Segurança WordPress: dicas para melhorar sua proteção

Dicas para melhorar a defesa do seu WP (sem plugins!): da instalação segura à manutenção, prevenção e remoção de vírus e malwares. Segurança WordPress é coisa séria!

Por Fabio Lobo, atualizado em 20/07/2020. 3 pessoas falando sobre isso!

WordPress é um dos sistemas mais utilizados no mundo em sites, blogs e até mesmo lojas virtuais. E assim como todo sistema, principalmente os mais populares, é sempre visado por hackers, spammers, bots, dentre outros. Felizmente segurança para WordPress não é uma coisa tão complicada assim.

Mas também não é frescura. Nem de longe!

Fato é que o WordPress se torna muito inseguro quando há falta de manutenção básica por parte do dono do site e uma hospedagem insegura para a instalação.

Uma pesquisa recente não me deixa mentir: 41% dos sites WordPress invadidos foram hackeados por conta de alguma vulnerabilidade de hospedagem.

Além disso, 29% das invasões foram feitas ~graças a problemas de segurança de plugins; já 22% aconteceram por conta de problemas de segurança com o tema utilizado; e 8% dos sites invadidos foram hackeados porque os administradores utilizavam senhas fracas.

Tendo em vista esses números assustadores, fiz o post mais completo que pude com dicas para segurança WordPress. Em resumo, aqui você vai ler:

  • Quais são as dicas para proteger o WordPress de ameaças como invasões e vírus;
  • Quais são os tipos de invasões e problemas de segurança comuns do WordPress;
  • Como remover vírus e malware do WordPress;
  • E a solução para algumas dúvidas comuns a respeito do tema.

Lembrando que eu trabalho na área, então se você achar que é complicado seguir essas dicas, não hesite em entrar em contato.

ilustração do logo WordPress dentro de um escudo

Índice

Dicas de segurança para WordPress

Reuni algumas dicas básicas para que você possa manter seu WordPress protegido. São dicas bem simples, mas algumas dependem de um nível técnico mais elevado. Tenha cuidado, porque qualquer erro pode acabar deixando seu site fora do ar!

1. Mantenha tudo atualizado sempre

É a dica de segurança para WordPress mais básica de todas, mas ainda assim muita gente deixa isso pra lá. Já fiz manutenção em blogs que não eram atualizados há 3 anos. E olha que mais de uma semana sem atualizar já é preocupante.

O WordPress sempre lança atualizações de segurança, e é importantíssimo manter tudo rigorosamente atualizado. Então, verifique se há atualizações pelo menos uma vez por semana.

Como atualizar WordPress, plugins e temas?

printscreen do painel do WordPress com atualizações pendentes para plugins
Exemplo: há 4 plugins com novas atualizações pendentes
  1. Confira se há atualizações: Pelo menos uma vez por semana, faça login em seu WordPress, clique em Atualizações que fica no item Painel no menu principal do seu WordPress. Lá é possível ver se há atualizações pendentes do WordPress e também de plugins instalados e temas;
  2. Faça um backup: Antes de atualizar tudo, faça um backup. Utilize um plugin de sua preferência para facilitar esse processo, ou baixe manualmente via SFTP ou SSH os arquivos do seu site. É importante também que você faça um dump do banco de dados.
  3. Atualize uma coisa por vez: O recomendável é atualizar primeiro os plugins, depois o WordPress e depois seu tema. Para isso, basta clicar nos botões de “Atualizar”, localizados na página citada no primeiro item dessa lista.
  4. Limpe seu cache e teste: Após fazer todas as atualizações, limpe o cache do seu WordPress e também do seu navegador e teste tudo o que foi atualizado. Assim, se alguma coisa estiver fora do lugar, você já estará preparado com um backup.

Lembrando: você deve fazer isso no mínimo uma vez por semana!

Atualizações automáticas

Se você utiliza poucos plugins, e se os plugins instalados não afetam o visual ou estrutura do seu site (como plugins de cache, SEO, otimização de imagens etc), opte por atualizações automáticas.

Caso sua hospedagem já não forneça esse serviço como padrão, basta inserir o código abaixo em seu wp-config.php:

/* Atualizações automáticas do WordPress */
define('WP_AUTO_UPDATE_CORE', true);

/* Atualizações automáticas de plugins */
add_filter('auto_update_plugin', '__return_true');

/* Atualizações automáticas de temas */
add_filter('auto_update_theme', '__return_true');

Confirme se todos os plugins estão recebendo atualizações

Uma vez por ano, veja se todos os plugins que você utiliza receberam atualizações recentes.

Em seu painel WordPress, clique em Plugins para ver sua lista. Em seguida, clique no link “Ver detalhes” localizado em cada plugin. Na janela que abrir, verifique qual foi a última data de atualização.

printscreen do painel do WordPress com um exemplo de plugin atualizado recentemente
Exemplo: a última atualização desse plugin foi há duas semanas, o que é ótimo

Se um plugin fica muito tempo sem receber atualizações do desenvolvedor, muito provavelmente ele foi abandonado. Em casos assim, você deve procurar um plugin semelhante e fazer a substituição, já que um plugin desatualizado pode ficar obsoleto e inseguro num piscar de olhos.

2. Instale e mantenha apenas o necessário

Já deu uma olhada na quantidade de plugins e templates no seu WordPress? Quantos estão sendo realmente utilizados? E quantos desses plugins utilizados são realmente necessários?

Faça uma limpa e não só desative, mas exclua tudo que não está sendo usado.

Alguns plugins e temas não recebem atualizações e podem se tornar vulneráveis depois de um tempo. Além disso, excluindo plugins você também fará uma boa limpeza no banco de dados do seu WP.

Dicas para evitar usar muitos plugins

  1. Estatísticas: Não utilize plugins de estatísticas (contagem de visitas, cliques/faturamentos de anunciantes etc). Tirando a opção de stats do Jetpack, plugins de estatísticas consomem muitos recursos e lotam seu banco de dados. Opte por inserir o código (como o script de acompanhamento do Google Analytics) diretamente no painel do tema (ou em um child theme caso não exista essa opção).
  2. “Tudo-em-um”: Opte por plugins completos para evitar instalar mais de um plugin para complementar. Por exemplo, em vez de instalar um plugin para sitemap, um para schema, um para breadcrumbs e outro para análise SEO, opte por um plugin que já inclua tudo isso.
  3. Evite exageros: O contrário do que foi dito acima também vale. Se você precisa de apenas uma função de um plugin que aparenta ter diversas outras funcionalidades, tente encontrar outro plugin que faça só o que você precisa. Por exemplo, o Jetpack vem com dezenas de funções. Se você utiliza só a opção de formulário de contato, opte por um plugin que ofereça só isso.
  4. Tema completo: Em uma pesquisa com meus clientes, descobri que surpreendentes 38% dos plugins utilizados só estavam instalados por falta de opção no tema que eles tinham, como posts relacionados, inserção de scripts de anunciantes, lazy loading, paginação, dentre outros. Tudo que poderia estar no tema, sem a necessidade de plugins.
    Por isso, quando faço instalações de temas desenvolvidos por mim, removo em média um terço dos plugins que o cliente está usando, substituindo-os por funções nativas do tema que criei. Tenha isso em mente: utilize um tema que seja completo o bastante para evitar excessos de plugins.

Desative o editor de temas e plugins

Se a ideia é manter apenas o que é necessário, você não vai precisar editar códigos. E se você precisar é porque seu tema não tem opções de personalização o suficiente.

O próprio WordPress tem um painel de customização, chamado Customizer ou Personalizar. Através dele você deve conseguir fazer todas as customizações que precisa sem precisar tocar no código fonte do seu site.

Pensando nisso, desativar o file editor do WordPress é garantir que ninguém consiga alterar códigos do seu tema e de plugins quando estiver logado no painel. Para tanto, basta copiar o código abaixo e colar em seu wp-config.php:

/* Desativar o editor de temas e plugins */
define('DISALLOW_FILE_EDIT', true);

3. Cuidado com plugins e scripts inseguros

Além de instalar só o que for necessário, é importante não instalar o que pode te trazer problemas. Como saber disso? Bom, é bem simples: sempre pesquise sobre o plugin antes de instalá-lo.

Se ele está há mais de um ano sem atualizações ou recebe muitas críticas negativas, principalmente envolvendo segurança, é melhor procurar outro.

Das experiências que tive, o script Timthumb e os plugins Revolution Slider, Wordfence (que, quem diria, é um plugin de segurança) e OneSignal devem ficar longe do seu WordPress.

Saiba quais plugins WordPress são inseguros

Antes de instalar um plugin, acesse os links abaixo e veja se o plugin em questão está com algum problema ou tem um histórico recorrente disso:

  • WordPress Security Library: Listão do Jetpack com status de segurança para cada plugin, além de recomendações em geral;
  • Sucuri Labs: Atualizações recentes contendo vulnerabilidades de segurança de plugins e temas para WordPress.

Essas são as formas mais práticas de detectar se um plugin é inseguro.

Temas e plugins não verificados

Evite também baixar plugins de sites desconhecidos ou suspeitos. Prefira sempre o próprio repositório do WordPress para isso. Na dica 4 dessa lista explico como baixar temas e plugins com segurança sem precisar sair do painel do seu WordPress.

Quando você baixa um tema ou plugin de algum lugar desconhecido, não há intermediários para garantir o mínimo de segurança no código desenvolvido.

Por exemplo, tudo o que vai para o repositório do WordPress passa por uma avaliação da comunidade. Se houver algum código malicioso ou captura de dados, por exemplo, o projeto não é publicado.

Em sites pagos, como o ThemeForest, há feedbacks de outros compradores, além do número de vezes que o tema ou plugin foi comprado – o que é uma boa forma de indicar se o projeto é confiável ou não.

Pesquise, pesquise e pesquise!

4. Não instale temas e plugins pirateados / crackeados

Poderia dar essa dica no item acima, mas é tão importante que merece um tópico só pra isso.

Sabe aquele plugin ou template pago que você sempre quis e que pode ser baixado gratuitamente em um desses sites de download? Não faça isso.

Além de ser errado por motivos óbvios, as chances de esse plugin ou tema estar infectado são enormes.

Quem compra (ou rouba) os temas e plugins pagos para crackear e distribuir gratuitamente pode muito bem fazer alterações em seu código-fonte. Essas alterações podem conter scripts maliciosos, anunciantes e até mesmo formas de roubar seus dados, por exemplo.

Quer um tema WordPress ou plugin grátis? Então, não arrisque: baixe-os diretamente do repositório do WordPress.

Como baixar e instalar temas grátis

  1. Em seu painel do WordPress, clique em Aparência;
  2. Em seguida, clique no botão Adicionar Novo;
  3. Você pode fazer uma busca e até mesmo ver os temas em destaque ou populares. Todas as opções são gratuitas.

Como baixar e instalar plugins grátis

  1. Em seu painel do WordPress, clique em Plugins;
  2. Na tela a seguir, clique no botão Adicionar Novo;
  3. Busque o que você precisa ou o nome do plugin. Também há destaques, populares e recomendados. Tudo gratuito.

5. Desative a opção de cadastro no WordPress

printscreen do painel do WordPress com a opção de desativar cadastro de novos usuários
Exemplo: a opção “Qualquer pessoa pode se registrar” deve ser desmarcada

A não ser que você tenha uma loja online ou que a função de cadastro de usuários seja realmente necessária, desative-a. Caso contrário, literalmente qualquer um poderá se cadastrar no seu WP: inclusive bots, spammers e por aí vai. Imagina o estrago!

Para isso, basta ir em Configurações e desmarcar a opção “Qualquer pessoa pode se registrar”.

Se for necessário deixar essa opção ativa, ao menos utilize um plugin de captcha de sua preferência.

Esconda o nome de usuário dos membros

Se você quiser ir um pouco além, pode esconder os nomes de usuários da sua instalação WordPress. Afinal, saber o nome de um usuário já é um atalho para spammers tentarem uma invasão.

Veja se seu tema exibe links de páginas de usuários nos conteúdos, e então remova esses links do código do seu tema. Normalmente é o link que fica no nome do autor, que abre uma página com os posts escritos por ele.

Lembre-se de utilizar um child-theme caso você utilize um tema pronto, ou peça ajuda para seu programador.

6. Proteja seu login

Por padrão, o endereço de login do seu WP é seusite.com.br/wp-login.php, e através do endereço seusite.com.br/wp-admin também é possível fazer login no painel.

Isso é um padrão do sistema – e por ser um padrão, todo hacker e bot conhece.

Ao manter esses endereços na sua instalação WordPress, você acaba facilitando tentativas de login de quem não deveria estar tentando acessar seu painel.

O que fazer? Mude a url de login do seu WordPress, de preferência para uma bem diferente. Assim, quando alguém tentar acessar o wp-login.php (ou até mesmo o wp-admin sem estar logado), vai ver uma página de erro.

Parece complicado fazer isso, mas não é. Basta instalar o plugin WPS Hide Login e escolher um novo endereço de login.

printscreen do painel do WordPress com opções do plugin WPS Hide Login
Exemplo: opções do plugin WPS Hide Login

Desative avisos de erros de login

Outra dica é remover os erros que aparecem na tela de login do seu WordPress.

Por exemplo, quando você erra a sua senha, aparece uma mensagem avisando que a senha está incorreta, certo? Quando você erra o usuário, há a mensagem de que o usuário não existe.

Pra que dar essas dicas para potenciais invasores? Assim eles podem saber o que estão errando – e também o que podem ter acertado. Abra seu functions.php e cole esse código:

/* Desativar avisos de erros de login */
add_filter( 'login_errors', function() {
  return '';
});

Autenticação em dois fatores

A autenticação ou login em dois fatores é algo que vem crescendo bastante nos últimos tempos e traz mais segurança para logar em um sistema.

Hoje provavelmente você já é obrigado a utilizar isso em pelo menos um site ou aplicativo, então por que não incluir em seu WordPress?

Há alguns plugins que fazem isso, entre as recomendações do próprio WordPress está o Two-Factor.

O Jetpack também oferece verificação em duas etapas entre suas funcionalidades.

7. Escolha senhas e nomes seguros: “admin” jamais!

Por padrão, admin é o nome criado para o usuário administrador no WordPress. Bom, na dica 6 já falamos sobre os riscos de padrões de sistemas, então não sejamos repetitivos: não utilize o usuário admin!

Crie um nome de usuário mais complexo, utilizando iniciais maiúsculas e até mesmo espaços ou números. Se você desativar a página de autor como expliquei na dica 5, crie logins com nomes ou palavras que não tenham nada a ver com você.

printscreen do painel do WordPress com opções de dados de usuário
Exemplo: utilize um nome de usuário aleatório

Isso não irá aparecer para os visitantes do seu site desde que você defina um nome para ser exibido publicamente.

Se você já tem um usuário, sugiro criar um novo e apagar o anterior, movendo os posts e páginas de um usuário para o outro. O WordPress automatiza essa opção: ao apagar um usuário, ele pergunta o que fazer com seus conteúdos.

printscreen do painel do WordPress com opções de exclusão de usuário
Exemplo: você pode transferir conteúdos ao excluir um usuário

Em relação às senhas, quanto mais complexa, melhor. Se for muito fácil de lembrar ou de escrever, os hackers agradecem.

Trabalho com internet há mais de uma década e já vi todo tipo de senha – e todo tipo de problema que senhas ruins podem causar. De contas de redes sociais invadidas e alteradas até sites roubados. Sim, roubados!

E sabe o que é pior? Criar senhas seguras nem é difícil. Até mesmo senhas seguras que podem ser facilmente decoradas.

Como criar uma senha segura e decorá-la

É tão fácil que parece até meio bobo.

Antes de mais nada: esqueça senhas como N4ND1N!-!0 – apesar de terem uma mistura de letras, números e caracteres especiais, são fáceis de decifrar.

A senha deve, acima de tudo, ter um amontoado de caracteres que não faça sentido algum.

Bom, pelo menos é o que a gente quer que os outros pensem. Exemplo: a senha 7AYBaBtU$100 significa algo pra você?

Significa para mim. Quer ver?

  • Quantos álbuns de estúdio sua banda favorita lançou? Bom, o Queens of the Stone Age tem 7.
  • Sabe aquela frase marcante que não sai da sua cabeça? Por exemplo, a frase do jogo Zero Wing, All Your Bases are Belong to Us, é inesquecível se você viveu a época desse meme.
  • Por fim, quanto aquele seu amigo está te devendo mesmo? Tem uma pessoa que me deve R$ 100,00 de uma aposta antiga.

Ué, mas por que eu estou comentando coisas aleatórias assim, do nada? Fácil: Há uma senha aí, no meio dessas 3 lembranças. Basta selecionar alguns elementos:

  1. Pegando o número de álbuns, temos o número 7.
  2. As iniciais da frase marcante, temos AYBaBtU.
  3. Por fim, R$ 100,00 que eu sei que nunca vou receber. Vamos usar só a cifra e o valor: $100.

Juntando tudo, temos a seguinte senha de 12 caracteres: 7AYBaBtU$100

4 números, 5 letras maiúsculas, 2 minúsculas e 1 caractere especial. Segundo o Password Check, essa senha levaria 4 séculos pra ser decifrada.

printscreen de página da Kaspersky indicando que minha senha é segura

Resumindo, a minha dica é essa: pegue 3 coisas da sua memória e junte-as da maneira mais simples possível, sem embaralhá-las (o que dificultaria a memorização).

Pronto, você terá uma senha segura e vai se lembrar dela.

Como criar uma senha segura com um clique

Se parar para pensar, em alguns casos você nem precisa lembrar qual é sua senha (como senhas de bancos de dados). Se você utiliza um gerenciador de senhas, não precisa se preocupar tanto em memorizar tudo.

Então, uma senha forte gerada por um computador é o suficiente.

Recentemente desenvolvi um app pra isso, o K_Gasp4m: Com apenas um clique você pode gerar uma senha de 12 caracteres com letras (maiúsculas e minúsculas), números e caracteres especiais.

Também limitei algumas coisas pensando na legibilidade, evitando senhas que podem confundir. Por exemplo, as letras l e I e o número 1 podem ser muito parecidos dependendo da fonte, então esses dois caracteres são descartados.

Por fim, você pode alterar o número de caracteres e remover caracteres especiais.

Além disso, no próprio WordPress há um gerador de senhas seguras, e ele também diz se a senha que você criou é segura ou não.

Basta acessar seu perfil no painel do WordPress e, em Gerenciamento de conta, clique em Gerar senha.

printscreen do painel do WordPress com opção de gerar nova senha
Exemplo: gerador de senhas do WordPress

8. Utilize computadores confiáveis

Não adianta só manter o WP seguro: seu computador também deve ser.

Se você faz login em seu WordPress utilizando um computador público (ou uma rede pública e insegura), um sistema desatualizado, com vírus ou coisas do tipo, seu WordPress poderá ser comprometido também.

Já tive clientes que tiveram o WordPress invadido por terem feito login em um computador de faculdade, por exemplo.

A segurança começa por você. Utilize ambientes seguros e só acesse sites confiáveis. Um vírus no seu computador pode infectar seu site e vice-versa, então fique esperto!

Anti-vírus para WordPress

Se você ou algum membro do seu site precisou logar no painel utilizando um computador, digamos, suspeito, vale a pena instalar o iThemes Security para checar se está tudo certo.

Além disso, altere todas as senhas. Todas, não só as do WordPress: as da sua conta de hospedagem também.

Depois de alguns dias, se o iThemes não apontar nenhum problema, você pode desinstalá-lo. Claro, nenhum “anti-vírus” é 100% preciso, mas o iThemes ajuda bastante em emergências assim.

9. Escolha uma hospedagem confiável

Você pode construir um muro em volta do seu WordPress, mas não adiantará nada se ele estiver em um terreno com terremotos constantes.

Não entendeu a analogia ou só não gostou dela?

Uma hospedagem segura faz toda a diferença – tanta diferença que muitos desses tópicos podem ser até desconsiderados dependendo de qual hospedagem você escolher.

Assim como todos os tópicos podem ser desconsiderados se você escolher a hospedagem errada, porque nada vai fazer diferença.

Alguns de meus clientes já tiveram problemas com segurança para WordPress com algumas hospedagens bem populares. Confira aqui um relatório com as melhores e piores hospedagens para WordPress.

Uma boa hospedagem WordPress deve oferecer…

  1. O básico: uptime acima de 99%, disco SSD, nginx, certificado SSL grátis, transparência sobre recursos em geral, e não hospedar centenas de clientes no mesmo servidor (prática de overselling);
  2. Serviço e suporte especializado em WordPress: os servidores devem estar configurados para instalações WordPress – e a equipe de suporte deve ter experiência com WP também;
  3. Segurança: firewall (WAF com regras específicas para proteção de WordPress) e proteção anti-DDoS;
  4. Atualizações: não adianta se só você manter tudo atualizado – a hospedagem também deve garantir que seus recursos, como PHP, estejam sempre com a versão mais recente;
  5. Backups diários: feitos em servidores próprios para isso, separados dos seus arquivos hospedados;
  6. Menos é mais: você não vai precisar de cPanel ou outros recursos que só contribuem para deixar o servidor mais pesado e lento. Quanto mais “cru” o servidor for, melhor para seu desempenho e segurança;
  7. Diferenciais: wp-content.php fora da raiz, XML-RPC inacessível, arquivos .php na pasta de uploads também inacessíveis e bloqueio de acesso externo ao banco de dados.

Outra coisa: não caia nessa de contratar um plano de hospedagem com muitas vantagens (como ter muito espaço em disco, por exemplo – até mesmo “ilimitado”, o que não existe), se você não vai usar nem metade do que oferecem.

Foque em o que é realmente importante.

Tenha backups à parte

Jamais deixe backups em sua conta de hospedagem. Por quê?! Porque não faria sentido!

Backups devem ser mantidos na nuvem ou em um servidor próprio para isso. Afinal, se você perde acesso à sua conta, se sua hospedagem sai do ar ou simplesmente se – vai que – você apaga tudo sem querer, onde estarão os backups?

Se preferir, utilize plugins de backup: recomendo o VaultPress, que é pago, e o UpdraftPlus, que pode ser integrado com o Dropbox.

10. Reforce a segurança na sua instalação

Por fim, mas não menos importante, você pode alterar e até mesmo remover algumas coisas do WordPress para que ele fique mais seguro.

Além disso, há algumas tarefas que você pode fazer em seu servidor de hospedagem também. Tudo visando proteção para WordPress.

Confira as dicas abaixo, mas não esqueça de fazer um backup de tudo antes de colocar a mão na massa!

Ajustes de segurança no WordPress

  • Sempre que fizer uma instalação do WordPress de forma manual, não se esqueça de gerar as chaves de segurança para seu wp-config.php clicando aqui. As Salt Keys ajudam a reforçar a segurança de dados, como senhas e cookies;
  • Alguns arquivos gerados pelo WordPress são desnecessários. É o caso de readme.txt, license.txt e wp-config-sample.php – todos ficam na raiz e podem ser deletados. Você também pode apagar esses dois arquivos que ficam na pasta wp-admin, mas eles voltam toda vez que o WordPress é atualizado: install.php e upgrade.php.
  • Oculte a versão do WordPress da maneira correta e completa. Primeiro, apague o arquivo readme.txt conforme explicado acima. Depois, cole o código abaixo no functions.php do seu tema:
// Remove a versão do WP no <head> e RSS
function lt_remove_wordpress_version() {
  return '';
}
add_filter( 'the_generator', 'lt_remove_wordpress_version' );

// Remove a versão dos scripts e CSS do seu tema
function lt_remove_asset_version( $src ) {
	if ( strpos( $src, '?ver=' ) ) $src = remove_query_arg( 'ver', $src );
	return $src;
}
add_filter( 'style_loader_src', 'lt_remove_asset_version', 1000 );
add_filter( 'script_loader_src', 'lt_remove_asset_version', 1000 );
  • O wp-config.php normalmente fica na pasta raiz do servidor, como www/seudominio/htdocs/wp-config.php. Mova-o para uma pasta abaixo dessa, que nesse exemplo seria www/seudominio/wp-config.php.
    Não precisa se preocupar com gambiarras ou includes: por padrão, quando o WordPress não encontra o wp-config.php na raiz, ele volta uma pasta. Então, se você seguir essa dica, não vai precisar fazer mais nada: o próprio WP encontrará o arquivo.
    • Nota: antes de fazer isso, consulte o suporte de sua hospedagem. Pode ser que, por algum motivo, esse tipo de alteração não funcione no servidor deles. Ou seja, seu WordPress poderá parar de funcionar.
  • Desative o XML-RPC do WordPress. Ele pode causar vulnerabilidades que facilitam o roubo de seus dados de login e senha. Adicione o código abaixo em no arquivo functions.php do seu tema:
// Desativa o XML-RPC
add_filter( 'xmlrpc_enabled', '__return_false' );
  • Não faça hotlink de imagens (que é copiar o endereço de uma imagem de um site e colar no seu conteúdo – com isso, a imagem será carregada diretamente do servidor do site original, consumindo recursos do mesmo) e evite incorporar códigos de sites desconhecidos. Em ambos os casos você pode ser vítima de redirects e códigos maliciosos.

Melhorias de segurança no servidor

  • Verifique se as permissões de escrita em arquivos e pastas do seu servidor estão com o padrão 0644 para arquivos e 0755 para pastas. Jamais utilize 0777.
  • Se houver algum arquivo .php na pasta de uploads, acredite: ele não deveria estar lá. Tente descobrir de onde ele surgiu, remova-o e desinstale também o tema ou plugin que o inseriu por ali.
  • Caso sua hospedagem não tenha bloqueio de acesso externo a bancos de dados, é recomendável modificar o prefixo das tabelas de banco de dados do seu WordPress. Por padrão elas são criadas com prefixo wp_; crie um novo com letras e números aleatórios, como yg42ujh_. Você deve alterar o prefixo no wp-config.php e no nome das tabelas do banco de dados (normalmente através do phpMyAdmin).
  • Essa não é bem uma melhoria, mas uma dica: se precisar acessar os arquivos do seu servidor, opte por protocolo sFTP e/ou SSH. Nunca faça login em computadores públicos, desconhecidos ou inseguros.
  • Cogite usar Cloudflare. Não faz milagres, mas tem proteção contra Distributed denial-of-service (DDOS) no plano grátis e Web Application Firewall (WAF) em planos pagos, além de SSL gratuito.

Bônus: checklist de segurança para WordPress

banner da checklist

Se você quer deixar seu WordPress seguro da instalação à manutenção, reuni todas as dicas desse post e criei uma checklist de segurança para WordPress.

São diversas dicas separadas por tópicos específicos como pré-instalação, implementações no tema e até mesmo segurança na edição do conteúdo.

Favorite o link e use à vontade! A lista está em formato de checklist e tudo o que você selecionar ficará salvo em seu navegador. Ou seja, você poderá voltar mais tarde e ver se ficou faltando alguma coisa.

Tipos de invasão comuns no WordPress

ilustração de uma porta aberta com código-fonte de um site atrás dela
  1. Backdoors: Uma “porta de acesso” criada por hackers, fazendo com que seja possível instalar scripts maliciosos diretamente em seu servidor. Um backdoor muito comum no WordPress é feito através arquivos .php localizados na pasta wp-content/uploads.
    Melhor prevenção: dicas 1, 3 e 9.
  2. Brute-force login: Tentativas de login por força bruta são feitas através de scripts automáticos que ficam tentando logar em seu WordPress utilizando dados de login e senha fracos.
    Melhor prevenção: dica 6.
  3. Cross-site Scripting, ou XSS: Inserção de um script malicioso normalmente utilizado para roubar dados. É um dos problemas de vulnerabilidade mais comuns (no mundo) e ocorrem quando o tema ou plugin é desenvolvido sem algumas medidas básicas de segurança, como filtros de sanitização.
    Melhor prevenção: dicas 3 e 4.
  4. Denial of Service, ou DoS: Não é uma invasão, mas um ataque que tenta sobrecarregar o servidor que seu WordPress está hospedado, fazendo-o cair. DDoS (Distributed Denial of Service) é um tipo de DoS, que normalmente utiliza computadores de usuários infectados por um malware para fazer os ataques.
    Melhor prevenção: dicas 3, 4 e 9.
  5. Pharma Hacks: Spams de produtos farmacêuticos inseridos a partir da vulnerabilidade de algum plugin, tema, ou do próprio WordPress desatualizado (ou seja, também é um tipo de invasão por backdoor). Costuma inserir conteúdos diretamente no banco de dados e faz com que o WordPress infectado exiba anúncios.
    Melhor prevenção: dicas 1, 3 e 4.
  6. Redirecionamentos maliciosos: São criados através de backdoors, normalmente alterando o .htaccess do seu WordPress, banco de dados ou os próprios arquivos .php de instalação.
    Melhor prevenção: dicas 1, 3, 4 e 9.

Removendo vírus do WordPress

Caso seu WordPress tenha sido invadido e infectado, o ideal é instalar tudo de novo.

Calma: nesse processo, você não perderá conteúdo. A não ser que a invasão tenha sido feia o bastante para afetar seu banco de dados de forma irreversível e não exista nenhum backup recente.

Limpar o WordPress é uma tarefa de prevenção, apenas. Reinstalar sim resolve o problema.

Vou falar mais sobre cada caso abaixo.

Limpeza do WordPress: a prevenção

A limpeza do WordPress é uma tarefa bem simples e que deve ser praticada sempre, mas quase nunca é o suficiente para remover malwares do WordPress – em vez disso, é uma prevenção.

Essa limpeza, basicamente, consiste em deixar seu WP apenas com o necessário. Então, constantemente você deve verificar se não há nenhum plugin ou tema desnecessário “sobrando” em sua instalação.

Algumas hospedagens simplesmente entopem a instalação do WordPress com vários plugins e temas. O que parece muito vantajoso, já que você ficará com diversas opções, pode ser uma dor de cabeça enorme.

Se todos os plugins forem ativados, seu site poderá ficar lento e pesado, com banco de dados cheio… e até mesmo vulnerável.

Se tudo for desativado, mas não excluído, seu site “só” ficará vulnerável. Se você negligenciar as atualizações, aí sim você terá um problema.

Além disso, pode ser que você tenha instalado alguns plugins e temas para alguns testes… e acabou esquecendo de excluí-los (ou então nem sabia da importância disso).

Esses são apenas exemplos de quando uma limpeza faz-se necessária. De qualquer forma, você deve manter seu WordPress o mais limpo possível.

Instale apenas o que for necessário, e exclua totalmente o que não estiver sendo usado.

  • Plugins: Acesse o link Plugins no menu de seu WordPress, desative e exclua o que for dispensável.
  • Temas: Abra a opção Aparência no menu principal do WordPress, e depois em Temas. Passe o mouse em cima de um tema que não está instalado (e que não seja um tema pai caso você esteja utilizando um tema filho), clique em Informações do tema e, em seguida, em Excluir.

Além disso, se você for um usuário mais avançado, faça uma limpeza e otimização no banco de dados também. O plugin WP-Optimize é excelente pra isso. Lembre-se de desinstalá-lo depois do uso!

Reforçando: só desativar um plugin não é o suficiente. Você deve desinstalar também.

Reinstalação do WordPress: a remoção

A reinstalação do WordPress é feita quando não há outro tipo de solução – nesse caso, ideal para remoção de vírus ou correção de arquivos corrompidos.

Se você instalou algum plugin duvidoso, utilizou algum template pirateado, ou simplesmente não manteve tudo atualizado com frequência, os riscos de invasão, bugs e malwares em seu WP são enormes.

Se receber um aviso de sua hospedagem ou perceber você mesmo que há algum script ou arquivo malicioso entre os arquivos do seu WordPress, é hora de fazer uma reinstalação – ou, como costumam falar, “resetar o WordPress”. Ah, e torcer para que o banco de dados não tenha sofrido nenhum dano!

Muitas vezes só deletar ou restaurar o que foi infectado não é o suficiente. É recomendável reinstalar o WordPress e tomar algumas medidas de segurança, como passar um anti-vírus no seu computador ou até mesmo formatá-lo.

A reinstalação do WordPress consiste em fazer um backup do banco de dados, das pastas de uploads, plugins e temas, apagar todos os arquivos do servidor e instalar tudo novamente (restaurando, de preferência, apenas a pasta de uploads).

Isso porque os arquivos dos plugins devem ser baixados novamente no repositório do WordPress, garantindo que eles estejam limpos. Em relação aos temas, o ideal é que sejam baixados de novo também. Se um arquivo infectado for mantido, o problema não será resolvido.

Passo-a-passo para remoção de malware do WordPress

Tempo necessário: 1 hora.

Você precisa ter no mínimo conhecimento técnico intermediário para seguir os passos abaixo. Além disso, escolha um protocolo sFTP (software como FileZilla) ou SSH (linha de comando) e utilize um computador seguro.

  1. Passe um anti-vírus em seu computador

    Tenha certeza de que você está utilizando um computador seguro, livre de vírus.

  2. Faça backups

    Faça uma cópia do banco de dados que seu WordPress utiliza, do arquivo wp-config-sample.php e também copie a pasta wp-content/uploads da sua instalação. Se houver um .htaccess com alguma configuração que você fez, copie-o também. Lembre-se de baixar outros arquivos que você pode ter instalado no site, como o ads.txt.

  3. Valide os backups

    Certifique-se de que o download de todos os itens não foi corrompido. Além disso, para garantir a segurança do WordPress, verifique se há algum código malicioso no banco de dados e nos outros arquivos que você baixou. Se houver arquivos .php na pasta de uploads, delete-os. Limpe tudo!

  4. Baixe o WordPress, plugins e tema novamente

    Acesse o wordpress.org e baixe a última versão do sistema, além dos plugins que estão instalados no seu WordPress. Se você comprou algum plugin no ThemeForest, por exemplo, baixe-o novamente. Mesma coisa para o tema: você deve baixá-lo novamente ou solicitá-lo para seu programador.

  5. Apague a instalação atual

    Apague todos os arquivos de instalação do WordPress, inclusive o que está na raiz.

  6. Crie uma nova instalação

    Faça upload de tudo o que você baixou nos passos 2 e 4. Lembre-se de subir todos esses arquivos para o mesmo local onde estava a instalação que você apagou no passo 5.

  7. Teste tudo

    Se você seguiu os passos corretamente, ao acessar o dashboard da nova instalação do WordPress, todos os conteúdos e imagens estarão abrindo normalmente, e os plugins e tema configurados como antes. Teste tudo, inclusive upload de imagens para verificar se está tudo ok com as permissões de escrita do servidor.

  8. Troque todas as senhas

    Trocar as senhas é uma das maneiras de evitar com que o problema volte a acontecer. Troque as senhas de todos os usuários, e também as senhas de sua hospedagem. Recomendo que você remova membros que não fazem mais parte do site também.

  9. Reforce a segurança do WordPress

    Veja se há atualizações pelo menos uma vez por semana, faça uma limpeza removendo o que não for necessário (plugins, temas não instalados, scripts, usuários) e cogite migrar para uma hospedagem mais segura. Confira todas as dicas de segurança WordPress que constam nesse post!

Para evitar algum desastre como perder seu site inteiro, conte com a ajuda do suporte de sua hospedagem ou de um programador WordPress para isso.

Dúvidas sobre segurança

Vamos garantir que não há mais dúvidas sobre o assunto? Respondo algumas perguntas comuns abaixo:

O WordPress é seguro?

Sim! O que o torna inseguro é falta de manutenção. Veja esses números:

  • Segundo a W3Techs, quase 40% dos sites utilizam WordPress, o que representa mais de 60% dos sites que utilizam algum CMS (ou seja, sites que têm um painel de gerenciamento).
  • De acordo com o relatório de 2019 da Sucuri, dentre os sites com CMS que foram invadidos no ano, o WordPress é líder da lista com assustadores 94%.
  • E conforme comentado no início do texto, quase metade das invasões só foram possíveis por problemas de segurança da hospedagem, e a outra metade quase que exclusivamente por causa de plugins e temas inseguros.

A equipe de segurança do WordPress conta com mais de cinquenta membros. O sistema recebe atualizações constantes, e é obrigação do administrador do site (ou seja, nossa obrigação) manter tudo atualizado.

Assim como você precisa seguir medidas de segurança com seu computador ou smartphone, é preciso ter zelo pelo seu WordPress também!

Quais plugins de segurança devo instalar em meu WordPress?

Se você seguiu as dicas acima, apenas os dois recomendados: um para alterar a url de login e outro para login em duas etapas (ambos comentados no item 6).

Se você faz questão de usar um (principalmente se você estiver em uma hospedagem meia boca), o iThemes Security é, de longe, a melhor opção de plugin de segurança para WordPress.

Ele é bem simples de instalar e de configurar – as configurações padrão já são o suficiente para deixar seu WordPress um pouco mais seguro – sem milagres.

Além disso, é possível utilizá-lo para fazer tudo o que foi dito no item 6 da lista.

Como saber se meu WordPress foi invadido e/ou hackeado?

Um dos indícios de invasão é ver mensagens como essas:

printscreen de mensagens de site inseguro

Você pode verificar o status de segurança do seu site com essas duas ferramentas:

Elas apontam se há algum problema e onde seu domínio está bloqueado, caso esteja.

Além disso, se você perceber algo de diferente em seu site, como anúncios suspeitos, páginas quebradas e arquivos que não deveriam estar em seu FTP, entre em contato com o suporte de sua hospedagem para verificar se a segurança do seu WordPress foi comprometida.

Precisando de ajuda? Eu trabalho com suporte e manutenção para WordPress e WooCommerce!

Meu trabalho inclui tanto limpeza quanto reinstalação do WordPress, quando necessário. Clique no link acima para saber mais!

Mantenha seu WordPress seguro!

Essas foram minhas dicas – segui-las não vai garantir que seu WordPress fique 100% seguro, afinal, todo sistema está sujeito a vulnerabilidades.

Agora, se mesmo reinstalando tudo os problemas relacionados a segurança voltaram a acontecer, a culpada pode ser a hospedagem. Se ela for vulnerável, não tem jeito. E se você tem uma loja online com WooCommerce, é mais do que imprescindível pensar em segurança.

Evite hospedagens muito baratas e até mesmo muito populares (normalmente muita propaganda e preço muito baixo é equivalente a dores de cabeça). Na hora de buscar por uma hospedagem, preze por segurança e estabilidade.

Outro problema comum que citei acima é seu computador estar infectado. Se você ou algum dos membros do seu WordPress estiver utilizando um computador com vírus, isso pode comprometer seu WP.

Portanto, utilize sempre computadores confiáveis, atualizados frequentemente e com anti-vírus instalado e bem configurado. Jamais faça login em seu WordPress utilizando computadores públicos!

Se você tiver mais dicas, deixe nos comentários! Se você precisar de ajuda com seu WordPress, fale comigo! :D

Créditos das imagens: Freepik, WordPress e Google.

Revisão

Se você leu tudo até aqui, posso falar com segurança que as questões abaixo serão respondidas com facilidade. Mas se você tiver mais dúvidas, sinta-se à vontade para comentar!

Quais hospedagens são seguras para WordPress?

Segundo meus clientes e minha experiência na área, PortoFácil, Via Hospedagem e LiquidWeb têm vantagem sobre as outras empresas do ramo, porque não só oferecem servidores seguros mas também suporte especializado em WordPress. Além disso, há minha empresa de hospedagem, a WOWF, na qual dedico meus esforços para fornecer segurança, desempenho e estabilidade.

Como remover malware / vírus do WordPress?

É preciso fazer uma reinstalação manual do WordPress, plugins e tema utilizado. Faça um backup da pasta de uploads antes disso, e se o banco de dados não foi afetado, utilize-o novamente nessa nova instalação.

O que fazer se meu WordPress for invadido e hackeado?

Após fazer uma reinstalação completa do WordPress, plugins e tema, troque todas as senhas e tente identificar o culpado: o tema, o plugin, a falta de atualizações ou a hospedagem. Fazer essa análise é importante para verificar o que deve ser feito para que o problema não volte a acontecer.

Cloudflare deixa o WordPress mais seguro?

O plano gratuito da CloudFlare oferece SSL e proteção contra DDoS. Os planos pagos trazem melhorias de segurança com Web Application Firewall (WAF). Dessa forma o WordPress fica, sim, mais seguro.

Preciso instalar um anti-vírus no WordPress?

Não, a não ser que ele esteja em uma hospedagem insegura ou tenha muitos administradores e editores que acessam o painel através de dispositivos nem tão seguros assim. Se precisar, opte pelo plugin iThemes Security.

Quais são os melhores plugins de segurança para WordPress?

WPS Hide Login para proteger a url de login do seu WordPress; Two-Factor para login em duas etapas; iThemes Security como solução completa. Todos são grátis. Além disso, o Jetpack tem algumas opções de segurança, mas a maioria é paga.

Não é permitida a reprodução integral desse conteúdo. A cópia pode ser ruim para você!

Quem é Fabio Lobo?

Web designer, desenvolvedor front-end e programador WordPress.

Quem é Fabio Lobo?

Estou há mais de uma década na área. O foco do meu trabalho é em usabilidade, facilidade pro usuário, acessibilidade, SEO e performance.

Também tenho alguns projetos open source, além de prestar consultoria em hospedagem WordPress e criação de conteúdo.

Como posso te ajudar hoje?

Trabalho com consultoria, suporte, manutenção, criação e desenvolvimento.

Fale comigo

Leia também...

...alguns textos que têm a ver com o assunto:

Como instalar o WordPress, plugins e temas de maneira fácil

Não sabe como instalar o WordPress, ou um plugin ou tema? Aprenda a maneira mais prática e rápida de fazer a instalação – e também desinstalação – de tudo!

WordPress vale a pena? Quanto custa?

Na dúvida sobre qual CMS ou framework utilizar? Veja prós, contras, preços e comparações, e então entenda se o WordPress vale a pena para o que você precisa!

Como ter um site grátis da melhor maneira possível

Quer criar um site grátis? Conheça os prós e contras para não se iludir. Veja também dicas das melhores formas de ter um site sem gastar nada (ou gastando pouco).

Comentários

3 comentários até o momento

  • Obrigada pelas dicas!!! Mas pq o Wordefence nao é bom?

    Responder
    • Francisca, o problema do Wordfence é que ele dá uma falsa sensação de segurança: a pessoa instala o plugin e confia que ele vai realmente proteger seu blog, quando na verdade ele acaba pesando no servidor e criando novos pontos de falha.

      Responder
    • Inclusive essa impressão de segurança que o Janio comentou é um perigo pra qualquer sistema. Mesmo que você utilize o melhor antivírus ou plugin, nada garante que você não tenha problemas com a segurança do seu computador ou site. Depende de inúmeros fatores.

      Essas ferramentas ajudam, claro, mas o que faz a diferença mesmo são as outras medidas de proteção e manutenção constante.

      Responder

Deixe seu comentário

Se você deseja um orçamento, entre em contato clicando aqui.

Quero um orçamento