Dicas de segurança para o WordPress

Vivemos numa era digital em que é inevitável a presença online no formato de um website. Os utilizadores podem usá-lo como bem entenderem, p.ex., para promoção de qualquer produto na Internet, para efeitos de publicidade, no formato de loja online (e-commerce), ou até mesmo como meio de ganhar dinheiro online.

O utilizador está a expor informação na Internet, e é por isso necessário tomar medidas durante a implementação do website de forma a tapar “possíveis” brechas que poderão ser severamente exploradas por pessoas mal intencionadas — os hackers. Quando o website é hackeado, o seu “serviço” sofre um grande golpe financeiro, e acaba mesmo por afetar a sua reputação.

Como o WordPress é um dos CMS mais comum, achamos que devemos ajudá-lo com algumas dicas de segurança para manter o seu website protegido contra possíveis brechas e consequentes intrusões.

Tenha uma palavra-passe forte

Este acaba por ser um conceito obsoleto, porque de nada serve ter uma palavra-passe forte se o mecanismo de segurança e o seu mindset também ele não for o adequado. Mas no WordPress, a forma como a representação da palavra-passe é “armazenada” é criptograficamente segura. Então, já que o WordPress cumpre com a sua parte, você faça o mesmo. Crie uma palavra-passe forte, com mais de nove carateres, um misto de letras, números e carateres especiais! Não crie padrões genéricos, é fácil “adivinhá-los”, pois os humanos são previsiveis. Crie palavras-passe extremamente complexas!

Altere a URL de autenticação

Geralmente, torna-se muito fácil de aceder à página de login dos websites do WordPress. Para tal, basta usar o sufixo “wp-admin” ou “wp-login”. Manter essa página de autenticação padrão faz do trabalho de um hacker uma caminhada num parque. Assim, é preciso alterar a página de login para algo mais complicado como “my_newlogin_page”. Para ajudar a alterar a URL de login pode ser usado o plugin iThemes Security do WordPress.

Mantenha o WordPress atualizado

Um truque comum que os hackers usam para conseguir acesso ao website é p.ex., identificar brechas nas versões mais antigas do software . É por isso que todos os softwares recebem regularmente atualizações para garantir que essas brechas sejam eliminadas. A última atualização feita pelo WordPress é o WordPress 4.9.5 – Security and Maintenance Release, lançada no início de Abril (dia 3). Atualize o seu WordPress agora!

Ative a autenticação em dois passos (2FA)

Nesta feature do WordPress, a segurança do website é aumentada significativamente, pois é adicionada outra etapa ao processo de autenticação. Toda a vez que tentar fazer o login, irá receber um “pin” de uso único (OTP) no seu smartphone ou no seu e-mail. Isto irá impedir que alguém aceda à área de gestão do WordPress.

Obenha um certificado X.509 (HTTPs)

Sempre que entrar num URL de um website, pode verificar que eles começam com “http” ou “https”. Os sites “https” são os que são protegidos com criptografia SSL. Obtenha um certificado digital, ou instale um certificado auto-SSL (ver let’s encrypt).

Tenha cuidado com plugins de terceiros e links perigosos

Precisa de instalar um plugin de um terceiro? Precisa mesmo dele? Antes de o instalar, faça uma pequena pesquisa. Veja com cuidado a avaliação do plugin, os comentários de outros utilizadores, e valide se ele é atualizado regularmente. Tente perceber se o plugin faz mesmo aquilo que era suposto fazer!

Adicione utilizadores cuidadosamente

Se costuma adicionar utilizadores ao seu website, faça-o, mas com regras! Defina políticas de palavras-passe forte, e faça a gestão dos seus utilizadores. Remova os utilizadores que não acedem ao sistema há mais de 6 meses.

Tenha cuidado com as permissões dos diretórios

Se estiver a usar um servidor partilhado de alojamento web, várias pessoas poderão aceder aos ficheiros ou diretórios alojados no servidor. Naturalmente, isso aumenta os riscos de segurança e, portanto, é uma boa opção restringir o acesso a esses ficheiros e diretórios.

Devem ser definidas as seguintes permissões: 755 para diretorias e 644 para ficheiros.

Mantenha o ficheiro wp-config.php seguro

Este ficheiro é considerado por muitos a joia da coroa. A melhor maneira de tornar a vida de um hacker mais difícil é negando-lhes acesso ao ficheiro wp-config.php. Este ficheiro é crucial para a instalação do WordPress. A maneira mais simples de mantê-lo seguro é removê-lo da pasta raiz e movê-lo para uma pasta de nível superior. A ordem de prioridade garantirá que este ficheiro ainda seja acedido pelo WordPress no momento certo, o que manterá as coisas a funcionar sem problemas.

Ocultar a versão do WordPress

Dependendo da maneira como o website foi configurado, o número da versão do WordPress é facilmente visível para os utilizadores. Se um hacker obter a versão do seu website, é a mesma coisa de um ladrão roubar um chaveiro, em que uma das chaves abre o cofre! Existem vários plugins de segurança do WordPress, como o “Wordfence Security”, que podem ajudá-lo a esconder a versão do WordPress.

Bloquear tentativas de autenticação

É de forma natural que a página de autenticação do WordPress está constantemente a sofrer ataques aleatórios de autenticação efetuados por pessoas ou bots na Internet. Já pensou em bloquear determinado endereço de IP quando dali partem p.ex., 3 tentativas de autenticação erradas? Isto pode ser muito útil para evitar males maiores. Veja p.ex., este plugin.

Ah, e não se esqueça. Crie backups regulares, mas não os deixes junto do website. Arquive-os fora do seu alojamento (offsite). Guarde num disco rígido, na Cloud, onde quiser, porque em caso de um ataque bem sucedido irá certamente necessitar desdes ficheiros, que na maioria dos casos, representam a única forma de colocar o seu website novamente no ar.