O que você vai precisar

Antes de você começar este guia sobre Segurança WordPress, você vai precisar de:

  • Acesso ao Painel de Administrador WordPress;
  • Acesso à conta de hospedagem (opcional).

1 – Mantenha seu WordPress atualizado

Esta é a primeira e mais importante dica quando falamos de Segurança WordPress. Se você quer ter um site livre e limpo de malwares, você deve mantê-lo atualizado. Embora pareça uma dica clichê, somente 22% dos WordPress instalados utilizam a última versão disponível.

O WordPress implementou um recurso de atualização automática na versão 3.7, porém isso funciona somente para algumas áreas e para pequenas atualizações de segurança. Assim, as principais atualizações devem ser feitas manualmente.

Caso você não saiba como atualizar o WordPress podemos lhe ajudar – Fuja de Login e Senhas comuns Você usa admin como seu nome de usuário no WordPress? Se sua resposta é sim, você está permitindo e convidando os hackers a invadir seu painel de controle com facilidade. Afim de aumentar sua segurança WordPress, É fortemente recomendado alterar o usuário admin para um outro nome ou crie uma nova conta de administrador com usuário diferente e dele o antigo. Siga os passos abaixo se você prefere o segundo caminho:
  • Acesse o painel do WordPress.
  • Navegue até a seção Users e clique em Add New.
  • Crie um novo usuário e forneça permissões de Administrador.
  • Entre novamente no seu WordPress com seu novo usuário.
  • Volte à seção Users e remova o usuário antigo.
Boas senhas executam um papel fundamental quando falamos de segurança na internet e especificamente segurança WordPress. É muito mais difícil violar uma senha elaborada que consiste em números, maiúsculas e minúsculas, e caracteres especiais. Ferramentas como o LastPass 1Password podem ajudar a criar e gerenciar senhas mais complexas. Adicionalmente, se você precisar fazer login no dashboard do seu WordPress enquanto está conectado numa rede sem segurança (ex.: em cafés, bibliotecas públicas, etc.) não se esqueça de usar uma VPN segura que irá proteger a sua informação de login.

3 – Ativando 2 Steps Authentication

Two-steps verification adiciona uma camada de segurança no WordPress durante o processo de login. Como o nome sugere, autenticação em dois passos, é adicionado um segundo passo a ser completado para que consiga realizar o login. Geralmente usado para acesso a emails, contas bancárias ou outras contas que armazenam informações sensitivas. Por que não usar no WordPress, certo?

4 – Desativando o Relatório de Erros PHP

O relatório de erros PHP pode ser útil se você está desenvolvendo seu site e quer ter certeza de que tudo está funcionando corretamente. Porém exibir esses erros para todos pode ser uma falha de segurança WordPress grave.

Você vai corrigir isto mais rápido do que pensa. Não se assuste, você não precisa ser um mestre em códigos para desabilitar erros PHP do WordPress. Muitos provedores de hospedagem tem uma opção para desabilitar os relatórios de erro dentro do painel de controle. Se não existe nenhum, simplesmente adicione as linhas abaixo no arquivo wp-config.php. Você pode usar o cliente FTP Gerenciador de Arquivos para editar o arquivo wp-config.php.

É isto. O relatório de erros PHP está desabilitado.

5 – Não utilize Temas WordPress piratas

Lembre-se do ditado popular “O barato sai caro”. Podemos dizer o mesmo sobre temas piratas WordPress. O mesmo vale para os plugins.

Existem milhares de plugins e temas piratas na internet. Os usuários podem fazer download destes recursos gratuitamente via torrent ou Warez. O que eles não sabem é que a maioria deles está infectado com malware e links black hat.

Pare de usar plugins e temas piratas! Além de não serem autênticos, são extremamente prejudiciais para a segurança no WordPress. Você vai acabar gastando mais com o serviço de um desenvolvedor para reparar os danos causados.

6 – Rastreie seu WordPress contra malware

É comum os hackers utilizarem brechas nos temas ou plugins para infectar os sites WordPress. Portanto é crucial scanear seu blog frequentemente. Existem muitos plugins codificados com este propósito.

WordFence se destaca entre todos. Oferece opções de scan manualmente e automaticamente junto com outras inúmeras configurações. Você também pode restaurar arquivos modificados/ infectados com apenas alguns cliques. O WordFence é gratuito e de código aberto – só essas informações já deveriam ter te convencido a instalar este plugin agora mesmo.

Outros plugins de segurança WordPress:

BulletProof Security – Diferente do WordFence, que já falamos acima, o BulletProof não irá escanear seus arquivos, mas vai te fornecer um firewall, a segurança no banco de dados e mais. Uma das melhores coisas disso tudo é que este plugin pode ser instalado e configurado com poucos cliques.

Sucuri Security – este plugin vai proteger seu site de ataques DOS, manter uma blacklist, rastrear o seu website contra malware e gerenciar o seu firewall. Caso algo seja detectado, você será notificado via email. Google, Norton, McAfee – todos estes mecanismos incluem este plugin.

7 – Migrando seu site WordPress para uma hospedagem mais segura

Talvez soe estranho esta dica, mas estatísticas mostram que mais de 40% dos sites WordPress são hackeados devido a brechas na conta de hospedagem. Este montante já deve te encorajar a reconsiderar sua hospedagem escolhida e migrar seu site WordPress para uma hospedagem segura. Alguns fatores importantes que você deve ter em mente quando buscar uma nova hospedagem:

  • Se for hospedagem compartilhada, certifique-se de que a conta está isolada de outros usuários e se não há risco do seu site infectar outros servidores;
  • Confira se oferece recursos de backups;
  • Confirme se possui um firewall e ferramentas de verificação de vírus.
8 – Faça backups com frequência Mesmo os maiores sites sofrem ataques diariamente, apesar de muito investimento dos proprietários para fortalecer a segurança no WordPress.

Se você está seguindo as melhores práticas e agregando as demais dicas deste artigo, é crucial que o backup do seu site WordPress regularmente.

Existem algumas formas de realizar o backup. Por exemplo, você pode fazer o download manualmente de todos os arquivos e exportar o banco de dados ou usar as ferramentas de backup do seu provedor de hospedagem. Ainda há outro caminho, que é utilizar plugins WordPress. Os plugins WordPress mais populares são:

Vault

BackUp WordPress

BackupGuard

9 – Desativando a Edição de Arquivos

Como talvez você já saiba, o WordPress vem com um editor de arquivos embutido que permite editar arquivos PHP. Ao mesmo tempo que este recurso é útil, pode trazer muitos danos. Se um hacker consegue acesso ao seu painel do administrador, a primeira coisa que ele vai conferir é o Editor de Arquivos. Alguns usuários WordPress preferem desabilitar este recurso completamente.

Você pode desabilitá-lo, editando o arquivo wp-config.php e adicionando o seguinte código:

Isto é tudo que você precisa para desabilitar a edição de arquivos no seu WordPress.

IMPORTANTE: Caso você queira ativar este recurso novamente, use o cliente FTP ou o Gerenciador de Arquivos da sua Hospedagem, e remova o código acima do arquivo wp-config.php.

10 – Remover Temas e Plugins que não são utilizados

Faça uma limpeza no seu site WordPress e remova todos os plugins e temas que não estão sendo utilizados. Os hackers geralmente buscam por temas e plugins desabilitados ou desatualizados (até mesmo plugins oficiais), e usam este caminho para acessar seu painel de controle ou enviar arquivos maliciosos para o seu servidor. Deletando estes plugins e temas que você não usa mais (e provavelmente esqueceu de atualizar), você diminui os riscos e deixa o seu WordPress um pouco mais seguro.

11 – Usando .htaccess para aumentar a segurança no WordPress

O arquivo .htaccess é necessário para que os links do seu WordPress funcionem corretamente. Sem as regras corretas no arquivo .htaccess você receberia muitos erros 404.

Nem todos os usuários sabem que o .htaccess pode ser usado para aumentar a segurança WordPress, por exemplo, com o .htaccess você pode bloquear or desabilitar a execução do PHO em pastas específicas. Os exemplos abaixo mostram como usar o .htaccess para melhorar a segurança no WordPress.

Impedindo acesso à área do administrador no WordPress

O código abaixo mostra como permitir acesso à área do administrador WordPress somente através de um IP específico.

AuthUserFile /dev/null AuthGroupFile /dev/null AuthName “WordPress Admin Access Control” AuthType Basic order deny,allow deny from all allow from xx.xx.xx.xxx allow from xx.xx.xx.xxx Note que você precisa alterar XX.XX.XX.XXX pelo seu endereço de IP. Você consultar este site para conferir seu endereço de IP atual. Se você utiliza mais de uma conexão para acessar o seu site WordPress, garanta a inclusão de todos os demais IP’s (você pode incluir quantas permissões você quiser). Este código não é recomendado se você tem um endereço de IP dinâmico.

Desabilitando execução PHP em pastas específicas

Os criminosos têm costume de fazer o upload de scripts backdoor nas pastas de uploads WordPress. Como padrão esta pasta é usada somente para o upload de arquivos de mídia. Sendo assim não deveria conter nenhum arquivo PHP. Você pode facilmente desabilitar a execução PHP criando um novo arquivo .htaccess no /wp-content/uploads/ com estas regras:

Protegendo arquivos wp-config.php

O arquivo wp-config.php contém as principais configurações do WordPress e os detalhes do banco de dados MySQL e, por isso, é o arquivo mais importante do WordPress. E por esta razão é o principal alvo dos hackers quando se trata de um site WordPress.

Porém você pode proteger estes arquivos .htaccess usando as regras:

12 – Alterando o prefixo padrão do WordPress para evitar SQL injections

O banco de dados WordPress contém e armazena todas as informações cruciais para o seu site funcionar. Como consequência disso, se torna um alvo atraente para hackers e spammers que executam códigos automatizados com objetivo de performar o que chamamos de SQL injections. Ao instalar o MySQL, a maioria das pessoas nem se preocupam em alterar o wp_, o prefixo padrão do banco de dados WordPress. De acordo com o WordFence , um entre cinco casos de ataques ao WordPress ocorrem devido à SQL injections. Como **wp** é uma configuração padrão, os hackers escolhem atacar este valor primeiro. Neste passo nós vamos apresentar brevemente como aumentar a segurança no WordPress contra ataques deste tipo.

Alterando o prefixo de um site WordPress já existente

IMPORTANTE! Segurança vem em primeiro lugar. Garanta o backup do seu banco de dados WordPress antes de prosseguir.

Etapa 1 – Alterando o prefixo no wp-config.php

cliente FTP Gerenciador de Arquivos , localize o wp-config.php e busque por $table_prefixvalue.

* WordPress Database Table prefix. * * You can have multiple installations in one database if you give each * a unique prefix. Only numbers, letters, and underscores please! */ $table_prefix = ‘w24k_’;

Você pode adicionar números, letras ou sublinhados. Depois disso, salve suas alterações e prossiga para o próximo passo. Neste tutorial, vamos usar o wp_1secure1_ como novo prefixo.

Ainda no arquivo wp-config.php, encontre também o nome do seu banco de dados, e então você saberá qual banco de dados você precisa editar. Localize a seção define(‘DB_NAME’.

Parte 2 – Atualizando todas as tables do banco de dados

Agora você precisa atualizar todas as entradas no seu banco de dados WordPress. Isto pode ser feito usando o phpMyAdmim.

Busque o banco de dados que você localizou na parte 1 e acesse.

A instalação padrão do WordPress tem 12 tables, cada uma delas deve ser atualizada. Mas isso pode ser feito de uma forma mais rápida usando a seção SQL do phpMyadmim.

Alterar cada tabela manualmente vai exigir um tempo excessivo, mas podemos usar o SQL queries para acelerar o processo. Use a sintaxe abaixo para atualizar todas as tables do seu banco de dados.

RENAME table `wp_commentmeta` TO `wp_1secure1_commentmeta`; RENAME table `wp_comments` TO `wp_1secure1_comments`; RENAME table `wp_links` TO `wp_1secure1_links`; RENAME table `wp_options` TO `wp_1secure1_options`; RENAME table `wp_postmeta` TO `wp_1secure1_postmeta`; RENAME table `wp_posts` TO `wp_1secure1_posts`; RENAME table `wp_terms` TO `wp_1secure1_terms`; RENAME table `wp_termmeta` TO `wp_1secure1_termmeta`; RENAME table `wp_term_relationships` TO `wp_1secure1_term_relationships`; RENAME table `wp_term_taxonomy` TO `wp_1secure1_term_taxonomy`; RENAME table `wp_usermeta` TO `wp_1secure1_usermeta`; RENAME table `wp_users` TO `wp_1secure1_users`;

Em alguns temas ou plugins WordPress é possível criar tables adicionais no banco de dados. Caso você tenha mais de 12 tables no seu banco de dados MySQL, adicione o restante deles manualmente à lista do SQL e execute.

Parte 3 – Opções de verificação e usermetatables

Dependendo do número de plugins que você tem instalado, alguns valores do seu banco de dados terão que ser atualizados manualmente. Isto pode ser feito executando SQL queries separadas em options e usermetatabels.

Para a table options você deve usar:

SELECT * FROM `wp_1secure1_options` WHERE `option_name` LIKE ‘%wp_%’ Para a table usermeta você deve usar:
SELECT * FROM `wp_1secure1_usermeta` WHERE `meta_key` LIKE ‘%wp_%’ Quando você obter os resultados do SQL queries, simplesmente atualize todos os valores de wp_ para o novo prefixo configurado. Isto é tudo. No usermetatable você precisa editar o campo meta_key, enquanto para options o valor a ser trocado é o option_name.

Alterando prefixo de um novo site WordPress

Se você está planejando instalar novos sites WordPress, não vai ser preciso executar este processo novamente. Você pode simplesmente configurar os prefixos das tables WordPress durante a instalação.

Parabéns! Você melhorou a segurança do seu banco de dados WordPress ao impedir SQL injections.

Conclusão

Apesar do WordPress ser o CMS mais hackeado do mundo, não é difícil aumentar a segurança na internet, ou melhor, sua segurança WordPress! Neste tutorial nós apresentamos 12 dicas de segurança WordPress para aumentar a proteção do seu site.