Por Ivan de Souza

Analista de Marketing na Rock Content.

Publicado em 24 de abril de 2020. | Atualizado em 11 de setembro de 2020


Para dar início ao Marketing Digital, um dos primeiros passos é criar um site que reúna todas as informações sobre a sua empresa. Mas como ter segurança no WordPress, uma das plataformas mais utilizadas para o desenvolvimento de páginas institucionais, blogs e e-commerces? Algumas dicas simples podem ajudar nessa tarefa!

Se você chegou até este post, já deve entender a importância de um site para a estratégia digital de uma empresa, a começar pela escolha de uma plataforma apropriada para que você possa fazer a gestão dele.

O WordPress é uma das mais utilizadas. Mas, como ter certeza de que o site é bem protegido? Como ter uma boa segurança no WordPress?

Ataques de hackers são cada vez mais comuns e, quando prejudicam o seu site, isso pode ser letal, pois ele é o principal canal online para gerar novos negócios. Por essa razão, apontamos aqui as 17 dicas que você deve conhecer para deixar o seu site em WordPress totalmente seguro:

  1. Realize backups com frequência
  2. Faça login com seu email
  3. Mude a URL de login do seu site
  4. Deixe o arquivo wp-config.php mais protegido
  5. Aumente a proteção do diretório wp-admin
  6. Use autenticação de dois fatores
  7. Tenha um certificado SSL
  8. Mantenha os temas e plugins sempre atualizados
  9. Tenha cuidado na escolha dos temas
  10. Use senhas fortes na plataforma
  11. Exclua arquivos desnecessários
  12. Previna-se contra spam
  13. Procure impedir o registro de novos usuários
  14. Determine as permissões certas para arquivos e pastas
  15. Tenha certeza de que o debug está bem protegido
  16. Mude o prefixo da tabela de banco de dados
  17. Conecte o servidor de forma correta

Continue a leitura e confira!

1. Realize backups com frequência

Pensemos no seguinte exemplo: você tem um site corporativo com muitos conteúdos, que incluem desde páginas que descrevem os seus produtos ou serviços até lista de clientes que tenham comprado de você e artigos produzidos no seu blog. E se, de repente, tudo simplesmente sumisse? O que você faria?

Sim, isso é possível, por razões como um problema com o seu servidor ou até uma invasão feita no seu site por um malware ou concorrente. Nunca duvide disso.

Sabia que os adversários da Microsoft, por exemplo, costumavam procurar informações sobre a empresa no lixo que ela despeja? Por isso, trate de realizar backups no seu site de forma periódica para que todas as informações estejam seguras.

2. Faça login com o seu email

Ao criar um site em WordPress, você pode optar por fazer o login com um nome de usuário ou email. Para que a segurança seja maior, recomendamos que você opte pelo email, e vamos explicar o porquê.

Nomes de usuários são de fácil previsibilidade, o que torna mais simples alguém descobri-los, sobretudo se for o seu primeiro nome. Emails são mais difíceis, ainda que sejam de uso corporativo, pois somente os membros da sua empresa e pessoas com quem você estabelece contato o conhecerão. Por isso, se você tiver outro email, que poucas pessoas conheçam, é mais adequado usá-lo.

3. Mude a URL de login do seu site

Todos os sites em WordPress trazem, como padrão, a URL http://endereçodoseusite.com/wp-admin. Quando hackers tentam invadir o seu site, eles tratam de fazer o login nessa página à força, usando um GWDb (sigla para Guess Work Database).

Isto é, um banco que contém diversas combinações de nomes de usuários e senhas. Quando uma delas combina, o invasor consegue entrar no seu site.

Por isso a necessidade de substituir a URL e eliminar as chances de que isso aconteça. Para fazê-lo, utilize o plugin iThemes Security, que permite trocar o /wp-admin/ para qualquer outro de sua escolha.

4. Deixe o arquivo wp-config.php mais protegido

O wp-config.php é um arquivo que tem as informações sobre a instalação do WordPress, sendo o mais importante do seu site. Portanto, ele deve ser o mais protegido de ataques virtuais.

Fazer essa proteção para que o arquivo fique inacessível para eles é bem simples. Você só precisa mover o arquivo wp-config.php para um nível superior dentro do seu diretório raiz.

A arquitetura do WordPress permite que o servidor acesse o arquivo, mesmo que ele esteja em outro lugar acima. Invasores não o verão, mas o WordPress sim.

5. Aumente a proteção do diretório wp-admin

Por falar em wp-admin, devemos lembrar que ele é o principal diretório do seu site em WordPress, de modo que ele pode ser totalmente corrompido se essa parte for violada. Por isso, trate de protegê-lo com senha para que somente o administrador do site consiga acessá-lo.

Isso faz com que a página de login, além de exibir nome de usuário e senha, passe a pedir também uma segunda senha para que o acesso seja concedido. Existem plugins, como o AskApache Password Protect, voltados para proteger essa área. Mas, você também pode optar por uma autenticação de dois fatores, sobre a qual falaremos a seguir.

6. Use autenticação de dois fatores

A segurança não deve estar restrita ao site, mas também, do sistema que você utiliza para fazer login — ele deve estar protegido da mesma forma. Uma das maneiras é pela autenticação de dois fatores.

Essa autenticação traz a necessidade de um login duplo no seu site para garantir uma maior segurança. Assim, evita que invasores entrem no sistema e tenham acesso aos seus dados.

Além de login e senha, ao utilizar a autenticação de dois fatores, você também precisa inserir um código. Ele pode ser informado a você por email, SMS ou outra forma, tal como explicamos neste post dedicado ao assunto.

7. Tenha um certificado SSL

Um certificado SSL é fundamental para tornar o seu site seguro, garantindo proteção também aos seus visitantes (especialmente, se precisarem inserir informações pessoais e de cartão de crédito). Ainda, aumenta as chances de indexação, pois sites seguros fazem parte dos critérios de rankeamento do Google.

Para conseguir o certificado, você deve fazer contato com o seu servidor de hospedagem — muitos o oferecem gratuitamente. Após ativá-lo, é preciso que você o aplique no WordPress usando o plugin Really Simple SSL, tal como explicamos aqui neste artigo.

8. Mantenha os temas e plugins sempre atualizados

Um dos primeiros passos que você toma ao criar um site em WordPress é escolher o tema que será aplicado. Também chamado de template, existem diversos tipos que você pode selecionar para deixar o site com o visual da sua empresa.

Além do design, os temas também trazem funcionalidades que atendem às suas necessidades. Porém, para que funcione bem, é preciso que as atualizações dele sejam instaladas sempre que forem lançadas. Do contrário, o template pode perder parte de suas funções e não funcionar adequadamente.

Powered by Rock Convert

O mesmo vale para os plugins que atribuem ao site funções específicas, tais como formulário de contato, botões de redes sociais, criação de banners para geração de leads etc. Toda vez que houver alguma atualização deles, é preciso instalá-las para que nenhum problema ocorra com eles.

9. Tenha cuidado na escolha dos temas

Para que você tenha um site profissional com foco em resultados, é recomendável a contratação de um tema premium. Por mais que o WordPress conte com uma diversidade de temas gratuitos, geralmente, eles são voltados para sites ou blogs pessoais.

Porém, deixamos um alerta: compre o template, não caia no erro de baixá-lo por vias piratas. Além de ser ilegal, você coloca o seu site em risco, pois o arquivo pode vir com alguma espécie de vírus ou malware e prejudicar o seu site.

Além disso, ao adquirir o tema dessa forma, você também não tem direito à equipe de suporte premium, caso tenha algum problema ou precise de ajuda para adequar o template à maneira que o seu site precisa.

10. Use senhas fortes na plataforma

Ao definir sua senha para acessar o dashboard do WordPress, o próprio CMS aponta se ela é fraca, média ou forte. Por mais que algumas sejam mais fáceis de se lembrar, opte sempre por senhas fortes e que não sejam muito óbvias.

Afinal, certos acessos devem ficar restritos internamente na empresa. Também, é preciso se proteger de invasões que ocorram por conta do uso de senhas fracas.

O próprio WordPress gera senhas automáticas a caráter de sugestão. Mas, caso você queira criar a sua, procure usar letras maiúsculas e minúsculas, assim como números e algum caractere especial.

11. Exclua arquivos desnecessários

Sabe qual é o tempo máximo que as pessoas costumam esperar para que um site carregue? Três segundos. Portanto, se o seu site leva mais tempo do que isso para exibir seu conteúdo completo, saiba que muitas pessoas podem estar abandonando-o antes de realizar qualquer tipo de conversão.

Um dos fatores que tornam os sites lentos é o excesso de arquivos dentro dele: imagens, documentos, vídeos, entre outros. Claro que alguns precisam desses arquivos para proporcionar uma melhor experiência para seus visitantes. Mas aqueles que não são necessários, é recomendável que você exclua para otimizar a velocidade do site.

12. Previna-se contra spam

Verdade seja dita: ninguém gosta de spam. Ele é comumente visto nas mensagens de email, embora também possa ser praticado nas redes sociais. Mas, você deve estar se perguntando: como ele pode ser aplicado em sites?

A forma mais comum acontece em resposta aos seus formulários de contato e nos comentários do blog. Por essa razão, é recomendável contar com ferramentas dedicadas de comentários, como o Disqus.

Contudo, hoje em dia, as técnicas de spam estão mais avançadas, de modo que invadem o seu site e injetam códigos que são exibidos apenas para os bots do Google, o que prejudica a sua indexação na SERP. Isso reforça a necessidade de um site seguro para que ese tipo de ameaça não ocorra.

13. Procure impedir o registro de novos usuários

Um site WordPress pode ter diversas pessoas envolvidas, de acordo com as suas funções de trabalho. Mas é necessário que esses acessos sejam cuidadosamente escolhidos. Confira abaixo as funções do WordPress:

  • Super Admin: tem acesso a todas as funções do site;
  • Administrador: tem acesso a quase todas as funções;
  • Editor: é quem pode publicar conteúdos tanto nas páginas quanto no blog;
  • Autor: também pode criar conteúdos, mas gerir apenas as suas publicações;
  • Colaborador: pode produzir conteúdos, mas não pode publicá-los;
  • Assinante: consegue fazer a gerência somente de seu próprio perfil.

Assim, conceda os acessos às pessoas que estejam de acordo com cada função. Afinal, os principais dados digitais da sua empresa são geridos pelo WordPress, de maneira que o perfil de administrador deve ficar restrito a poucas pessoas.

14. Determine as permissões certas para arquivos e pastas

Além dos usuários, é importante também que pastas e arquivos tenham permissões restritas, em prol de preservar a segurança digital do seu site. Imagine o quão prejudicial seria se uma pessoa com acesso a eles, mesmo que por acidente, excluísse um arquivo essencial e prejudicasse a performance da página.

Desse modo, certifique-se de que arquivos essenciais para o site do seu negócio, como o wp-config.php, debug.log, entre outros, também fiquem restritos ao acesso de apenas pessoas envolvidas na administração do site.

15. Tenha certeza de que o debug está bem protegido

O arquivo de debug coleta as informações mais sensíveis referentes ao seu site. Por isso, elas devem ficar o mais ocultas possíveis para que não sejam vistas por invasores.

Se você ou um desenvolvedor que trabalha para o seu negócio precisar usar o debug em algum momento, certifique-se de que o arquivo debug.log tenha uma permissão segura.

16. Mude o prefixo da tabela de banco de dados

O banco de dados é usado para armazenar e organizar as informações sobre o seu site. O prefixo da sua tabela é representado por wp-table. A exemplo do wp-admin, é recomendável que você o altere para um nome diferente.

Afinal, usar o prefixo padrão faz com que o banco de dados fique vulnerável para ataques. Se você não souber como fazer essa mudança dentro do site, há plugins que executam essa função.

O WP-DBManager é um deles assim, como o iThemes Security, que mencionamos anteriormente. Antes de fazer essa ou qualquer modificação no seu banco, recomendamos que faça uma cópia de segurança do site.

17. Conecte o servidor de forma correta

Ao configurar o seu site com o servidor, dê preferência ao uso de SFTP ou SSH. Apesar de o FTP ser o preferido, sobretudo por desenvolvedores, os dois citados contam com mais recursos de segurança.

Dessa forma, você consegue transferir os arquivos ao host de um jeito mais seguro. Na realidade, há servidores de hospedagem que oferecem esses serviços, de modo que você não precise executá-los manualmente.

Enfim, ao seguir estas 17 dicas de segurança no WordPress, você conseguirá deixar o site da sua empresa mais protegido. Assim, terá mais tranquilidade para o sucesso do seu negócio no Marketing Digital.

No entanto, como você deve ter percebido, algumas dessas dicas requerem um pouco mais de conhecimento de desenvolvimento para web, o que pode incluir mexer no HTML do seu site. Aproveite para conhecer mais sobre o uso dessa linguagem.

100.000 pessoas não podem estar enganadas
Deixe seu email e receba conteúdos antes de todo mundo

Posts relacionados

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *