A segurança do seu site WordPress é essencial para proteger a integridade dos dados da sua empresa e dos visitantes, bem como para garantir a confiança destes na interação com a sua empresa através do site, sem riscos resultantes das crescentes ameaças cibernéticas. Com o WordPress instalado em 18,9% dos sites, este tornou-se um alvo popular para hackers. Este guia explora as melhores práticas e os plugins mais eficazes, dicas de segurança WordPress, para manter o seu site WordPress seguro em 2024, incluindo o uso de passwords fortes, atualizações regulares, plugins e temas de confiança, certificados SSL e a proteção da página de login.
Embora o software do WordPress seja auditado e atualizado regularmente, você ainda precisa adotar medidas adicionais como proprietário do site para reduzir os riscos de vulnerabilidades e consequentes ataques. Seguindo estas dicas de segurança WordPress, você pode proteger melhor o seu site contra hackers, malware e outras ameaças, garantindo a integridade dos dados.
Importância da Segurança WordPress
Com o aumento das ameaças online e do cibercrime, a segurança do WordPress tornou-se uma prioridade para todos os proprietários de sites. Proteger o seu site contra ataques maliciosos é essencial para garantir a integridade dos dados e a confiança dos utilizadores.
Por que a Segurança WordPress é importante?
Um site WordPress invadido pode causar sérios danos ao seu negócio e à reputação da sua empresa. Os hackers podem roubar informações e passwords de utilizadores, instalar
software mal-intencionado e até mesmo distribuir malware aos seus utilizadores. Na pior das hipóteses, pode acabar a pagar um ransomware a hackers apenas para recuperar o acesso ao seu site. Todos os dias, o Google avisa de 12 a 14 milhões de utilizadores que um site que eles estão a tentar visitar pode conter malware ou roubar informações. O Google coloca na lista negra mais de 10.000 sites todos os dias por malware ou phishing. Assim como os proprietários de empresas com um local físico têm a responsabilidade de proteger a sua propriedade, os proprietários de empresas online precisam prestar mais atenção à segurança do WordPress.
Benefícios de manter o WordPress seguro
- 1. Proteção contra ameaças cibernéticas, manter o WordPress atualizado e medidas de segurança adicionais ajudam a proteger seu site contra malware, hackers e outras ameaças cibernéticas.
- 2. Integridade dos dados, práticas de segurança sólidas garantem que os dados do seu site, incluindo informações de clientes e conteúdo, permaneçam intactos e não sejam comprometidos.
- 3. Confiança do utilizador, um site seguro e confiável aumenta a confiança dos utilizadores, o que pode levar a mais “engajamento”, conversões e receita.
- 4. Reputação da marca, um site comprometido pode danificar seriamente a reputação da sua marca, enquanto um site seguro reforça a sua credibilidade.
Embora o WordPress seja uma plataforma segura, você ainda pode fazer muito para tornar o seu site ainda mais seguro contra hackers, malware e outros perigos. As próximas secções deste guia abordarão as melhores práticas e ferramentas para manter o seu site WordPress seguro em 2024.
Use as melhores práticas de login
As tentativas mais comuns de invasão do WordPress usam passwords roubadas. Você pode dificultar esta situação usando passwords mais fortes que sejam exclusivas do seu site. Não estamos a falar apenas da área de administração do WordPress. Lembre-se de criar passwords fortes para as suas contas de FTP, bancos de dados, conta de alojamento web do WordPress e endereços de e-mail personalizados que usam o nome de domínio do seu site.
Muitos utilizadores não gostam de usar passwords fortes porque elas são difíceis de lembrar. O bom é que você não precisa mais de se lembrar de passwords porque pode simplesmente usar um gestor de passwords.
Aplique a autenticação de dois fatores (2FA)
O 2FA exige que os utilizadores forneçam uma forma adicional de identificação antes de aceder a um sistema ou a uma conta protegida e dificulta a infiltração de invasores no seu site WordPress, mesmo que eles tenham descoberto a combinação de nome de utilizador/password de um utilizador legítimo.
Limite o número de tentativas de login fracassadas
Os ataques de password têm maior probabilidade de sucesso quando os invasores tem tentativas ilimitadas de inserir dados de acesso numa página de login. Limitar o número de tentativas de login falhadas pode ajudar a mitigar esses ataques.
Encerre automaticamente a sessão de utilizadores inativos
Alguns utilizadores podem aceder às suas contas do WordPress em computadores públicos ou praticar outros hábitos de navegação inseguros. Encerre automaticamente a sessão de utilizadores após um período definido de inatividade para reduzir as chances de espionagem e outras formas de acesso não autorizado de terceiros.
Exclua contas de utilizador inativas
Mesmo que um utilizador não esteja mais a usar a sua conta para aceder ao site WordPress, a sua conta e os seus dados de login podem ser visados pelos invasores. É recomendado excluir contas de utilizador inativas para reduzir os vectores de ataque. Outra forma de reduzir o risco é não dar a ninguém acesso à sua conta de administrador do WordPress, a menos que seja absolutamente necessário. Se você tiver uma grande equipa ou autores convidados, certifique-se de entender as funções e os recursos do utilizador no WordPress antes de adicionar novas contas de utilizador e
autores ao seu site WordPress.
Use passwords fortes e autenticação, incentive os utilizadores a usar passwords fortes e exclusivas e habilite a autenticação de dois fatores (2FA) para adicionar uma camada extra de segurança às suas contas. Limite as tentativas de login e aplique requisitos de complexidade de password para mitigar o risco de ataques de força bruta e acesso não autorizado a contas de utilizadores.
Proteja o diretório wp-admin e o ficheiro wp-login.php contra acesso não autorizado implementando medidas de segurança adicionais, como lista de permissões de IP, protecção CAPTCHA ou firewalls de aplicações web (WAFs). Restrinja o acesso à interface administrativa do WordPress apenas a utilizadores autorizados, reduzindo o risco de ataques de força bruta ou tentativas de login não autorizadas.
Atualizações automáticas e manuais
O WordPress é um software de código aberto e é mantido e atualizado regularmente. Por padrão, o WordPress instala automaticamente pequenas atualizações. Para versões principais, você precisa iniciar manualmente a atualização. O WordPress também vem com milhares de plugins e temas que pode instalar no seu site. Esses plugins e temas são mantidos por programadores de terceiros, que também lançam atualizações regularmente. Essas atualizações do WordPress são cruciais
para a segurança e a estabilidade de seu site WordPress. Você precisa de se certificar que o núcleo, os plugins e o tema do WordPress são atualizados.
Atualizações automáticas no WordPress
Por padrão, o WordPress atualiza automaticamente o seu site no caso de updates menores, que concentram-se em melhorias de manutenção e estabilidade. Há também várias opções para automatizar as atualizações maiores, bem como de plugins e temas.
Como alternativa, use um plugin do WordPress para automatizar o processo. O Easy Updates Manager, por exemplo, permite ativar e desativar atualizações com um clique e ocultar atualizações de temas e plugins se forem desenvolvidos de forma personalizada.
Você também pode ativar as atualizações automáticas do WordPress adicionando uma linha de código no ficheiro wp-config.php. Siga as etapas abaixo para fazer isso:
1. Primeiro, você precisa adicionar a seguinte linha de código ao ficheiro wp-config.php do seu site:
define( 'WP_AUTO_UPDATE_CORE', true );
2. Há um pequeno problema com esse código. Ele também habilita o que é chamado de atualizações “noturnas”, ou “nightlies”. Estas versões ainda estão em desenvolvimento e podem conter bugs, portanto, não devem ser instaladas num site WordPress ativo.
3. Para desativar as versões noturnas e as versões de desenvolvimento, você precisa adicionar o seguinte código ao ficheiro functions.php do seu tema ou usar um plug-in de snippets de código, como o WPCode:
add_filter( 'allow_dev_auto_core_updates', '__return_false' )
Esse filtro não permite as atualizações automáticas para versões noturnas ou versões de desenvolvimento.
4. O seu site WordPress agora está pronto para se atualizar automaticamente, sem a sua intervenção, sempre que houver uma nova versão do WordPress disponível.
As atualizações automáticas são ativadas para versões menores no WordPress. Isso significa que a equipe do WordPress.org pode instalar automaticamente as atualizações de segurança sem a necessidade de intervenção do utilizador. No entanto, ele não atualiza automaticamente seu site quando há uma nova versão principal. Felizmente, você também pode ativar facilmente as atualizações automáticas para as versões principais. Há uma opção para desativar as atualizações automáticas no WordPress. No entanto, recomendamos que você mantenha as atualizações automáticas ativadas porque elas geralmente resolvem problemas de segurança e vulnerabilidades importantes.
Trabalhe com plugins e temas confiáveis
Escolha plugins e temas populares com bom rating
Uma das vantagens de usar o WordPress é ter acesso a milhares de plugins e temas gratuitos. No entanto, alguns desses plugins e temas podem, na verdade, ameaçar a segurança do seu site. Quase 50% dos sites WordPress são afetados por vulnerabilidades causadas por plugins ou temas desatualizados ou mal codificados. Por esse motivo, você precisa ter cuidado com os plugins e temas que escolhe instalar.
Em geral, a melhor maneira de escolher opções seguras é optar pelos plugins e temas mais populares no Diretório Oficial do WordPress. Se muitas pessoas estiverem a usar um plugin ou tema com excelentes avaliações, é provável que seja uma boa opção que não deixará o seu site vulnerável. Se um plugin ou tema for raramente atualizado, tiver muitas avaliações negativas ou não tiver suporte, provavelmente não é uma escolha segura.
Analise a frequência de atualizações e suporte
Ao avaliar um plugin ou tema, verifique quando foi atualizado pela última vez no Diretório Oficial do WordPress. Plugins e temas desatualizados podem conter vulnerabilidades conhecidas. Além disso, certifique-se de que o programador oferece suporte ativo e atualizações regulares.
Evite plugins e temas de fontes não confiáveis
Faça download de plugins e temas apenas de fontes confiáveis, como o repositório oficial do WordPress ou fornecedores populares e respeitáveis. Evite plugins e temas pirateados ou de sites desconhecidos, pois podem conter malware ou código mal-intencionado.
Considere os recursos necessários
Alguns temas premium podem ser carregados com recursos desnecessários, deixando o seu site instável quando você tenta removê-los. Escolha temas e plugins com apenas os recursos de que você precisa, evitando o inchaço desnecessário.
Analise a segurança do código
Embora seja difícil avaliar a segurança do código sem conhecimentos técnicos, você pode usar ferramentas como o Theme Check(er) ou o Sucuri SiteCheck para verificar potenciais problemas. Se vários avisos proeminentes aparecerem, talvez seja hora de trocar de tema ou plugin.
Plugins premium não são necessariamente mais seguros
Plugins e temas premium não são automaticamente mais seguros que as opções gratuitas. A qualidade do código depende mais dos programadores do que do facto de ser gratuito ou pagos. Analise cuidadosamente todas as opções, leia avaliações e escolha as mais adequadas para seu site.
Faça backups regulares e seguros
Você está à procura de um plugin de backup confiável para o WordPress para fazer backups regulares do seu site? Os backups funcionam como uma rede de segurança para seu site. Sempre que o seu site quebrar por qualquer motivo, você poderá restaurá-lo rapidamente. Mas é preciso garantir que o backup tenha as alterações mais recentes ou você poderá perder dados importantes.
Recursos essenciais de um bom plugin de backup
Um bom plugin de backup não apenas facilita o backup do seu site, mas também facilita o restauro quando chegar aquela hora. Além disso, aqui está o que recomendamos em um bom plugin de backup:
Backup completo do site, a sua cópia de backup precisa incluir os ficheiros e a base de dados do site. Pode pensar que isso é óbvio, mas há alguns plugins que fazem backup apenas dos ficheiros e não da base de dados. Portanto, você precisa de se certificar que ele faz um backup completo de todos os dados do seu site.
Backups incrementais, o backup do site pode sobrecarregar o servidor. Isso pode tornar o seu site mais lento enquanto o processo ocorre. Mas se o plugin usar a tecnologia incremental, ele dividirá o site em pequenos pedaços e criará uma cópia do site sem sobrecarregar o servidor. Armazenamento seguro, um backup armazena todos os dados de seu site, inclusive informações confidenciais. Portanto, assim como você protege seu site, precisa de proteger o seu backup criptografando-o e armazenando-o num local seguro. Procure plugins que ofereçam criptografia automática e vários locais de armazenamento. Armazenamento fora do local, alguns plugins e hosts oferecem backups, mas armazenam a cópia no mesmo servidor do seu site. Portanto, se o servidor cair, você perderá tanto o site quanto o backup. É mais seguro ter uma cópia armazenada fora do local, noutro servidor ou no armazenamento local. Backups programados, se você quiser salvar alterações recentes regularmente, a melhor maneira de fazer isso é programar backups para serem executados por conta própria. Isso significa que novos backups serão feitos automaticamente em intervalos regulares. Backups em tempo real, se você tiver uma loja on-line, precisará de backups em tempo real. Isso garantirá que cada novo pedido feito seja armazenado imediatamente para que você não perca nenhuma informação de transação. Um bom plugin de backup fará o backup apenas da alteração e a adicionará à cópia de backup, em vez de executar um backup completo a cada vez. Suporte responsivo, quando se trata de backups, na maioria das vezes, será necessário entrar em contato com a equipe de suporte do plugin para solucionar problemas que possam ocorrer nos processos de configuração, backup e restauração. Certifique-se de que seu plugin tenha o apoio de uma equipe de suporte confiável.
Importância dos backups
É sempre bom ter um plano de backup – por ser à prova de falhas, pelo seguro ou um Plano B caso seu site quebre. Pense na paz de espírito que você terá ao saber que, não importa o que aconteça, você pode restaurar seu site para sua antiga forma e glória com backups WordPress. Hackers, erros humanos, falhas no sistema, ou picos de tráfego sem precedentes são algumas das coisas que podem quebrar seu site. Backups confiáveis acobertam você de perdas e desfaz o estresse que virá com um site quebrado.
Evitar estresse desnecessário
Hackers maliciosos fazem tumulto nos sites de suas vítimas e desmantelam os seus negócios. Para reduzir a propagação do hack, muitos fornecedores normalmente desativam os sites afetados.
Evitar tempo perdido
Ter seu site online de volta depois de ser hackeado envolve edições maiores (remover plugins infectados e ficheiros corrompidos) que tomam muito tempo, especialmente se o seu fornecedor não é eficaz. Exatamente, e as coisas pioram se você não tem seus próprios backups, porque na maioria das vezes, o hacker também corrompe o backup que seu fornecedor guarda. Que vergonha, ainda mais quando você pode criar um backup em minutos.
Evitar rendimento perdido
Quando dizem que tempo é dinheiro, o que simplesmente significa que se o seu site quebrar, você perderá cada segundo de rendimento, e isto é inadmissível. Você também perderá dinheiro se seu site demorar um ano para carregar. Você perderá tempo reconstruindo (muitas vezes do zero) – tempo que poderia gastar para aumentar a sua linha de fundo. Cada minuto que em o seu site fica desativado significa rendimento perdido.
Manter a credibilidade
Assim que o seu site cai, grande parte de sua credibilidade irá ser afetada. Assim como conteúdo fraco, um website que não está disponível (ou um que esteja lento, ou contenha spam) constitui tudo, menos uma boa experiência ao utilizador. E a experiência do utilizador é tudo se o que você quer é impressionar seus visitantes da web. Uma vez que a experiência do utilizador vai pela janela, a credibilidade fica inalcançável. Seu público alvo e investidores irão associar a performance de seu site offline com seus negócios no mundo real.
Evitar perda de dados
O sofrimento que faz a falta de um backup, enquanto é bom se preparar, você nunca estará preparado para coisas como doença e morte que chegam perto de nós. Ocorrências assim são difíceis, o que significa que você pode esquecer de renovar seu domínio e hosting à tempo. Como resultado, você pode perder seu domínio e o fornecedor pode apagar o seu website. Quando é hora de voltar aos negócios, será uma árdua tarefa se tiver que reconstruir seu site do zero. Se você tiver um backup salvo qualquer lugar, não precisaria da The Wayback Machine tanto para tentar salvar seu conteúdo.
Configurar backups com o UpdraftPlus
Muitas vezes, a gente subestima a importância desses backups até que algo de errado aconteça. Vamos escolher aqui Adicionar Novo Plugin, e buscar por UpdraftPlus. Ele já aparece aqui em primeiro. Vamos clicar em Instalar. Instalado, é bem rapidinho. Vamos clicar em Ativar.
E aqui é onde você vai fazer os agendamentos. Se você quiser fazer um backup, na hora que você quiser, você pode clicar aqui em Backup / Restore. E clicar em Backup Agora. Simples.
Mas para fazer os agendamentos, a gente vai fazer mesmo aqui na aba de Definições. Aqui, já está configurado para mensalmente ele fazer esses backups para você. Mas você pode escolher diariamente, semanalmente, a cada 8 horas, a cada 4 horas, duas horas, enfim, ou deixar manual também, é uma opção, não tem problema.
Pode escolher por FTP, por OneDrive, Google Drive, Dropbox Você só tem que lembrar de fazer a ligação entre o local que você escolheu e o plugin. Peraí, peraí, peraí, que antes de concluir, vale ressaltar que você precisa escolher um local seguro para armazenar os seus backups. Serviços em nuvem, como Google Drive ou Dropbox, oferecem segurança adicional. E a programação regular permite que você sempre tenha versões recentes disponíveis, em caso de necessidade.
Proteger ficheiros importantes como ‘wp-config.php’
O ficheiro wp-config.php é um dos ficheiros mais importantes do WordPress e contém informações confidenciais sobre a instalação, como chaves de segurança e detalhes de ligação com a base de dados. Por isso, é crucial tomar medidas para protegê-lo contra acesso não autorizado.
Localização do ficheiro
Por padrão, o wp-config.php está localizado na raiz da pasta pública, junto com os demais ficheiros e diretórios do núcleo do WordPress. No entanto, é recomendado e suportado migrá-lo para um diretório acima da pasta pública:
Localização padrão: /public_html/wp-includes/ /public_html/wp-config.php
Localização sugerida: /public_html/wp-includes/ /wp-config.php
O WordPress interpreta ambas as localizações.
Permissões de ficheiro
As permissões do ficheiro definem como o sistema operacional lidará com a leitura e escrita do seu conteúdo. Existem duas possibilidades principais para o wpconfig.php:
1. 400: Mais restritiva, permitindo apenas a leitura.
2. 600: Mais branda, permitindo leitura e escrita.
Bloquear acesso com .htaccess
Para utilizadores do Apache, a diretiva abaixo no ficheiro .htaccess pode proteger ainda mais o wp-config.php, evitando sua execução direta:
order allow,deny
deny from all
Outras medidas de proteção
Remover informações sensíveis, considere remover detalhes confidenciais do wp-config.php e armazená-los em um ficheiro separado fora da pasta pública.
Backups seguros, certifique-se de fazer backups regulares do wp-config.php e armazená-los em um local seguro.
Ao proteger o wp-config.php, você estará garantindo maior segurança para o WordPress como um todo, já que esse ficheiro define aspectos cruciais de segurança da plataforma.
A segurança do seu website WordPress é essencial para proteger os seus dados e garantir a confiança dos utilizadores. Embora o WordPress seja uma plataforma segura, você pode tomar medidas adicionais para tornar seu site ainda mais protegido contra ameaças cibernéticas. As melhores práticas abordadas neste guia, como usar passwords fortes, manter atualizações regulares, trabalhar com plugins e temas confiáveis, fazer backups seguros e proteger ficheiros importantes, ajudarão a reduzir significativamente os riscos de vulnerabilidades.
Ao implementar essas dicas de segurança comprovadas, você pode desfrutar da paz de espírito sabendo que seu site WordPress está protegido contra hackers, malware e outras ameaças. Mantenha-se vigilante e continue adotando as melhores práticas de segurança, pois as ameaças cibernéticas evoluem constantemente. Com as medidas certas, você pode garantir a integridade dos dados e a confiança dos utilizadores em seu site WordPress.