Segurança WordPress: confira 25 dicas para deixar o seu site seguro

Para garantir a segurança do WordPress, é importante fazer backups com frequência, proteger o login do site, manter plugins e temas atualizados, dificultar o acesso ao banco de dados, entre outras medidas. Esses cuidados são frequentemente negligenciados, principalmente, em blogs, mas são fundamentais em todos os tipos de site.

Atualizado em: 10/02/2023

Precisando de conteúdo para sua empresa? Encontre os melhores escritores em WriterAccess!

Se você chegou até este post, já deve entender a importância de um site de qualidade para uma empresa, a começar pela escolha de uma plataforma apropriada para que você possa fazer a sua gestão.

Com segurança, o WordPress é o CMS mais utilizado no mundo, mas é preciso tomar alguns cuidados para protegê-lo de ameaças.

Independentemente do tipo, sites de todo o mundo podem ser prejudicados por malwares, spams, robôs maliciosos e ataques de hackers. Isso pode ser ainda mais grave quando esse é o principal canal de comunicação e venda das empresas. 

Pensando nisso, reunimos 25 dicas de segurança no WordPress para blindar o seu site contra ataques e até possíveis equívocos de profissionais, que podem significar grandes prejuízos. Confira!

Continue a leitura e confira!


    Faça o download deste post inserindo seu e-mail abaixo

    Não se preocupe, não fazemos spam.

    O WordPress é seguro?

    Antes de listar as dicas de segurança para o WordPress, é importante refletir um pouco sobre as características desse CMS. De acordo com estatísticas da W3Techs, o WordPress está por trás de cerca de 43% dos sites da web (63%, se considerarmos apenas aqueles que utilizam CMSs).

    É, de longe, o gerenciador de conteúdo mais utilizado no planeta. Em segundo lugar, temos o Shopify, com apenas 3.7% de market share, seguido pelo Wix, com 2,5%.

    Uma das razões desse enorme sucesso se deve às diversas facilidades de SEO da plataforma, incluindo características estruturais e a qualidade dos seus plugins. O WordPress também sai na frente por ser um projeto open source com uma enorme comunidade ativa, fornecendo melhorias e correções constantemente.

    Portanto, o WordPress é seguro, mas é preciso gerenciá-lo adequadamente para garantir o máximo de proteção. Se, por um lado, a sua popularidade comprova a qualidade dos seus recursos, por outro, ela também o torna o alvo principal de ameaças. Além disso, como qualquer outra plataforma digital, ele também tem suas vulnerabilidades.  

    Quais são as principais vulnerabilidades do WordPress?

    Tal como vários outros projetos de código aberto, o WordPress entrega muita liberdade ao usuário. Isso é ótimo, principalmente, na customização de sites e serviços, mas também traz mais responsabilidades em termos de segurança e gerenciamento.

    As vulnerabilidades mais importantes do CMS, e que merecem bastante atenção, são:

    • ataques de força bruta: com poucas proteções nativas de login, o acesso ao site fica vulnerável a robôs, que tentam inúmeras combinações de usuário e senha para invadir os sites;
    • malwares: por permitir a instalação livre de plugins e temas de fontes desconhecidas, é fácil encontrar ferramentas infectadas;
    • cross-site scripting (XSS): tais como malwares, scripts JavaScript maliciosos que coletam dados de usuários podem ser encontrados em plugins e temas;
    • ataques DDoS: o WordPress não conta com proteções nativas para ataques hackers que sobrecarregam o site com tráfego falso ou manipulado;
    • phishing: assim como outras plataformas, o WordPress pode ser usado para gerar páginas e emails falsos, que buscam roubar dados pessoais de usuários.

    Felizmente, todas essas vulnerabilidades podem ser contornadas com a ajuda de plugins e configurações, tanto no site quanto no serviço de hospedagem

    Outro ponto importante a ressaltar é que a comunidade do WordPress é bastante engajada e atenta a essas ameaças. Plugins e temas problemáticos são denunciados com frequência.

    Por isso, é importante acompanhar fóruns e blogs que trazem novidades sobre o CMS, como o próprio Blog da Rock.

    Por que devo me preocupar com a segurança do WordPress?

    Há quem pense que os cuidados com a segurança do WordPress são uma preocupação apenas para e-commerces, plataformas de serviços e outros negócios que realizam transações financeiras ou coletam informações de usuários.

    De fato, sites que processam compras e que tratam dados pessoais usando estrutura própria merecem atenção redobrada, pois, nesse caso, a responsabilidade se estende aos seus clientes. A LGPD (Lei Geral de Proteção de Dados Pessoais), por exemplo, exige que esses sites adotem medidas de proteção cabíveis e informem seus métodos de segurança aos usuários.

    Entretanto, mesmo que seu blog ou site institucional não colete dados pessoais ou movimente dinheiro, ele também pode ser alvo de ataques. Muitos invasores, por exemplo, não se interessam pela informação do site, mas pelo host. Invadem a hospedagem do site para roubar processamento, guardar arquivos ilegais ou criar sites maliciosos.

    Quem tem bons resultados em SEO também precisa tomar cuidado. Embora essas ações ainda não sejam tão comuns no Brasil, hackers podem ser contratados para prejudicar sites que rankeiam bem, a fim de favorecer algum concorrente nas SERPs.

    Sendo assim, independentemente da natureza do seu projeto de Marketing de Conteúdo, a segurança do WordPress deve ser prioridade!

    25 dicas de segurança do WordPress para proteger o seu site!

    Esclarecidos os pontos principais sobre o assunto, é hora de conferir 25 dicas de segurança do WordPress para deixar a proteção do seu site em dia. Anote aí!

    1. Realize backups com frequência

    Pensemos no seguinte exemplo: você tem um site corporativo com muitos conteúdos, que incluem desde páginas que descrevem os seus produtos ou serviços até lista de clientes que tenham comprado de você e artigos produzidos no seu blog. E se, de repente, tudo simplesmente sumisse? O que você faria?

    Sim, isso é possível, por razões como um problema com o seu servidor ou até uma invasão feita no seu site por um malware ou concorrente. Nunca duvide disso.

    Sabia que os adversários da Microsoft, por exemplo, costumavam procurar informações sobre a empresa no lixo que ela despeja? Por isso, trate de realizar backups no seu site de forma periódica para que todas as informações estejam seguras.

    2. Faça login com o seu email

    Ao criar um site em WordPress, você pode optar por fazer o login com um nome de usuário ou email. Para que a segurança seja maior, recomendamos que você opte pelo email, e vamos explicar o porquê.

    Nomes de usuários são de fácil previsibilidade, o que torna mais simples alguém descobri-los, sobretudo se for o seu primeiro nome. Emails são mais difíceis, ainda que sejam de uso corporativo, pois somente os membros da sua empresa e pessoas com quem você estabelece contato o conhecerão. Por isso, se você tiver outro email, que poucas pessoas conheçam, é mais adequado usá-lo.

    3. Mude a URL de login do seu site

    Todos os sites em WordPress trazem, como padrão, a URL https://endereçodoseusite.com/wp-admin. Quando hackers tentam invadir o seu site, eles tratam de fazer o login nessa página à força, usando um GWDb (sigla para Guess Work Database).

    Isto é, um banco que contém diversas combinações de nomes de usuários e senhas. Quando uma delas combina, o invasor consegue entrar no seu site.

    Por isso a necessidade de substituir a URL e eliminar as chances de que isso aconteça. Para fazê-lo, utilize o plugin iThemes Security, que permite trocar o /wp-admin/ para qualquer outro de sua escolha.

    4. Deixe o arquivo wp-config.php mais protegido

    O wp-config.php é um arquivo que tem as informações sobre a instalação do WordPress, sendo o mais importante do seu site. Portanto, ele deve ser o mais protegido de ataques virtuais.

    Fazer essa proteção para que o arquivo fique inacessível para eles é bem simples. Você só precisa mover o arquivo wp-config.php para um nível superior dentro do seu diretório raiz.

    A arquitetura do WordPress permite que o servidor acesse o arquivo, mesmo que ele esteja em outro lugar acima. Invasores não o verão, mas o WordPress sim.

    5. Aumente a proteção do diretório wp-admin

    Por falar em wp-admin, devemos lembrar que ele é o principal diretório do seu site em WordPress, de modo que ele pode ser totalmente corrompido se essa parte for violada. Por isso, trate de protegê-lo com senha para que somente o administrador do site consiga acessá-lo.

    Isso faz com que a página de login, além de exibir nome de usuário e senha, passe a pedir também uma segunda senha para que o acesso seja concedido.

    Existem plugins, como o AskApache Password Protect, voltados para proteger essa área. Mas, você também pode optar por uma autenticação de dois fatores, sobre a qual falaremos a seguir.

    6. Use autenticação de dois fatores

    A segurança não deve estar restrita ao site, mas também, do sistema que você utiliza para fazer login — ele deve estar protegido da mesma forma. Uma das maneiras é pela autenticação de dois fatores.

    Essa autenticação traz a necessidade de um login duplo no seu site para garantir uma maior segurança. Assim, evita que invasores entrem no sistema e tenham acesso aos seus dados.

    Além de login e senha, ao utilizar a autenticação de dois fatores, você também precisa inserir um código. Ele pode ser informado a você por email, SMS ou outra forma, tal como explicamos neste post dedicado ao assunto.

    7. Tenha um certificado SSL

    Um certificado SSL é fundamental para tornar o seu site seguro, garantindo proteção também aos seus visitantes (especialmente, se precisarem inserir informações pessoais e de cartão de crédito). Ainda, aumenta as chances de indexação, pois sites seguros fazem parte dos critérios de rankeamento do Google.

    Para conseguir o certificado, você deve fazer contato com o seu servidor de hospedagem — muitos o oferecem gratuitamente. Após ativá-lo, é preciso que você o aplique no WordPress usando o plugin Really Simple SSL, tal como explicamos aqui neste artigo.

    8. Mantenha os temas e plugins sempre atualizados

    Um dos primeiros passos que você toma ao criar um site em WordPress é escolher o tema que será aplicado. Também chamado de template, existem diversos tipos que você pode selecionar para deixar o site com o visual da sua empresa.

    Além do design, os temas também trazem funcionalidades que atendem às suas necessidades. Porém, para que funcione bem, é preciso que as atualizações dele sejam instaladas sempre que forem lançadas. Do contrário, o template pode perder parte de suas funções e não funcionar adequadamente.

    O mesmo vale para os plugins que atribuem ao site funções específicas, tais como formulário de contato, botões de redes sociais, criação de banners para geração de leads etc. Toda vez que houver alguma atualização deles, é preciso instalá-las para que nenhum problema ocorra com eles.

    9. Tenha cuidado na escolha dos temas

    Para que você tenha um site profissional com foco em resultados, é recomendável a contratação de um tema premium. Por mais que o WordPress conte com uma diversidade de temas gratuitos, geralmente, eles são voltados para sites ou blogs pessoais.

    Porém, deixamos um alerta: compre o template, não caia no erro de baixá-lo por vias piratas. Além de ser ilegal, você coloca o seu site em risco, pois o arquivo pode vir com alguma espécie de vírus ou malware e prejudicar o seu site.

    Além disso, ao adquirir o tema dessa forma, você também não tem direito à equipe de suporte premium, caso tenha algum problema ou precise de ajuda para adequar o template à maneira que o seu site precisa.

    10. Use senhas fortes na plataforma

    Ao definir sua senha para acessar o dashboard do WordPress, o próprio CMS aponta se ela é fraca, média ou forte. Por mais que algumas sejam mais fáceis de se lembrar, opte sempre por senhas fortes e que não sejam muito óbvias.

    Afinal, certos acessos devem ficar restritos internamente na empresa. Também, é preciso se proteger de invasões que ocorram por conta do uso de senhas fracas.

    O próprio WordPress gera senhas automáticas a caráter de sugestão. Mas, caso você queira criar a sua, procure usar letras maiúsculas e minúsculas, assim como números e algum caractere especial.

    11. Exclua arquivos desnecessários

    Sabe qual é o tempo máximo que as pessoas costumam esperar para que um site carregue? Três segundos. Portanto, se o seu site leva mais tempo do que isso para exibir seu conteúdo completo, saiba que muitas pessoas podem estar abandonando-o antes de realizar qualquer tipo de conversão.

    Um dos fatores que tornam os sites lentos é o excesso de arquivos dentro dele: imagens, documentos, vídeos, entre outros.

    Claro que alguns precisam desses arquivos para proporcionar uma melhor experiência para seus visitantes. Mas aqueles que não são necessários, é recomendável que você exclua para otimizar a velocidade do site.

    12. Previna-se contra spam

    Verdade seja dita: ninguém gosta de spam. Ele é comumente visto nas mensagens de email, embora também possa ser praticado nas redes sociais. Mas, você deve estar se perguntando: como ele pode ser aplicado em sites?

    A forma mais comum acontece em resposta aos seus formulários de contato e nos comentários do blog. Por essa razão, é recomendável contar com ferramentas dedicadas de comentários, como o Disqus.

    Contudo, hoje em dia, as técnicas de spam estão mais avançadas, de modo que invadem o seu site e injetam códigos que são exibidos apenas para os bots do Google, o que prejudica a sua indexação na SERP. Isso reforça a necessidade de um site seguro para que ese tipo de ameaça não ocorra.

    13. Procure impedir o registro de novos usuários

    Um site WordPress pode ter diversas pessoas envolvidas, de acordo com as suas funções de trabalho. Mas é necessário que esses acessos sejam cuidadosamente escolhidos. Confira abaixo as funções do WordPress:

    • Super Admin: tem acesso a todas as funções do site;
    • Administrador: tem acesso a quase todas as funções;
    • Editor: é quem pode publicar conteúdos tanto nas páginas quanto no blog;
    • Autor: também pode criar conteúdos, mas gerir apenas as suas publicações;
    • Colaborador: pode produzir conteúdos, mas não pode publicá-los;
    • Assinante: consegue fazer a gerência somente de seu próprio perfil.

    Assim, conceda os acessos às pessoas que estejam de acordo com cada função. Afinal, os principais dados digitais da sua empresa são geridos pelo WordPress, de maneira que o perfil de administrador deve ficar restrito a poucas pessoas.

    14. Determine as permissões certas para arquivos e pastas

    Além dos usuários, é importante também que pastas e arquivos tenham permissões restritas, em prol de preservar a segurança digital do seu site. Imagine o quão prejudicial seria se uma pessoa com acesso a eles, mesmo que por acidente, excluísse um arquivo essencial e prejudicasse a performance da página.

    Desse modo, certifique-se de que arquivos essenciais para o site do seu negócio, como o wp-config.php, debug.log, entre outros, também fiquem restritos ao acesso de apenas pessoas envolvidas na administração do site.

    15. Tenha certeza de que o debug está bem protegido

    O arquivo de debug coleta as informações mais sensíveis referentes ao seu site. Por isso, elas devem ficar o mais ocultas possíveis para que não sejam vistas por invasores.

    Se você ou um desenvolvedor que trabalha para o seu negócio precisar usar o debug em algum momento, certifique-se de que o arquivo debug.log tenha uma permissão segura.

    16. Mude o prefixo da tabela de banco de dados

    O banco de dados é usado para armazenar e organizar as informações sobre o seu site. O prefixo da sua tabela é representado por wp-table. A exemplo do wp-admin, é recomendável que você o altere para um nome diferente.

    Afinal, usar o prefixo padrão faz com que o banco de dados fique vulnerável para ataques. Se você não souber como fazer essa mudança dentro do site, há plugins que executam essa função.

    O WP-DBManager é um deles assim, como o iThemes Security, que mencionamos anteriormente. Antes de fazer essa ou qualquer modificação no seu banco, recomendamos que faça uma cópia de segurança do site.

    17. Conecte o servidor de forma correta

    Ao configurar o seu site com o servidor, dê preferência ao uso de SFTP ou SSH. Apesar de o FTP ser o preferido, sobretudo por desenvolvedores, os dois citados contam com mais recursos de segurança.

    Dessa forma, você consegue transferir os arquivos ao host de um jeito mais seguro. Na realidade, há servidores de hospedagem que oferecem esses serviços, de modo que você não precise executá-los manualmente.

    18. Remova plugins que não são utilizados

    Plugins desativados não apenas consomem espaço desnecessário, como também, funcionam como portas de entrada para softwares maliciosos, principalmente, quando não são atualizados.

    Não faz sentido manter instalada uma ferramenta que você não utiliza, mesmo que pretenda voltar a usá-la posteriormente. A maioria dos plugins permite restaurar dados de instalações anteriores sem muitos problemas.

    19. Desative o XML-RPC

    XML-RPC é uma antiga tecnologia de comunicação, baseada em XML e HTTP. Era usada para permitir a comunicação entre aplicações de plataformas com linguagens de programação diferentes. É essa solução que permite, por exemplo, publicar um conteúdo no site usando o editor do aplicativo móvel do WordPress.

    O problema é que a autenticação usada nesse tipo de sistema é muito fraca e pode facilitar acessos não autorizados, publicações indevidas e até ataques DDoS. O ideal, portanto, é desabilitar esse recurso usando um plugin, como o Disable XML-RPC

    20. Desative a numeração de usuários

    O WordPress numera os usuários cadastrados no site. Essa informação pode ser descoberta por hackers e robôs, ao vasculharem dados de autores, por exemplo. Como o usuário número 1 é, geralmente, o administrador principal em boa parte das instalações, isso pode ajudar invasores a direcionar ataques e aumentar suas chances de acesso.

    O ideal, portanto, é desabilitar essa função do CMS por meio de um plugin, como o Stop User Enumeration, caso o seu site tenha mais de um usuário.

    Você deve saber, porém, que numerações anteriores não são removidas, sendo necessário cadastrar novos usuários após a configuração. 

    21. Utilize reCAPTCHA e Honeypot no login

    Uma forma de adicionar uma camada adicional de segurança ao login do seu site é configurar o reCAPTCHA do Google e o outros recursos Honeypot (armadilhas para robôs), como campos de preenchimento opcional invisíveis.

    Vários plugins do WordPress permitem configurar esses e outros recursos para ataques de força bruta. Uma sugestão popular é o Loginizer.

    22. Cuidado com quem compartilha acesso ao seu serviço de hospedagem

    Não apenas os sites, mas as plataformas de hospedagem das empresas costumam ser abertas para vários tipos de profissionais, como programadores, web designers e profissionais de SEO.

    É fundamental ser cauteloso na hora de conceder acessos a terceiros e gerenciar as permissões de forma adequada. Quase todas as funções do seu site WordPress podem ser acessadas pelo painel de usuário da hospedagem.

    23. Previna o hotlinking

    Os hotlinks tratados aqui nada têm a ver com os links de afiliado da Hotmart, ok? Falamos, nesse caso, de imagens e outros conteúdos do seu site exibidos em outros endereços, como uma espécie de embed, porém, sem autorização.

    Além de utilizar seus materiais de forma indevida, esse recurso faz com que o conteúdo rode a partir do processamento do seu servidor.

    Para resolver o problema manualmente, basta usar um cliente FTP ou o gerenciador de arquivos da sua hospedagem para colar o código, a seguir, no arquivo .htacess do site.

    RewriteEngine on
    RewriteCond %{HTTP_REFERER} !^$
    RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?example.com [NC]
    RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]
    RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yahoo.com [NC]
    RewriteRule \.(jpg|jpeg|png|gif)$ - [F]
    

    Para quem não tem muito conhecimento em gerenciamento de sites, porém, o ideal é usar um plugin de segurança para fazer isso.

    24. Configure o .htaccess para aumentar a segurança do WordPress

    Além de prevenir hotlinking, é possível realizar outros ajustes no arquivo .htacess para proteger seu site contra ataques de força bruta, injeções de SQL, XSS e roubo de dados sensíveis.

    Para cada um desses objetivos, é preciso acessar o arquivo e adicionar as diretivas correspondentes. O problema é que elas podem mudar, a depender das configurações do servidor e do seu site.

    É, portanto, uma configuração mais avançada, que requer conhecimento técnico. Além disso, é sempre recomendável fazer backup antes de configurar o .htacces

    Caso não tenha familiaridade com esse tipo de ajuste, você pode solicitá-lo ao suporte da sua hospedagem ou procurar plugins de segurança que simplificam a operação.

    25. Use um plugin de segurança

    O jeito mais fácil de cuidar da segurança no WordPress é instalar um plugin especializado. Uma das opções mais completas (e com mais recursos gratuitos) é o All-In-One Security (AIOS), a mais recente versão do clássico All in One WP Security & Firewall.

    Quase todas as dicas que apresentamos estão incluídas em seu pacote de recursos de proteção. Só tome cuidado ao utilizar mais de uma ferramenta, pois determinados recursos, como bloqueio de ataques por força bruta, não podem ser manipulados por dois serviços diferentes.

    Enfim, ao seguir estas 25 dicas de segurança no WordPress, você conseguirá deixar o site da sua empresa mais protegido. Assim, terá mais tranquilidade para o sucesso do seu negócio no Marketing Digital.

    No entanto, como você deve ter percebido, algumas dessas dicas requerem um pouco mais de conhecimento de desenvolvimento para web, o que pode incluir mexer no HTML do seu site. Aproveite para conhecer mais sobre o uso dessa linguagem.

    Compartilhe
    facebook
    linkedin
    twitter
    mail

    CONTEÚDO CRIADO POR HUMANOS

    Encontre os melhores freelancers de conteúdo no WriterAccess.

    CONTEÚDO CRIADO POR HUMANOS

    Encontre os melhores freelancers de conteúdo em WriterAccess.

    Inscreva-se em nosso blog

    Acesse, em primeira mão, nossos principais posts diretamente em seu email

    Compre conteúdo de alta qualidade com a WriterAccess.

    Tenha acesso a mais de 15.000 freelancers especializados em redação, edição, tradução, design e muito mais, prontos para serem contratados.

    Fale com um especialista e amplie seus resultados de marketing.

    A Rock Content oferece soluções para produção de conteúdo de alta qualidade, aumento do tráfego orgânico e conversões, e construção de experiências interativas que transformarão os resultados da sua empresa ou agência. Vamos conversar.