10 dicas básicas de segurança para WordPress

Segurança para WordPress é um assunto que não precisa ser tão complicado: veja dicas básicas e deixe seu WP seguro contra invasões, vírus, spammers etc!

WordPress é um dos sistemas mais utilizados no mundo em sites, blogs e até mesmo lojas virtuais. E assim como todo sistema, principalmente os mais populares, é sempre visado por hackers, spammers, bots, dentre outros. Felizmente segurança para WordPress não é uma coisa tão complicada assim.

É claro, tudo depende de inúmeros fatores… mas o básico jamais poderá deixar de ser feito, não é mesmo?!

» Siga-me no twitter e assine a newsletter para ler mais novidades!

10 dicas de segurança para WordPress

seguranca para wordpress

Segurança para WordPress: Dicas básicas

Reuni dez dicas básicas para manter seu WordPress seguro. São dicas bem simples, e independente do seu nível de experiência você conseguirá se virar bem!

1. Mantenha tudo atualizado sempre

É a dica de segurança para WordPress mais básica de todas, mas ainda assim muita gente deixa isso pra lá – já fiz manutenção em blogs que não eram atualizados há 3 anos. E olha que mais de uma semana sem atualizar já é preocupante.

O WordPress sempre lança atualizações de segurança, e é importantíssimo manter tudo atualizado sempre. Então, cheque as atualizações pelo menos uma vez por semana.

Saiba mais: Atualização do WordPress, Plugins e Templates

2. Instale e mantenha apenas o necessário

Já deu uma olhada na quantidade de plugins e templates no seu WordPress? Quantos estão sendo realmente utilizados? E dos que estão sendo utilizados, quantos são realmente necessários?

Faça uma limpa e não só desative, mas exclua tudo que não está sendo usado. Alguns plugins e templates não recebem atualizações e podem se tornar vulneráveis depois de um tempo. Além disso, excluindo plugins você também fará uma boa limpa no banco de dados do seu WP.

3. Evite alguns plugins e scripts

Além de instalar só o que for necessário, é importante não instalar o que pode te trazer problemas. Como saber disso? Bom, é bem simples: sempre pesquise sobre o plugin antes de instalá-lo. Se ele está há muitos meses sem atualizações, é melhor procurar outro.

Das experiências que tive, o script Timthumb e os plugins Revolution Slider e Wordfence (que, quem diria, é um plugin de segurança) devem ficar longe do seu WordPress.

4. Não instale templates e plugins piratas

Poderia dar essa dica acima, mas acho que vale um item só pra ela: Sabe aquele plugin ou template pago que você sempre quis e que pode ser baixado gratuitamente em um desses sites de download? Não faça isso.

Além de ser errado por motivos óbvios, as chances de esse plugin ou template estar infectado são enormes.

5. Desative a opção de cadastro no WordPress

A não ser que você tenha uma loja online ou que essa função seja realmente necessária, desative-a. Caso contrário, literalmente qualquer um poderá se cadastrar no seu WP: inclusive bots, spammers e por aí vai. Imagina o estrago!

Para isso, basta ir em Configurações e desmarcar a opção “Qualquer pessoa pode se registrar”. Se for necessário deixar essa opção ativa, ao menos utilize um captcha.

6. Mude a url do login

Por padrão, o endereço de login do seu WP é seusite.com.br/wp-login.php, sendo que através do seusite.com.br/wp-admin também é possível fazer login no painel. Isso é um padrão do sistema, e por ser um padrão, todo hacker ou bot sabe disso e vai ter mais facilidade em tentar invadir o WordPress – principalmente se a opção de cadastro, conforme explicado acima, estiver ativa.

Parece complicado fazer isso, mas não é. Em uma pesquisa rápida você encontrará diversos plugins que fazem a alteração do endereço de login. Escolha o que mais se adequar para seu projeto!

7. Autenticação em dois fatores

A autenticação ou login em dois fatores é algo que vem crescendo bastante nos últimos tempos visando mais segurança na hora de logar em um sistema. Hoje provavelmente você já é obrigado a utilizar isso em pelo menos um sistema, então por que não incluir em seu WordPress?

Há alguns plugins que fazem isso, e aqui vai uma lista de recomendações do próprio WordPress: Two Step Authentication (reparem em um plugin que está ali no meio – a ironia!)

8. Escolha nomes e senhas seguros: “admin” jamais!

Por padrão, “admin” é o nome criado para o usuário administrador no WordPress. Bom, no item 6 já falamos sobre os riscos de “coisas padrões”, então não sejamos repetitivos: não utilize o usuário “admin”!

Crie nomes de usuários mais complexos, utilizando iniciais maiúsculas e até mesmo espaços ou números. Em relação às senhas, quanto mais complexa, melhor. Se for muito fácil de lembrar ou de escrever, você tem um problema!

9. Cuidado de onde acessa

Não adianta só manter o WP seguro: seu ambiente também deve estar. Se você faz login em seu WordPress utilizando um computador público (ou uma rede pública e insegura), um sistema desatualizado, com vírus ou coisas do tipo, seu WordPress poderá ser comprometido também.

Já tive clientes que tiveram o WordPress invadido por terem logado (no WP ou no FTP) em computadores infectados. Então, cuidado!

10. Escolha uma hospedagem confiável

Por fim, você pode construir um muro em volta do seu WordPress, mas não adiantará nada se ele estiver em um terreno com terremotos constantes.

Uma hospedagem segura faz toda a diferença – tanta diferença que muitos desses itens podem ser até desconsiderados dependendo de qual hospedagem você escolher. Assim como todos os itens podem ser desconsiderados se você escolher a hospedagem errada, porque nada vai fazer diferença. Alguns de meus clientes já tiveram diversos problemas (além de problemas com segurança para WordPress) com as hospedagens Locaweb, UOL Host, Hostgator e GoDaddy. Por outro lado, só vi elogios para PortoFácil e Via Hospedagem. Outra boa alternativa é a empresa de hospedagem de sites WOWF, claro!

Bônus: iThemes Security

Falando em plugins, se você gostaria de deixar seu WordPress seguro, o iThemes Security é, de longe, a melhor opção de plugin de segurança para WordPress.

Ele é bem simples de instalar e de configurar, mas em breve farei um post sobre ele por aqui. As configurações padrões já são o suficiente para deixar seu WordPress mais seguro. Ah! E é possível utilizá-lo para fazer o que foi dito nos itens 5 e 6 da lista.

Mantenha seu WordPress seguro!

Essas foram minhas dicas – segui-las não vai garantir que seu WordPress fique 100% seguro, afinal, todo sistema está sujeito a vulnerabilidades. Mas é como eu disse no início do post: o básico jamais poderá deixar de ser feito, não é mesmo?!

Se você tiver mais dicas, deixe nos comentários! Se você precisar de ajuda, fale comigo! :D