Como deixar o WordPress seguro?

O WordPress é sem dúvidas o Sistema de Gerenciamento de Conteúdo mais popular da internet, sendo base para cerca1/3 de todos os sitesacessíveis hoje na web.

Essa situação traz consigo duas faces opostas:

• o WordPress tem uma das maiores comunidades online de desenvolvedores em busca de otimização, segurança, atualizações e velocidade do CMS. Dificilmente você vai precisar de algo que alguém não consiga lhe ajudar nesta plataforma;
• o WordPress se torna extremamente visado peloshackerspor conta da grande quantidade de sites disponíveis para infecções no caso de novas brechas serem encontradas.

Umaprova de face doisé que recentemente o plugin para WordPress yuzo-related-posts deixou mais de 30 mil sites vulneráveis a invasões. Através dele, usuários externos poderiam inserir códigos maliciosos (vírus) direto em seus bancos de dados. Este é apenas um tipo de vulnerabilidade que sites em WordPress possuem.

Agora, umaprova da face umé este artigo. Onde irei te dar dicas básicas, ferramentas excelentes e boas práticas para que você possa manter seu site sempre o mais seguro possível e livre de invasões. E tudo isso de graça, como o bom espírito do WordPress. Vamos às dicas?

Dicas de como deixar o WordPress seguro

Dica de Segurança em WordPress 01: Não instale plugins ou temas piratas

Parece óbvio, mas não é.

Cerca de 35% dos casos de invasões a sites ou códigos maliciosos instalados em sites WP que tive que resolver nos últimos anos, foram devido a instalação de plugins ou temas piratas.

Então pense duas vezes antes de economizar aqueles $5 na compra de uma licença de plugin. Ele sairão caro no futuro.

Dica bônus:Se está em dúvida se um arquivo está ou não está infectado, use a ferramenta VirusTotal.

Dica de Segurança em WordPress 02: Mantenha backups regulares

Como eu falei no meu artigo 5 plugins essenciais para WordPress ( e outros muito úteis ), manter um backup atualizado dos arquivos e do banco de dados do site pode te salvar de muitas enrascadas.

Dica bônus: Eu recomendo manter sempre uma cópia atualizada diariamente, com um segundo backup atualizado semanalmente. Sempre salvos fora da hospedagem do site! Isso tudo você consegue consegue com os plugins listados aqui.

Dica de Segurança em WordPress 03: Mantenha TUDO atualizado. Sempre

Esta é outra brecha de segurança que afeta a grande maioria dos sites em WP em que não há um desenvolvedor ou agência por trás fazendo a manutenção do site.

Manter os plugins, temas e o próprio WordPress atualizados são as etapas mais básicas e cruciais para que o seu site fique seguro.

Não sabe se pode atualizar? Pergunte a quem desenvolveu o seu site. Caso essa pessoa tenha seguido as boas práticas de desenvolvimento em WP você poderá atualizar sem problemas.

Dica bônus:Atualizou e perdeu personalizações? Restaure o backup feito com base na dica dois.

Dica de Segurança em WordPress 04: Instale o Plugin WordFence

Para mim este é o melhor plugin para WordPress no quesito verificação de arquivos para limpeza de malware.

O que ele faz é basicamente confrontar os arquivos que estão no seu servidor contra os arquivos disponíveis no repositório do WordPress. Ao notar qualquer diferença entre eles o plugin envia alertas para que possam ser tomadas as providências necessárias

Dica bônus:Link do plugin.

Dica de Segurança em WordPress 05: Não instale plugins/temas abandonados

Se o plugin ou tema não foi atualizado há, pelo menos, 8 meses, possivelmente ele foi abandonado e não conta mais com suporte do time de desenvolvedores. O que traz consigo códigos desatualizados com as novas diretrizes da versão mais recente WordPress.

Dica bônus:Sempre consulte o fórum de suporte e, se disponível, o changelog das atualizações do plugin/tema!

Dica de Segurança em WordPress 06: Uma lista de Ferramentas e utilidades

Para não perdermos o costume, segue abaixo a minha lista de recomendações de plugins, ferramentas e etc. que são muito relevantes ao combate de invasões e otimização de segurança do seu site.

Configurações básicas:

• evite instalar o banco de dados do WordPress com o prefixo “wp_”;
• tenha um certificado SSL instalado e atualizado;
• esteja hospedado em servidores confiáveis e conhecidos como GoDaddy, HostGator, WP Engine e CloudFlare…
• mantenha a versão do PHP da sua hospedagem up-to-date (versão mais recente possível);
• se não for necessário, desative a opção “todos podem se registrar” nas opções do seu site.

Plugins:

• WordFence: leia a dica 04
• iThemes Security: este plugin faz algumas atualizações e modificações nos arquivos core ( configurações básicas ) do WordPress. Tem um interface simples e fácil de entender
• Really Simple SSL: caso tenha seguido a dica acima de ter um certificado SSL, este plugin vai te auxiliar no redirecionamento para a versão segura

Ferramentas

• VirusTotal: leia a dica 01
• Sucuri Site Check: ao contrário do VirusTotal, esta ferramenta analisa todos os arquivos do site em busca de vírus, é semelhante ao WordFence, porém sem necessidade de instalação
• SiteLock: CDN e varredura de arquivos, backups automatizados

Euma última dica! Acompanhe o blog, pois estou sempre de olho em novas brechas descobertas, ataques em massa e etc. Aí você fica sempre a par de tudo que está acontecendo em segurança e desempenho de WordPress.

E aí, conhecia e fazia uso de todas essas dicas e ferramentas para segurança em WordPress? Ou conhece alguma que esteja fora da lista? Deixe a resposta nos comentários e vamos tornar a web um lugar mais seguro!