O WordPress é um CMS cada vez mais utilizado no mundo, por vários motivos: é gratuito, flexível, open source e bastante completo.
Por ser bastante adotado, é um alvo muito evidente para ataques e descoberta de vulnerabilidades. É preciso estar atento para evitar problemas, hacking, defaces, etc.
Por que um site feito em WordPress pode ser infectado?
A infecção normalmente ocorre através de brechas de segurança no próprio site, através de senhas fracas para acessar o admin do seu site, permissões de arquivo equivocadas, ou ainda a instalação de temas e plugins do WordPress desatualizados.
Sendo assim, vamos deixar aqui algumas dicas valiosas para ter o WordPress rodando de forma segura no seu site.
Atualize o WordPress
O sistema do WordPress e seus plugins sofrem atualizações que adicionam nova funcionalidade e também fecha brechas de seguranças que poderiam ser utilizados pelos invasores para ter controle do blog. Por isso é muito importante manter o blog atualizado de forma a evitar que eles se aproveitem das vulnerabilidades.
Os sites https://wordpress.org/ (oficial em inglês) ou https://br.wordpress.org/ (Versão para o Brasil) são fontes confiáveis para você baixar suas atualizações. Evite baixar em fontes desconhecidas;
Veja informações sobre a atualização clicando aqui.
Plug-ins desnecessários / desatualizados
Se você não está usando algum plug-in, ou ele não possui atualização para a sua versão do WordPress, desabilite-o e delete sem pensar. Isso é de extrema importância, pois muitos hackers têm invadido blogs e sites WordPress através de vulnerabilidades conhecidas em plug-ins, principalmente os mais antigos e populares.
Plugin de Segurança
Use um plugin para gerenciar a segurança do seu WordPress, a Hostnet indica o WP Cerber Security
Esse plugin tem muitas opções úteis como:
- Alterar o endereço de administração do WordPress
- Listas as tentativas de invasão
- Informar se existe algum arquivo malioso
- Permitir bloquear IP de acesso
A versão paga desse plugin ainda faz uma limpeza no site caso ele esteja infectado.
Clique AQUI para verificar as configurações recomendadas para esse Plugin.
Permissão de escrita em diretórios
Geralmente usuários do WordPress acreditam ser mais fácil aplicar permissão de escrita para todos os diretórios de uma única vez ou para a raíz do site, entretanto se esquecem ( ou não sabem ) que essa ação pode abrir vulnerabilidades para a gravação nos diretórios. Por isso, recomendamos que aplique permissão de escrita apenas para diretórios que realmente necessitam.
Usuário para administração
Na maioria dos blogs com WordPress o usuário padrão é o “admin”, o que torna mais fácil a invasão por força bruta. Caso o seu usuário seja esse, recomendamos que altere para outro usuário menos sugestivo.
Para fazer isso crie um novo usuário e dê a ele a permissão de “Administrador”. Em seguida, logue-se com este novo usuário e apague o usuário admin.
Para tornar o blog mais seguro, é recomendável que a senha seja forte, com duas ou mais palavras, números e caracteres especiais. Por exemplo *H0$tN3t*
Endereço de administração
Normalmente a administração do WordPress é feita pelo endereço site.com.br/wp-admin
Recomendamos que altere essa URL de administração, clique AQUI e veja como fazer isso.
Bloquear o endereço de administração por IP
Faça isso apenas caso seu IP seja fixo.
Crie um arquivo .htaccess dentro da pasta de administração do WordPress, normalmente a pasta de administração é a: wp-admin
Informe o código abaixo:
Order Deny,Allow
Deny from all
Allow from xx.xx.xx.xx
No lugar de xx.xx.xx.xx informe o seu IP.
Bloqueie o arquivo xmlrpc.php
Ultimamente têm aumentado o número de ataques ao arquivo xmlrpc.php, que é instalado por padrão por Sistemas de Gerenciamento de Conteúdo (CMS) como WordPress. O xmlrpc.php é uma API que permite que conteúdos sejam postados por meio de aplicativos remotos, incluindo o próprio app oficial do WordPress, por exemplo.
Caso o seu WordPress não necessite desta integração, recomendamos desativar o acesso externo à este arquivo.
Para efetuar esta configuração, edite o arquivo .htaccess e inclua a configuração abaixo:
<Files xmlrpc.php>
order allow,deny
deny from all
</Files>
Anti vírus
Mantenha seu sistema operacional atualizado, passe regulamente antivírus em sua máquina, e não salve sua senha em seu computador.