Na verdade, esta plataforma de publicação é agora utilizada por mais de 27,5% dos 10 milhões de sites. Outras plataformas como Joomla e Drupal simplesmente empalidecem em comparação. O que torna o WordPress tão amplamente suportado é sua facilidade de uso, tornando possível construir um site totalmente funcional em um curto período de tempo.

Mas o fato de o WordPress ser tão difundido também o torna um alvo para hackers.

Quaisquer vulnerabilidades de segurança podem tornar seu site suscetível a ataques mal-intencionados e até mesmo comprometer os dados do usuário no processo. Esse tipo de ataque pode ser absolutamente devastador para qualquer empresa.

Um site comprometido não apenas reduz a confiança de seus visitantes, mas também pode colocar suas páginas na lista negra do Google. Na verdade, um passo que o Google já está tomando em direção a uma web mais segura é exibir um aviso para os usuários do Chrome se eles estiverem tentando visitar um site potencialmente inseguro ou enganoso (por exemplo, phishing ou malware).

Qualquer pessoa que visite seu site (caso tenha sido atacado) pode se deparar com o seguinte:

A importância da segurança do site não pode ser enfatizada o suficiente.

Basta um único ataque para interromper completamente as vendas e potencialmente colocar seu site na lista negra do Google. A remoção do seu site certamente é possível, mas você precisará solicitar uma revisão manual, que pode levar vários dias ou até semanas para ser resolvida, dependendo do problema. Uma solução muito melhor é tomar medidas para proteger seu site.

Aqui, analisamos detalhadamente como você pode proteger e manter seu site WordPress seguro.

Mantenha o WordPress atualizado

Atualizações para WordPress são críticas.

Uma avaliação de mais de 11.000 sites infectados descobriu que 75% estavam no WordPress. Mais surpreendente, porém, é o fato de que mais de 50% desses sites estavam desatualizados. A atualização para a versão mais recente não apenas fornece acesso a recursos mais recentes, mas também corrige falhas de segurança conhecidas que os invasores podem explorar.

Na verdade, essas vulnerabilidades de segurança se tornam conhecidas quando novas atualizações são disponibilizadas. Aqui está um exemplo de log de segurança para uma versão atualizada do WordPress:

Essas informações estão disponíveis abertamente à medida que novas atualizações são lançadas. Mas se você não atualizar imediatamente, deixará seu site aberto a ataques. Sempre atualize para a versão mais recente para manter seu site seguro contra vulnerabilidades recém-descobertas. Se houver alguma atualização disponível, você verá uma notificação na parte superior do seu painel:

Versões mais recentes do WordPress permitem que você atualize facilmente com o clique de um botão. Lembre-se de que seu site será colocado em modo de manutenção por um breve período até que a atualização seja concluída. A atualização leva apenas alguns minutos, mas quando terminar, você não precisará fazer mais nada.

Não quer atualizar manualmente seu site todas as vezes?

As notificações podem ser bastante irritantes. Mas atualizar seu WordPress é uma das maneiras mais fáceis de manter seu site seguro. Se você não quer se preocupar se seu site tem a versão mais recente, você pode configurar atualizações automáticas com alguns ajustes simples.

Abra o arquivo wp-config.php e adicione a seguinte linha a ele:

define('WP_AUTO_UPDATE_CORE', true);

Você também pode habilitar atualizações automáticas de plugins adicionando a seguinte linha ao mesmo arquivo:

add_filter( 'auto_update_plugin', '__return_true' );

E adicione esta linha para habilitar atualizações para temas:

add_filter( 'auto_update_theme', '__return_true' );

Adicionar essas linhas garantirá que seu site seja atualizado sem exigir nenhuma outra ação. Se você é alguém que simplesmente não se incomoda com atualizações ou notificações, definitivamente desejará configurar atualizações automáticas para garantir que seu site esteja sempre atualizado.

Proteja a Área Administrativa

Não importa o quão seguro seja algo, qualquer pessoa pode obter acesso facilmente se tiver as ferramentas certas ou se os proprietários forem negligentes. Com o WordPress, a área administrativa é o principal alvo dos hackers.

Siga estas etapas para manter esta página segura:

Use uma senha forte

Se você usar uma senha fraca (por exemplo, “12345", “senha” etc.), você colocará seu site em maior risco, pois os invasores podem usar scripts automatizados para força bruta. Isso significa tentar repetidamente uma senha até que uma finalmente funcione. Mas usar uma senha forte que contém uma combinação de números e símbolos torna quase impossível até mesmo o crack dos programas mais sofisticados.

Use uma ferramenta como o Strong Password Generator para criar uma senha forte e segura para o seu site WordPress:

A força bruta de uma senha como essa levaria anos ou até décadas para um programa de computador decifrar. A desvantagem, porém, é que uma senha forte é difícil de lembrar. Mas a compensação definitivamente vale a pena se isso significa impedir que invasores obtenham acesso ao seu site. Felizmente, há vários gerenciadores de senhas disponíveis que você pode usar para armazenar sua senha.

Alterar seu nome de usuário

Ao instalar o WordPress pela primeira vez, você será solicitado a inserir um nome de usuário.

Os invasores não poderão acessar seu painel, a menos que tenham seu nome de usuário e senha. Você pode facilmente bloquear tentativas de força bruta simplesmente usando um nome de usuário mais exclusivo. Portanto, não use “admin” ao escolher um nome de usuário.

Limitar tentativas de login

Como mencionado anteriormente, os invasores podem usar programas de força bruta para entrar em seu site. No entanto, existem plug-ins disponíveis, como o Login LockDown, que permitem limitar as tentativas de login de um endereço IP específico. Se mais de algumas tentativas não forem bem-sucedidas, esse usuário será bloqueado.

Renomeie sua página de login

Finalmente, outra forma de proteger a área de administração é mover a página de login completamente. O painel é normalmente acessado a partir de arquivos www.yoursite.com/wp-admin. Um problema flagrante, porém, é que os hackers sabem que simplesmente anexar ” /wp-admin” a um site WordPress lhes dará acesso à página de administração.

O Protect WP-Admin resolve esse problema permitindo que os webmasters personalizem a URL do painel de administração:

Proteger a área de administração seguindo estas etapas pode reduzir e bloquear bastante os ataques automatizados ao seu site.

Habilitar autenticação de dois fatores

A autenticação de dois fatores adiciona uma camada adicional de segurança, tornando ainda mais difícil para os invasores obter acesso à sua conta. O login não requer apenas um nome de usuário e senha, mas também um código de autorização adicional que normalmente é enviado por SMS para um dispositivo móvel.

Mesmo que um invasor de alguma forma adivinhe seu nome de usuário e senha, ele não conseguirá acessar sua conta sem o código de autorização. Baixe e instale o plug-in do Google Authenticator para configurar facilmente a autenticação de dois fatores em seu site:

Além de poder usar o aplicativo Google Authenticator para verificação, o plug-in também oferece opções adicionais para autenticação de dois fatores, como verificação de e-mail e chamada telefônica. A autenticação de dois fatores também pode ser usada se seu site tiver vários usuários.

Use .htaccess para limitar o acesso a arquivos cruciais

Você pode fortalecer ainda mais a segurança em seu site WordPress com o arquivo .htaccess. Este arquivo é usado principalmente no WordPress para otimização de sites, como reescrever URLs para ser mais amigável ao usuário e ao mecanismo de pesquisa. Mas também pode ser usado para melhorar a segurança do seu site.

O arquivo .htaccess normalmente é encontrado na pasta raiz e pode ser acessado por meio de um cliente FTP ou cPanel. Existem também vários plugins disponíveis, incluindo SEO by Yoast, que permite acesso direto a partir do painel.

Aqui estão várias maneiras de proteger seu site usando o arquivo .htaccess:

Ocultar wp-config.php

O arquivo wp-config.php é padrão em todas as instalações, mas também contém informações confidenciais, como chaves de segurança e detalhes de conexão do banco de dados para o seu site. São detalhes que você certamente não quer que caiam em mãos erradas. A melhor solução é ocultar totalmente esse arquivo e torná-lo inacessível.

Oculte o arquivo wp-config.php adicionando o seguinte código ao arquivo .htaccess:

<files wp-config.php>
order allow,deny
deny from all
</files>

Impedir a navegação no diretório

Devido à forma como o WordPress implementa sua estrutura de arquivos, é totalmente possível que os visitantes acessem as pastas e arquivos do seu site simplesmente navegando para yoursite.com/wp-content/uploads. Portanto, você deve evitar a navegação no diretório, pois os invasores podem usar essas informações para fins nefastos.

Adicione a seguinte linha ao seu arquivo .htaccess:

Options All -Indexes

Os arquivos PHP são extremamente importantes para proteger, pois os hackers podem usar esses arquivos para injetar código malicioso para infectar um site. Adicione o seguinte código ao seu arquivo .htaccess para impedir o acesso ao seu plug-in e aos arquivos PHP do tema:

RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*.php)$ - [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*.php)$ - [R=404,L]

Apenas adicionar essas alterações ao seu arquivo .htaccess melhorará a segurança do seu site WordPress e tornará ainda mais difícil para os invasores obter acesso ao seu site. Independentemente disso, não existe um site totalmente seguro, pois novas vulnerabilidades são constantemente descobertas e exploradas.

É por isso que você precisa ter um plano de backup no caso de as coisas piorarem.

Faça backup regularmente do seu site Mantenha backups regulares

Não importa quantas medidas de segurança você tome, seu site ainda pode estar vulnerável.

Embora o WordPress já exista há mais de uma década, a equipe de desenvolvimento está constantemente identificando e corrigindo problemas de segurança. Sem mencionar que quaisquer novos temas ou plugins que você instalar também podem ter explorações que ainda não foram corrigidas.

É por isso que é uma boa ideia fazer backup regularmente do seu site. Dessa forma, você pode restaurar rapidamente seu site e minimizar quaisquer perdas se ele for retirado do ar por um ataque.

Você deve certificar-se de que o backup do seu site seja feito regularmente e também salvo na nuvem. Se o seu computador estiver comprometido, você poderá acessar esse backup e restaurá-lo de outro dispositivo. Recomendamos o uso de uma solução automatizada como o BackupBuddy.

A maioria das soluções de backup requer uma assinatura paga. Mas se você confia em seu site para o seu negócio, pagar vale a pena apenas pela tranquilidade. Caso seu site seja derrubado devido a um ataque, você pode trabalhar com seu provedor de hospedagem e facilmente reverter seu site para uma versão anterior com um backup.

Conclusão

Embora o próprio WordPress seja relativamente seguro, adicionar temas, plug-ins e códigos personalizados aumenta a probabilidade de uma vulnerabilidade de segurança que os hackers podem (e fazem) explorar. A menos que você tome certas medidas de segurança agora, seu site pode ser um alvo em potencial.

É importante observar que nenhum sistema é completamente seguro. Mas existem precauções que você pode tomar para reduzir bastante as chances de ser afetado por um ataque mal-intencionado.

Siga as etapas descritas aqui para fortalecer a segurança do seu site WordPress.