Hoje em dia é muito fácil subir um site no wordpress, cada vez mais essa plataforma tem atraído novos clientes com propósito de criação de sites de forma rápida e fácil através de temos e plugins.
No entanto, nem tudo são flores. WordPress constantemente são alvos de ataques maliciosos e com isso a comunidade precisa estar realizando manutenção recorrente para impedir ataques de exploração.
Segundo o site Ciso Advisor, mais de 200 mil sites WordPress estão expostos a ataques cibernéticos.
A tabela abaixo mostram vulnerabilidades por tipo de fragilidade de 2013 a 2023.
Já a tabela abaixo vulnerabilidades por tipo de impacto.
Abaixo vamos listar dicas de segurança e boas práticas em configurações do WordPress que podem salvar seu site.
Mantenha seu WordPress atualizado.
Atualize a versão do núcleo do WordPress, plugins e temas para as versões mais recentes. Isso garante que você esteja protegido contra vulnerabilidades conhecidas.
Use temas e plugins de fontes confiáveis.
Evite baixar plugins ou temas de fontes não verificadas. Prefira o repositório oficial do WordPress ou sites de desenvolvedores reconhecidos.
Utilize senhas fortes.
Garanta que as senhas para o painel administrativo, banco de dados e FTP sejam complexas e únicas. Utilize geradores de senha ou gerenciadores de senhas para ajudar.
Limite as tentativas de login.
Instale plugins que limitam tentativas de login fracassadas, como o “Login LockDown” ou “Wordfence Security”.
Troque o nome de usuário padrão.
O “admin” é o nome de usuário padrão. Altere isso para algo menos óbvio para dificultar os ataques de força bruta.
Use um certificado SSL.
Isso criptografa as informações entre o servidor e os usuários, protegendo os dados de login e outras informações sensíveis.
Utilize um firewall.
O Firewall de Aplicação Web (WAF) é projetado para analisar todas as requisições provenientes de um host direcionadas ao seu site. Esse firewall previne a ocorrência de ataques maliciosos e impede que agentes mal-intencionados descubram o endereço IP real do servidor da sua hospedagem WordPress. Os firewalls de aplicação oferecem uma variedade de configurações técnicas, permitindo, por exemplo, bloquear o acesso a partir de determinados endereços ou regiões específicas.
Backup regular.
Faça backups regulares do seu site e banco de dados. Existem plugins, como o “UpdraftPlus”, que facilitam esse processo.
Princípio do menor privilégio.
Forneça às contas de usuário apenas as permissões que elas realmente precisam. Não dê a todos os usuários acesso administrativo.
Proteja o arquivo wp-config.php.
Esse arquivo contém informações sensíveis. Garanta que ele tenha as permissões corretas e considere movê-lo para fora do diretório raiz.
Desative a edição de arquivos no painel.
Adicione define(‘DISALLOW_FILE_EDIT’, true); ao seu arquivo wp-config.php para impedir a edição de arquivos através do painel do WordPress.
Monitore seu site.
Utilize plugins como o “Wordfence Security” ou “Sucuri Security” para monitorar e alertar sobre atividades suspeitas.
Bloqueie o acesso ao diretório.
Impedir o acesso a diretórios específicos do seu servidor usando o arquivo .htaccess pode ser uma medida adicional de segurança.
Mantenha-se informado.
Acompanhe blogs e fóruns sobre WordPress, assim você estará sempre atualizado sobre as melhores práticas e possíveis ameaças.
Wp-login e wp-admin.
Desative as opções de login no wp-login ou wp-admin, crie uma url específica que só você e as pessoas que precisam saber tenham acesso e saibam como acessar o painel administrativo do wordpress.
Formulários mais seguros.
Recomendamos a utilização de captha nos formulários, existem plugins como “Wp-Form” que tem suporte a captha, isso evita o envio de formulários por Bots.