Segurança em site WordPress: boas práticas

Vamos falar sobre boas práticas de segurança, ou seja, ações (gratuitas) que você pode ter para fortificar o seu site e minimizar invasões de hackers.

Para isso, você precisa entender a linha de pensamento que encontramos no WordPress.org: não existe sistema perfeito de segurança. Você não consegue eliminar os riscos de invasão, mas pode reduzir esses riscos consideravelmente.

Com isso em mente, é muito importante lembrar que você não pode contar com a segurança e ter sempre um backup. Você faz backup com plugins, que reúnem o conteúdo do site, e baixa os arquivos para salvar em outros lugares – de preferência, em uma nuvem, como Dropbox, Google Drive ou Onedrive da Microsoft, para não correr risco de perder o site e seu computador quebrar no mesmo dia. Teremos um episódio com passo a passo para fazer backup em breve.

Se você leu o artigo sobre hospedagem voltada para WordPress, vai se lembrar do meu caso. Meu site pessoal foi invadido não por alguém que me odiava, ou porque era um site grande e influente, mas porque tem gente criando robô para automatizar a invasão a sites em WordPress. Atualmente, mais de um terço da internet usa essa plataforma, então assim como tem os especialistas “do bem”, tem os especialistas “do mal” que invadem vários sites por dia para colocar links para outros sites – que podem ser chamados de “maliciosos”.

Eu não fiz esse artigo para causar pânico, nem paranoia. Algo que eu gostei de ler enquanto pesquisava foi que metade da batalha pela segurança na internet é a educação. Vamos começar com o seu serviço de hospedagem: eles falam sobre segurança? Oferecem versões atualizadas do sistema operacional do servidor, do sistema da base de dados e do PHP? A primeira iniciativa que você pode tomar é conferir a segurança do seu servidor.

Em seguida, pense no acesso ao painel do site. Quem tem esse acesso? Só você? Uma equipe? De onde vocês acessam seu site? São redes seguras, ou tem chance de alguém estar espionando a sua conexão? Quanto mais usuários, maior a chance de quem está usando a “força bruta” acertar um nome de usuário e uma senha, entrar no seu site e tomar conta.

Mesmo que você não possa controlar os acessos da equipe inteira, você pode dar o mínimo de privilégios possível. Se lembra do artigo sobre as configurações do WordPress? Um usuário pode ser “assinante”, “contribuidor”, “autor”, “editor” ou “administrador”. Se for possível só ter um administrador do seu site, é melhor.

  • assinante só pode gerenciar o próprio perfil;
  • contribuidor pode escrever posts e mexer no que criou, mas não pode publicar;
  • autor pode escrever e publicar;
  • o editor pode mexer e publicar, tanto posts próprios como os de outras pessoas;
  • o administrador pode mexer em tudo do site.

A próxima dica parece contradizer a última, mas você não deve publicar artigos ou posts com o usuário do administrador. É melhor criar um usuário para publicar, porque as pessoas podem clicar no link que existe no nome do autor e o nome do usuário vai aparecer no endereço da página. Sabendo o seu usuário, já tem metade do caminho para usar a “força bruta” no seu login, então ao publicar como autor você não está expondo um usuário poderoso de administrador.

A outra metade é a senha, e você precisa de uma forte. A melhor maneira de controlar suas senhas é usar um serviço gerenciador de senhas, mas como isso vai além do WordPress, recomendo esse artigo para ver opções de gerenciador de senha gratuitos. Se você gerencia suas próprias senhas, uma maneira de deixá-las mais fortes é combinar letras maiúsculas e minúsculas com números e caracteres especiais, como !, $, %, *. Sugiro tentar integrá-los a palavras ou frases – por exemplo, substituir um S por um $. Dessa forma, ainda é fácil se lembrar das senhas, mas é mais difícil hackear.

Não adianta cuidar da conexão se o próprio computador estiver vulnerável, então garanta que seu computador esteja protegido, também. Invista em um bom antivírus, estude como cuidar da sua firewall, e só use redes de wi-fi em que você confia.

Mantenha o WordPress e os plugins atualizados, porque as atualizações incluem soluções para problemas de segurança na versão anterior. Por falar em plugins, tome cuidado com plugins e temas externos, que não são de empresas conhecidas. A melhor fonte de temas e plugins é o repositório do WordPress, porque para estar lá eles precisam ser aprovados por uma equipe de colaboradores.

E caso o seu site seja invadido, você pode ter um aliado nos motores de busca. Como eles monitoram a internet 24 horas por dia, muitas vezes eles são os primeiros a avisar que tem algo de errado com o seu site – foi o meu caso.

Então, não se esqueça de ter sempre um backup do seu site; estar a par da segurança do seu servidor; limitar o número de usuários e privilégios deles; não publicar artigos com o usuário do administrador; usar senhas fortes; cuidar da segurança do seu computador e deixar seu site indexado nos motores de busca.

Percebeu que eu não falei de plugin? E quem acompanha o WordPress sem Código já sabe que existe plugin para tudo, exceto fazer café. Teremos um artigo sobre as versões gratuitas dos principais plugins de segurança, mas até lá vcê pode compartilhar esse texto ou o vídeo sobre esse tema no canal do WordPress sem Código no YouTube:

Segurança em site WordPress: boas práticas | WordPress sem Código 2.11

4 comentários em “Segurança em site WordPress: boas práticas”

  1. Pingback: Como plugins de segurança podem proteger seu site WordPress – WordPress sem Código

  2. Pingback: Como criar um servidor local com Xampp para WordPress

  3. Pingback: Como fazer backup de site WordPress com plugin gratuito UpdraftPlus | WordPress sem Código

  4. Pingback: Criar página ou post com Gutenberg | WordPress sem Código

Deixe um comentário

O seu endereço de e-mail não será publicado.