Protegendo seu site em WordPress

Como muitos clientes utilizam sites desenvolvidos em WordPress, achamos importante publicar algumas orientações práticas para aumentar a segurança da plataforma.

Ao longo dos anos identificamos que diversos incidentes de segurança ocorrem por falhas simples de configuração ou manutenção. Um site desatualizado ou mal configurado pode sofrer invasões, defacement (pichação do site), inserção de códigos maliciosos, redirecionamento de visitantes para páginas fraudulentas ou até envio de spam a partir do servidor.

Por isso reunimos abaixo algumas boas práticas de segurança, separadas por nível de dificuldade. Recomendamos que todas sejam aplicadas, seja diretamente por você ou pelo seu técnico/webmaster responsável pelo site.

Regra básica de ouro

Mantenha sempre o WordPress, temas e plugins atualizados.

Pode parecer repetitivo, mas essa é disparadamente a causa número um de invasões em sites WordPress.

Explicamos em detalhes o motivo disso no artigo:

Por que é necessário manter seu site atualizado
(https://specialist.srv.br/por-que-eu-preciso-ficar-atualizando-meu-site-se-eu-nao-alterei-nenhuma-informacao-nele/)

Vale muito a leitura.

Procedimentos simples (você mesmo pode fazer)

Atualize sempre o WordPress e seus plugins

Dentro do painel administrativo do WordPress:

  1. Acesse Painel → Atualizações
  2. Verifique se existe atualização do WordPress
  3. Clique em Atualizar agora
  4. Aguarde o processo terminar

Depois disso, atualize também:

  • plugins
  • temas
  • traduções

Repita até aparecer a mensagem informando que tudo está atualizado.

Algumas recomendações importantes:

  • Não feche a página durante a atualização
  • Atualize 3 ou 4 plugins por vez
  • Se usar plugin de cache, limpe o cache após as atualizações

Use senhas realmente seguras

Uma senha forte deve conter:

  • letras maiúsculas
  • letras minúsculas
  • números
  • símbolos
  • pelo menos 10 caracteres

Evite senhas comuns como:

  • admin123
  • senha123
  • password
  • datas de aniversário

Bots automatizados testam milhões dessas combinações todos os dias.

Um exemplo de senha forte seria:

Kmi32TarRvccbVkK

Ela é extremamente difícil de ser descoberta por força bruta.

Não utilize o usuário “admin”

O usuário admin é o primeiro alvo de ataques automatizados.

Crie um usuário administrativo com outro nome e remova o admin padrão.

Não exponha o usuário de login

Se seus posts mostram o nome do autor, configure o WordPress para exibir um apelido público diferente do login.

Exemplo:

Autor exibido no site: Alexandre
Usuário real para login: usr_site_admin01

Isso dificulta ataques de força bruta.

Procedimentos um pouco mais técnicos

(caso não saiba, peça ajuda ao seu técnico ou webmaster)

Verifique se seus plugins ainda são mantidos

Plugins abandonados são uma porta de entrada comum para invasões.

Verifique sempre:

  • data da última atualização
  • compatibilidade com versões recentes do WordPress

Se um plugin não recebe atualização há meses ou anos, procure uma alternativa.

Remova plugins que não estão em uso

Plugins desativados ainda podem conter vulnerabilidades.

Remova todos que não estiverem sendo utilizados.

Remova temas que não estão em uso

Deixe apenas o tema ativo e, se desejar, um tema padrão de fallback.

Temas antigos também podem conter falhas de segurança.

Utilize um plugin de segurança

Recomendamos os plugins:

Wordfence Security
ou
Sucuri Security – Auditing, Malware Scanner and Hardening

Ambos possuem versões gratuitas.

Eles ajudam a:

  • detectar malware
  • bloquear ataques
  • reforçar permissões de arquivos
  • ocultar a versão do WordPress
  • aplicar regras extras de segurança

Verifique os SALTS do WordPress

No arquivo wp-config.php, verifique se as chaves de segurança (SALTS) estão configuradas.

Caso não estejam, gere novas chaves em:

Gerador oficial de SALTS do WordPress
(https://api.wordpress.org/secret-key/1.1/salt/)

Substitua as existentes no arquivo. Isso apenas forçará o logout das sessões atuais.

Procedimentos avançados

(deixe para seu técnico executar)

Alterar o prefixo das tabelas do WordPress

Por padrão o WordPress usa o prefixo:

wp_

Esse prefixo é amplamente conhecido e utilizado em ataques automatizados.

Recomendamos usar algo como:

xyz_
site_
abc_

Atenção: alterar o prefixo exige também renomear as tabelas no banco de dados.

Criando uma camada extra de segurança no login

Grande parte dos ataques ocorre em:

/wp-login.php
/wp-admin/

É possível adicionar uma proteção adicional via servidor.

Protegendo o wp-login.php

Adicione ao .htaccess na raiz do site:

<Files "wp-login.php">
AuthUserFile "/DADOS/sites-dominio/www.seudominio.com.br/public_html/.htpasswd"
AuthGroupFile /dev/null
AuthName "Admin – Acesso RESTRITO"
AuthType Basic
Require valid-user
</Files>

Isso exigirá uma senha extra antes mesmo da tela de login do WordPress aparecer.

Protegendo o wp-admin

Dentro da pasta /wp-admin/, crie um .htaccess com:

AuthUserFile "/DADOS/sites-dominio/www.seudominio.com.br/public_html/wp-admin/.htpasswd"
AuthGroupFile /dev/null
AuthName "Admin – Acesso RESTRITO"
AuthType Basic
Require valid-user

<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>

O admin-ajax.php precisa permanecer acessível pois é utilizado pelo frontend.

Criando o arquivo .htpasswd

Veja o passo a passo completo em:

Protegendo pastas com senha no servidor
(https://specialist.srv.br/protegendo-pastas-no-site-com-senhas/)

Utilize login e senha diferentes do WordPress.

Testando a segurança do seu site

Você pode realizar uma verificação básica em:

Scanner gratuito da Sucuri
(https://sitecheck.sucuri.net/)

Digite o endereço do seu site e clique em Scan Website.

Esse scanner verifica:

  • malware conhecido
  • blacklist
  • vulnerabilidades básicas

Importante: ele verifica apenas o conteúdo público do site.

Segurança do servidor

Além das medidas acima, nossos servidores já contam com diversas proteções adicionais, como:

  • HTTPS obrigatório
  • PHP atualizado
  • firewall contra ataques
  • mitigação de DDoS
  • regras de segurança no servidor web
  • monitoramento constante

Ou seja, a infraestrutura já está protegida — mas a segurança do WordPress depende também da manutenção do site.

Regra final (e mais importante)

Nunca esqueça:

mantenha sempre WordPress, plugins e temas atualizados.

Caso queira entender melhor o motivo disso, leia também:

Por que é necessário manter seu site atualizado
(https://specialist.srv.br/por-que-eu-preciso-ficar-atualizando-meu-site-se-eu-nao-alterei-nenhuma-informacao-nele/)

Agora que seu site está seguro…

Que tal deixá-lo também mais rápido?

Veja nosso artigo sobre otimização e performance:

Aceleração de sites
(https://specialist.srv.br/aceleracao-de-sites/)

Compartilhe isso:
Tags: , ,