O WordPress é um dos CMSs mais populares. Está presente em 26% de todos os sites do mundo, proteger o seu site WordPress é essencial para evitar que o seu site seja hackeado.
Além disso, hoje o WordPress tem a maior participação entre os CMS do mercado e está em praticamente 30% de todos os sites do mundo. Devido a sua popularidade, é extremamente visado por invasores, pois além do grande índice de utilização do CMS, existe uma vasto acervo de vulnerabilidades documentadas e relacionadas a diversos plugins e temas utilizados na ferramenta, facilitando assim a ação dos cybercriminosos. Confira abaixo a lista de boas práticas para se prevenir destas ações, prezando a integridade do seu conteúdo.
Recomendamos que antes de tomar qualquer uma das próximas ações recomendadas neste artigo, faça um backup do seu conteúdo e bancos de dados da sua aplicação WordPress.
I. Backups
Primeiramente, vamos começar por falar sobre backup. Muitas pessoas entendem sobre a sua importância, mas acabam não fazendo uma cópia de segurança de seu conteúdo.
Na AngoWeb, fornecemos o backup do seu conteúdo de forma diferenciada, mantendo esse backup por até 21 dias, sendo possível solicitá-lo quando necessário. Caso queira ter um cuidado adicional com o seu conteúdo, e como forma de redundância, o plugin BackWPup disponibilizado no repositório oficial de plugins, pode fazer este trabalho para si.
II. Atualizações
Posteriormente temos as atualizações, que são extremamente importantes para manter o seu site seguro.
Atualizações do WordPress: Mantenha sempre que possível o seu WordPress na última versão disponível. Além de trazer novas funcionalidades, as atualizações também costumam corrigir bugs e eliminar brechas de segurança.
Atualizações de plugins e temas: Busque instalar temas e plugins obtidos de fontes confiáveis. Muitas vezes os plugins e temas obtidos em sites não-confiáveis possuem vulnerabilidades e até mesmo backdoors que poderão ser utilizados futuramente por invasores. Utilize sempre o repositório oficial de plugins do WordPress, wordpress.org/plugins. Os plugins disponíveis no repositório oficial passam por severas avaliações de especialistas na ferramenta, garantindo assim mais segurança no conteúdo disponibilizado. Além desta avaliação, existem diversas regras para que os plugins continuem a ser disseminados através do site oficial, e uma delas é a disponibilização constante de atualizações.
III. Permissões de pastas e arquivos
As permissões dos diretórios e arquivos são, muitas vezes, negligenciadas pelos administradores de diversos sites. Além disso, permissões definidas incorretamente podem abrir um leque de oportunidades para as ações dos invasores. Abaixo, as permissões que devem ser definidas no conteúdo de sua ferramenta:
Conteúdo | Nível de permissão |
Diretórios | 755 |
Arquivos | 644 |
wp-config.php | 600 |
debug.log | 600 |
IV. wp-config.php
Este é o arquivo principal de configuração do WP, ele possui informações essenciais para o funcionamento do CMS, protegê-lo é extremamente importante.
Use permissão 400 ou 600 quando algum plugin ou tema necessitar permissões de escrita no wp-config.php.
Atualize as chaves únicas de autenticação e salts
Utilize chaves únicas diferentes das instaladas por padrão no seu WP. Para isso, acesse api.wordpress.org/salts e substitua as existentes no arquivo.
define('AUTH_KEY', 'A=~2R/I?0Bv125cOvs[$_#+rhe`JOaJigj4U~5H,QRB>SIe.rRtuA_2%@9d9w[u$');
define('SECURE_AUTH_KEY', '=l8lf1~e6<5e}_<-}gS$-|z_ST$<%Ym9`Eq+|!fHu6}jSX_57=v8R-K@ <`;/7(K');
define('LOGGED_IN_KEY', 'iWnZ%V4nvXZx.Aj-p`60I%|J5[hK+%<*FS3!oY^H!ZjY0|Jy119OJzl)ytn[BOqS'); define('NONCE_KEY', ']H*J-k.p~4*p:?y6 LOgJ!S-/h>AQA0+LSXMn}POS3/]qa%l*VcP%B.0FfXt0apY');
define('AUTH_SALT', '{yc|cs,rH[Oa=PI+nRyjC5baK7@8`=j/R5+|PCK,%YD8E^JZF|N/8hJ-E^k#)Tk(');
define('SECURE_AUTH_SALT', '?8/BaVO<*[VnD]=5T2m-VK#s+uytbG(E@3VNEy=EvN4)Xtk/2$HEZh5 ZFB(gn4y'); define('LOGGED_IN_SALT', 'Gy0%2Gq.CEM:Ma(6@{G:EL4-t3J6e/fQ+[w>hWKn{2l&22>[i4>m|HlZ]c|+uu|q');
define('NONCE_SALT', '@JY-f0u<)7|xV.wI/]!8;%PGuHP`x758G6WU-W*Ug^@/*TYv]fpk]01bo<UPtjo_');
V. Banco de dados
Não utilize o prefixo padrão (wp_) nas tabelas do seu banco de dados, pois esta característica pode ser explirada. Portanto opte por um prefixo personalizado.
Além disso, renomeie o usuário admin caso ele ainda seja utilizado.
VI. Exclua arquivos desnecessários
Alguns arquivos disponibilizam informações sobre o CMS instalado, ao qual podem servir de munição para os invasores. Estes arquivos não são utilizados após a ferramenta instalada, sendo assim, é recomendada a exclusão destes arquivos.
Exclua os seguintes arquivos: /wp-config-sample.php, /wp-admin/install.php, /readme.html.
VII. Robots.txt
Alguns conteúdos importantes do seu site não devem ser indexados pelos buscadores, sendo assim insira o conteúdo abaixo no arquivo robots.txt para evitar a indexação destes conteúdos:
User-agent: *
Disallow: /feed/
Disallow: /trackback/
Disallow: /wp-admin/
Disallow: /wp-content/
Disallow: /wp-includes/
Disallow: /xmlrpc.php
Disallow: /wp-
VIII. Varredura com antivírus da AngoWeb
Aqui na AngoWeb, disponibilizamos uma ferramenta de antivírus que faz uma varredura em todo o seu conteúdo e move para quarentena tudo o que for considerado malicioso. Além disso, fizemos uma varredura diária automaticamente no seu conteúdo como medida adicional de segurança.
Para utilizar a ferramenta, acesse o seu painel de controle (cPanel) e encontre a opção Imunify360 na aba Segurança, é aí que você encontra ainda mais informações sobre a utilização da ferramenta.
IX. Proteger página de login
Por fim, preparamos um conteúdo especial sobre esse assunto! Acesse: Proteger a página de login do WordPress.
Se restar dúvidas ou precisar de ajuda, contate-nos via ticket e converse com o nosso suporte.