WordPress seguro: 10 dicas essenciais

O WordPress é o CMS (Content Management System) mais popular. Utilizado por inúmeros sites da internet, possui várias atualizações e um código aberto que facilitar a integração de novas funcionalidades. Neste artigo separei 10 dicas para que ter seu WordPress seguro contra as tentativas mais comuns dos hackers.

10 dicas para um WordPress seguro

 

1. Banco de Dados

• O WordPress por padrão vem com o prefixo "wp_" em sua instalação.
• Por prevenção, crie rotinas de backup periódicas e automáticas do banco de dados. Nós indicamos a ferramenta SBackup.

2. Usuários e senhas

• Utilize sempre senhas com letras maiúsculas e minúsculas, números e caracteres especiais;
• Não use nomes de usuários comuns, como por exemplo: admin, manager;
• Sempre remova usuários que não são mais utilizados;

3. Hospedagem

• Desabilite o acesso por FTP em seu servidor. Deixe apenas o acesso por SSH ou SFTP;
• Configure as permissões de pastas e arquivos conforme a documentação de segurança do Wordpress;
• Instale o Fail2Ban no Servidor e Configure o plugin WP Fail2Ban;

4. Atualização

Mantenha seu WordPress, temas e plugins sempre atualizados. Nas atualizações várias correções relacionadas a segurança são implementadas. Saiba mais sobre porque deve atualizar o WordPress.

5. Diga não ao Google quando necessário

Com a correta configuração do arquivo robots.txt você consegue evitar a indexação de alguns conteúdos que são sensíveis para o site. Abaixo segue um exemplo do que desabilitar na indexação do Google para deixar seu Wordpress seguro:

 Useragent: *
 Disallow: /feed/
 Disallow: /trackback/
 Disallow: /wpadmin/
 Disallow: /wpcontent/
 Disallow: /wpincludes/
 Disallow: /xmlrpc.php
 Disallow: /wp

6. Exclua arquivos desnecessários

Determinados arquivos do WordPress irão expor informações sobre a plataforma. Os seguintes arquivos devem ser sempre excluídos:

• /wpconfigsample.php
• /readme.html
• /license.txt
• /wpadmin/install.php

7. Temas e Plugins, saiba escolher

Por ser uma ferramenta open source, vários desenvolvedores criam soluções. Mas nem tudo que é desenvolvido para o WordPress é feito de maneira segura. Sempre verifica a classificação, comentários e faça testes em um ambiente de homologação antes de colocar o plugin ou tema em produção. Nunca pirateie um plugin ou tema pago, pois, além de ser uma prática ilegal, a versão pirateada pode não estar atualizada com novas correções, principalmente relacionadas à segurança.

8. Proteja seu painel

Restrinja o acesso do painel de administração para evitar tentativas de quebrar sua senha por ataques de força bruta.

9. Coloque um certificado SSL

Os certificados SSL deixam o seu site seguro. É o famoso HTTPS. Apesar de ser mais comum utilizar certificados SSL em sites que exigem transações financeiras, como internet banking e e-commerce, este recurso pode ajudar a lhe proteger contra tentativas de invasão. Ele consome mais banda do que o usual, então, caso não seja possível implementar para todo o site, coloque um SSL pelo menos para o diretório do painel administrativo do WordPress (wp-admin).

10. Plugins interessantes

Para ajudar na segurança do WordPress existem vários plugins que podem ser utilizados, assim como o WP Fail2Ban informado neste artigo. Confira a lista de Dica: 4 plugins de segurança para o WordPress que podem te ajudar nesta atividade.