Diariamente, hackers descobrem novas maneiras de invadir sistemas web. O WordPress é um dos melhores CMS do mundo e um dos mais visados por esses invasores. Estima-se que mais de 100 milhões de sites no mundo utilizem esse sistema, o que faz com que ele seja um alvo do constante do cybercrime.

Para evitar esses riscos, confira as principais dicas de segurança para proteger a privacidade, integridade e disponibilidade dos recursos que estão sob o controle do seu administrador.

1. Esteja sempre atualizado

Como muitos dos mais modernos pacotes de software, o WordPress é atualizado regularmente para evitar e resolver novas ameaças que possam surgir. Por isso é importante manter a sua instalação sempre atualizada com a versão mais recente do WordPress. Deixar uma instalação desatualizada é deixar-se disponível para ataques.

2. Não divulgue a versão do seu WordPress

Por padrão, os temas do WP utilizam uma metatag no código que divulga, para fins de estatística, a versão que está sendo utilizada. Em termos práticos, esta informação para um usuário ou para o administrador do site é inútil e deixar estas informações públicas não é aconselhável. Em varreduras feitas para localizar sites vulneráveis esta informação de versão é utilizada para definir a forma de ataque e explorar brechas de segurança.

Esta informação fica localizadas no arquivo header.php de seu tema. Para desabilitar, remova a linha a seguir:

<meta name=”generator” content=”WordPress &lt;?php bloginfo(‘version’); ?&gt;” />

Outra maneira de remover esta informação é adicionar o código abaixo ao seu arquivos functions.php:

<?php remove_action(‘wp_head’, ‘wp_generator’); ?>

Esta linha força a remoção da informação de forma dinâmica.

3. Restrição de acessos

Dê apenas as permissões de acesso necessárias para quem for realizar o trabalho e nada mais. Remover os acessos ao fim do trabalho também pode ser uma boa opção. Essa prática vale para o WordPress, FTP, bancos de dados e qualquer outro acesso.

A permissão padrão de pastas no FTP é 755 e de arquivos 644, e qualquer arquivo ou pasta com permissão 777 se torna uma vulnerabilidade. Por exemplo, clientes da empresa onde trabalho, a KingHost, conseguem manter o acesso FTP desabilitado no painel de controle enquanto não estiverem utilizando.

Para desabilitar o acesso FTP, no painel 1 selecione o domínio no canto direito superior e clicar no botão de Ok ao lado do domínio. Após, na área central, clique em gerenciar FTP e em segurança FTP há a opção de manter desabilitado o acesso ao FTP, além de limitá-lo para acesso nacional ou apenas alguns IPs específicos.

No painel 2 este campo fica em editar FTP na aba segurança:

4. Não use o login padrão do Admin do WordPress

Ao realizar a instalação de um novo site ou blog por padrão é criado um usuário chamado admin. Este usuário tem poderes de administrador no blog e é o primeiro login a ser utilizado em uma tentativa de acesso não autorizado. Removê-lo ou renomeá-lo já vai minimamente fazer com que o atacante tenha mais trabalho para tentar descobrir outro nome de usuário.

5. Senhas do WordPress

Utilize letras e números para o acesso ao banco de dados e para o admin do WordPress. Além de poder substituir letras por números e utilizar uma frase de senha, isso facilita a memorização e dificulta o trabalho dos invasores.

Por exemplo: a=4 e=3 i=1 o=0 u=U

Minha senha é segura = M1nh4s3nh43hs3gUr4

Nunca use uma senha igual a de outro site ou das redes sociais, pois se algum dia o site for hackeado, a sua senha estará nas mãos de nvasores. Nunca salve a sua senha em lugares públicos, como lan houses.

6. Limite o número de tentativas de login

Os usuários não autorizados podem tentar fazer o login para o seu site usando uma variedade de combinações de nomes de usuário e senhas, utilizando programas próprios para essa tarefa. Para evitar mais essa forma de ataque instale o plugin WP Login Lockdown para limitar a criação de uma quota no número de tentativas de login que um único usuário pode fazer. Ultrapassando esse número, o usuário será bloqueado.

7. Desabilite a opção “qualquer pessoa pode se registrar”

Vá até a seção Geral e desmarque a opção Qualquer pessoa pode se registrar, ou simplesmente delete o arquivo wp-register.php. Ao fazer isso você impede que qualquer um tenha acesso ao painel de administração do site.

8. Sempre faça backup do seu banco de dados

Caso seu site for invadido, você ainda tem a possibilidade de restaurar tudo a partir de um backup. Defina o horário, dia da semana para realização do backup, e o mais importante: o local. Isto pode ajudar a estar novamente online muito mais rápido caso haja um problema. O aconselhado é manter um backup do FTP desde a ultima atualização e realizar backups periódicos apenas da pasta uploads.

Localização do backup de banco de dados no painel de controle da KingHost:

Painel 1: gerenciar bancos Mysql (ao lado da base criada no ícone “efetuar download do backup”).

Painel 2: Editar bancos Mysql.

Estas dicas servem como ponto de partida para aqueles que tem algum conhecimento de segurança no WordPress ou para complementar as experiências daqueles que já aplicam técnicas para proteção de sites e blogs.