantiver na versão mais recente e empregar algumas proteções adicionais na página de login do administrador.
Com cada plug-in ou tema adicionado ao ambiente, você apresenta mais riscos ao seu ambiente. Portanto, há uma série de etapas importantes que você deve seguir para garantir que seu site WordPress esteja protegido contra ameaças e vulnerabilidades conhecidas.
Nesta postagem, vou detalhar o ecossistema do WordPress junto com algumas práticas recomendadas de segurança para ajudá-lo a entender se o WordPress é seguro e como proteger seu site contra ataques.
O que é WordPress?
O WordPress é uma das formas mais simples e populares de criar um blog ou site. Licenciado sob GPLv2 e escrito em PHP, o WordPress é um sistema de gerenciamento de conteúdo de código aberto. Isso significa literalmente que qualquer pessoa pode usar ou modificar o WordPress gratuitamente.
Como o WordPress tornou a construção de sites e blogs uma experiência simples sem código, ele é amplamente usado e ganhou enorme popularidade ao longo dos anos. Ele permite que os proprietários de sites gerenciem e atualizem facilmente conteúdo, imagens e designs de sites sem a necessidade de saber muito sobre programação. Além disso, sua extensa biblioteca de plugins e temas facilita a adição de novas opções de design e funcionalidade a qualquer site WordPress.
Alguns exemplos de sites criados com WordPress incluem:
E-commerce — Sites de comércio eletrônico ou lojas online permitem que os visitantes comprem bens e serviços online. Eles usam sistemas de pagamento online para facilitar as transações, que geralmente são instalados na forma de um plugin do WordPress.
Blogs — Os blogs compartilham informações ou conhecimentos tópicos e geralmente exibem primeiro o conteúdo publicado mais recentemente. Os blogs podem ser usados para classificar palavras-chave ou termos específicos e podem ser dedicados ao compartilhamento de fotos, críticas, tutoriais e receitas. Há uma grande variedade de diferentes plugins e temas do WordPress que podem ajudá-lo a criar o espaço de blog perfeito.
Portfólios — Um site de portfólio pode ser usado para mostrar seus designs criativos, designs da Web, fotografias e outros ativos.
Negócios — Sites de negócios fornecem informações gerais sobre uma empresa ou serviço. O WordPress torna mais fácil para as pequenas empresas lançar sua presença online e criar uma plataforma para contato com clientes em potencial, obter cotações, encontrar mídias sociais ou campanhas de marketing e obter informações gerais.
Fóruns — O WordPress torna mais fácil para os proprietários de sites criar plataformas de fóruns onde os usuários podem fazer perguntas, compartilhar experiências e oferecer conselhos.
Confira neste outro post o que é possível criar com WordPress!
Leia Também
- Dicas de segurança no WordPress para um site mais seguro
- Versão do PHP no WordPress: Como verificar e atualizar
- Como recuperar um site WordPress hackeado
O núcleo do WordPress é seguro?
Resumindo, sim – o núcleo do WordPress é seguro, mas apenas se você o mantiver na versão mais recente.
O WordPress é um software de código aberto mantido por uma equipe de especialistas em segurança de classe mundial. Como a base de código é acessível publicamente, qualquer pessoa pode revisá-la e analisá-la. Sempre que um bug ou problema de segurança é relatado pela comunidade de código aberto, ele é atualizado para corrigir o problema.
Mas no momento em que escrevo, apenas 60% dos sites WordPress estão usando a versão mais recente do WordPress. Isso significa que os outros 40% dos sites desatualizados correm o risco de hackers visando vulnerabilidades conhecidas.
E embora pequenas atualizações possam ser atualizadas automaticamente pelo WordPress, as atualizações principais precisam ser atualizadas manualmente no painel do WordPress – a menos que sua empresa de hospedagem esteja gerenciando a versão principal do WordPress para você.
Os hackers estão constantemente verificando a Internet em busca de instalações ou sites centrais desatualizados do WordPress usando plug-ins ou temas com vulnerabilidades conhecidas. Eles ainda têm scripts automatizados que facilitam a localização e exploração de sites vulneráveis.
Portanto, ao fazer a pergunta, “o núcleo do WordPress é seguro? ” podemos dizer que, embora não seja necessariamente perfeito, é sempre mais seguro ao usar a versão mais recente.
Sugestão de Leitura: Google Page Experience: Como preparar seu site WordPress
Como proteger o WordPress
Portanto, agora sabemos que o próprio núcleo do WordPress é relativamente seguro – desde que o mantenhamos atualizado para a versão mais recente. Mas e todos esses plugins e temas?
Bem, a extensibilidade do WordPress facilita a adição de novas funcionalidades ou recursos com o clique de um botão. Mas também apresenta novos riscos e vulnerabilidades de segurança.
Cada plug-in ou componente de terceiros que você instala em seu ambiente WordPress abre o potencial para um bug que pode permitir que um invasor obtenha acesso ao seu site. Felizmente, existem algumas etapas importantes que você pode seguir para proteger seu site WordPress.
Mantenha seus plugins e temas do WordPress atualizados
O WordPress tem literalmente milhares de opções quando se trata de plugins e temas.
Esses plugins e temas são construídos e suportados pela comunidade e pelos autores do plugin ou tema. Portanto, ao escolher um plugin ou tema, é importante observar as classificações e o canal de suporte. Isso ajudará você a avaliar se o componente é confiável e recebe atualizações regulares para problemas conhecidos.
A comunidade está comunicando regularmente problemas de segurança para plugins e temas do WordPress. Portanto, verifique as atualizações com frequência para manter seus plug-ins corrigidos contra vulnerabilidades conhecidas.
Desde a versão 5.5 do WordPress, os usuários têm a opção de habilitar atualizações automáticas para plugins e temas.
Habilitar atualizações automáticas pode ajudar a melhorar a segurança e acelerar atualizações importantes. A única armadilha das atualizações automáticas é que elas podem resultar em conflitos de plugins, problemas de formatação ou até mesmo falha do site.
Embora essa prática seja mais segura, você também deve certificar-se de ter backups configurados no site, caso haja problemas ou erros de compatibilidade de plugins ou temas.
Outro ponto sobre atualizações automáticas a ter em mente é que as verificações de atualizações disponíveis são feitas via WordPress Cron , portanto, você deve garantir que o WordPress Cron esteja funcionando corretamente no site antes de ativar as atualizações automáticas.
Como observação final, você pode reduzir o risco simplesmente removendo quaisquer plug-ins ou temas que não estejam mais sendo usados em seu site. Dessa forma, eles não podem ser alvo de invasores.
Use nomes de usuário e senhas fortes para login e hospedagem no WordPress
Ao configurar sua conta de hospedagem ou credenciais de login do site WordPress, é importante usar nomes de usuário e senhas complexos . Fique longe de nomes de usuário e senhas simples ou padrão.
Recomendamos a criação de senhas exclusivas com uma combinação de letras, números e caracteres especiais — com pelo menos 12 caracteres.
Você também pode verificar com seu provedor de hospedagem se estiver usando um painel de controle de hospedagem como cPanel ou Plesk para ver se pode modificar o nome de usuário e definir senhas mais fortes e/ou habilitar 2FA para ajudar a proteger contra ataques de força bruta às páginas de login.
Ao configurar usuários para FTP ou sFTP no servidor de hospedagem, não use nomes de usuário fáceis de adivinhar, como [email protected]. Quando dada a opção de usar FTP ou sFTP, sempre recomendamos usar sFTP para garantir que ele esteja usando a melhor criptografia e não a transferência de dados de texto não criptografado.
Proteja suas páginas de login do WordPress
As páginas de login padrão do WordPress /wp-login.php e /wp-admin são comumente rastreadas por bots. Os hackers usam scripts para ataques de força bruta e adivinham as credenciais de login do administrador.
Por padrão, o WordPress não limita o número de tentativas de login com falha e não contém nenhum sistema 2FA nativo, tornando-o particularmente vulnerável a esses tipos de ataques. Para ajudar a combater esses ataques, existem algumas coisas que podemos fazer para proteger a página de login do WordPress.
Habilitar autenticação de dois fatores
Outra maneira comum de proteger seu painel de login e restringir o acesso é com 2FA (autenticação de dois fatores). O uso de um plug-in 2FA solicitará que o usuário faça login para verificar uma maneira adicional – por exemplo, um código ou frase verificada por um serviço externo.
Altere sua página de login padrão
Alterar sua página de login padrão para um URL exclusivo é outra maneira de ajudar a mitigar ataques.
Ao alterar a URL, os hackers não saberão mais o caminho exato para sua página de login, tornando muito mais difícil para scripts automatizados e invasores acessá-la.
Uma das maneiras mais fáceis de modificar o caminho para o URL de login do WordPress é usando um plug-in. Mas se você for um pouco mais técnico, pode modificar seu arquivo .htaccess com o seguinte código para alterar o caminho:
RewriteRule ^ super-unique-login $ http://yourwebsite.com/wp-login.php [NC,L]
Este código altera sua página de login para: http://seusite.com/super-unique-login.php
Sugestão de Leitura: Google Analytics 4: Conheça a próxima geração de análise do Google
Negar todos os acessos desnecessários
Com tudo isso dito, de longe o método mais seguro é negar completamente toda e qualquer tentativa de acessar o login ou o painel de administração a partir de endereços IP que não o exijam.
Isso pode ser feito facilmente adicionando páginas protegidas com o firewall do nosso site, mas também pode ser feito gratuitamente usando as regras de arquivo .htaccess nos ambientes Apache.
Limitar logins com falha
Por padrão, o WordPress não limita o número de tentativas de login com falha. Mas você pode usar um plug-in para limitar as tentativas de login e evitar ataques de força bruta.
Em muitos casos, os plug-ins de segurança terão a capacidade de bloquear um endereço IP após um número especificado de tentativas malsucedidas. Normalmente, você pode definir o bloqueio como uma proibição permanente ou um bloqueio cronometrado do endereço IP.
O Sucuri WAF facilita a restrição de acesso a páginas de login para endereços IP autorizados. Se você estiver usando um WAF ou CDN, certifique-se de ter x-forwarded-for set , ou você estará bloqueando o endereço IP do WAF ou CDN – não o malfeitor.
Confira neste outro post O que é CDN e sua importância.
Configure backups diários do site
Os backups de sites são a base de uma forte postura de segurança. Quando seu site WordPress encontrar um erro ou estiver infectado com malware, você desejará a capacidade de se recuperar o mais rápido possível.
O servidor de hospedagem ou painel de controle que você está usando pode oferecer backups no servidor para o seu site WordPress. Alguns oferecem opções para backups diários, semanais ou mensais. No entanto, você deve ter cuidado ao usar backups do servidor de hospedagem. Eles podem ocupar muito espaço no servidor de hospedagem e potencialmente causar problemas se você usar todo o espaço de armazenamento disponível.
Você pode evitar essa armadilha usando um serviço de backup terceirizado, como o Sucuri Backups !
Se você está procurando outra solução fácil, o repositório WordPress tem uma infinidade de diferentes plugins de backup para escolher. Alguns até têm a opção de armazenar o backup em seu servidor de hospedagem ou fazer upload de backups para um serviço de armazenamento como Dropbox ou Google Drive.
E se você adora a linha de comando, pode instalar e usar rapidamente o WP-CLI para fazer backup do seu site WordPress .
Mas independentemente da solução que você escolher, a melhor opção para um backup de site é aquele que é automático, redundante e armazenado fora do seu servidor de hospedagem.
Instale um certificado SSL
Um certificado SSL (Secure Socket Layer) é um certificado digital que criptografa os dados que estão sendo enviados através do seu site. Embora a criptografia SSL não ajude a proteger seu site contra invasores, ela ainda desempenha um papel importante na segurança geral e na confiabilidade do seu site. A criptografia forte é vital para garantir que sua privacidade (e dos visitantes do site) seja protegida sempre que eles enviarem dados em seu site.
Vamos dar uma olhada em como ele funciona.
Quando um navegador se conecta ao seu site por ‘https://’, ele verifica o firewall, o CDN ou o servidor de hospedagem em busca de um certificado SSL validado pelo domínio. O certificado SSL cria uma conexão criptografada segura quando qualquer dado está sendo transferido do navegador para o site. Isso ajuda a proteger os dados em trânsito de formulários de contato, formulários de pagamento e até mesmo as páginas de login do seu site.
Além disso, os certificados SSL são importantes para a confiança e credibilidade. Os visitantes podem ver facilmente que sua conexão com um site é criptografada.
Se precisar de ajuda, consulte nosso guia para obter instruções passo a passo sobre como instalar um certificado SSL em seu site .
Use a última versão compatível do PHP
As versões desatualizadas do PHP contêm vulnerabilidades, por isso é importante corrigir para a versão compatível mais recente.
O PHP, assim como o WordPress, é mantido por sua comunidade. E como o PHP é tão popular, também é alvo de hackers – mas a versão mais recente será corrigida contra vulnerabilidades conhecidas. Atualizar seu PHP é essencial para manter seu site WordPress seguro.
Além disso, a atualização para a versão PHP recomendada pelo WordPress (atualmente 7.4 ou superior) pode proporcionar um aumento de desempenho que beneficiará todo o tráfego do seu site. O PHP se torna mais eficiente a cada nova versão – seu site também pode ficar mais rápido ao usar a versão mais recente do PHP. Um site WordPress mais rápido significa melhores classificações – e melhor experiência do usuário.
Você pode consultar a compatibilidade mais recente do PHP e as versões do WordPress no manual do Core.
Proteção DIY avançada (.htaccess & wp-config.php)
Se você tem algumas habilidades técnicas com codificação e deseja adotar uma abordagem mais prática para proteger sua instalação do WordPress, aqui estão algumas opções para fortalecer sua instalação.
Adicione um ou mais dos seguintes ao seu arquivo .htaccess para proteger seu site WordPress. Lembre-se de que, se estiver fazendo alterações em um arquivo existente, crie um backup do arquivo original, caso as alterações causem um conflito ou erro em seu site.
Restringir logins a um intervalo de IP específico
Esta regra restringe o acesso a wp-login.php a um IP, protegendo você de tentativas de login não autorizadas em outros locais.
< FilesMatch “ wp-login.php ” >
Exigir ip SEUIP
Exigir ip SEUIP2
< / FilesMatch >
Desative a visualização de diretórios pelo navegador:
Esta regra impede que invasores visualizem o conteúdo da pasta do seu site.
Options All -IndexesDesativar XML-RPC
Isso desativará trackbacks e ping-backs, entre outros incômodos, mas lembre-se de que também pode impedir que os usuários façam comentários no site.
<FilesMatch "xmlrpc.php">
require ip YOURIP
</FilesMatch>Adicionar cabeçalhos de segurança
Os cabeçalhos HTTP são uma parte importante da segurança do site. Eles podem ajudar a protegê-lo contra ataques XSS , injeções de SQL , clickjacking e outros ataques.
Você pode adicionar cabeçalhos de resposta HTTP personalizados usando a diretiva Header em seu arquivo .htaccess .
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options nosniff
Header always set Strict-Transport-Security "max-age=31536000; includeSubdomains; preload"
</IfModule>Não permitir modificações de arquivo em wp-config.php
Adicione o seguinte código ao seu arquivo wp-config.php para evitar que invasores instalem componentes indesejados ou mal-intencionados em seu ambiente.
define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', false);Esse recurso restringirá sua capacidade de instalar e atualizar componentes do painel do WordPress. Então, você vai querer corrigir regularmente seus plugins e temas via WP-CLI para garantir que eles estejam atualizados.
Desative a execução do PHP em /wp-content/uploads
Adicione o seguinte ao seu arquivo /wp-content/uploads/.htaccess para desabilitar a execução do PHP.
<FilesMatch *.php>
require ip YOURIP
</FilesMatch>Lembre-se de que, em alguns ambientes de site, isso pode interromper o site; portanto, verifique se há problemas de formatação que possam ocorrer posteriormente.
Resumo sobre WordPress é seguro?
Embora o núcleo do WordPress receba atualizações frequentes e tenha uma política de segurança de software padrão, há muitas maneiras de fortalecer a instalação para aumentar a segurança do seu site WordPress. Isso inclui manter atualizações regulares para corrigir vulnerabilidades conhecidas, estabelecer uma rotina regular de backup, usar senhas exclusivas fortes em todas as suas contas e restringir o acesso às suas páginas de administração e login.
E no caso de você não conseguir corrigir ou atualizar regularmente seu site WordPress, considere aproveitar um firewall de aplicativo da Web para proteger virtualmente contra vulnerabilidades conhecidas.
