9 dicas para deixar seu blog WordPress mais seguro

Ter um site hackeado é algo bem frequente hoje em dia. Os principais jornais trazem, vez por outra, manchetes sobre hackers capazes de invadir os mais sofisticados sistemas de segurança. Hackers como Anonymous e Lulz têm sido citados com certa frequência, ao conseguirem invadir sistemas de grandes empresas, bancos, governos e até da CIA – Eles geralmente buscam fazer grandes estragos…

Mas além desses grandes figurões, existem também aqueles hackers de baixo escalão, que buscam hackear sites comuns, com o único objetivo de tirar o sono de seus pobres donos.

Se você possui sites WordPress, há chances de que em algum momento você seja alvo desse segundo grupo. Se isso nunca acontecer, então você é um sortudo. E, embora a única maneira infalível de evitar ser hackeado seja desligando o seu computador ou o servidor onde seu site está hospedado, existem algumas medidas capazes de tornar seu site mais seguro.

Aqui estão 9 coisas que você pode fazer para proteger seu WordPress, além, é claro, de mudar o nome do admin, como já falei noutro post.

1 – Criptografe o seu login

Quando você vai acessar seu WordPress, sua senha é enviada sem criptografia. Se você estiver em uma rede pública, um hacker pode facilmente ‘obter’ seus dados de login usando sniffers de rede. Por isso, é sempre bom ter sua senha criptografada ao acessar sua conta. Um plugin que faz essa tarefa satisfatoriamente é o Chap Secure Login. Este plugin adiciona um hash aleatório à sua senha e autentica o seu login com o protocolo CHAP.

2 – Use uma senha forte

Mesmo que sua senha seja criptografada quando você entra, se você usar uma combinação comum ou fácil de adivinhar, essa criptografia não servirá de nada. Certifique-se de usar uma senha forte, difícil de ser advinhada pelos outros. Uma senha forte geralmente contém uma combinação de dígitos numéricos, caracteres especiais e letras maiúsculas e minúsculas. Você pode usar o verificador de password do WordPress, para checar o nível de segurança de sua senha.

3 – Defina privilégios de usuário

Se seu blog conta com um ou mais autores, certifique-se de definir quais capacidades ou papel cada um terá. Isto lhe dará a capacidade de controlar o que os usuários podem ou não podem fazer no blog. Nunca atribua a função de administrador à todos eles.

4 – Mantenha seu WP e seus plugins sempre atualizados

A equipe do WordPress está melhorando continuamente sua segurança. Uma vez que eles também são vítimas de hackers, a última versão do WordPress sempre contém correções para erros e vulnerabilidades de segurança.

blog wordpress seguro

5 – Mantenha um backup do seu banco de dados WordPress

Talvez esse seja o ponto mais importante de todos. Independente do que você faça, o riso de que seu site seja invadido sempre existirá. E quando hackers tirarem seu site do ar, um backup é a única coisa que garantirá que você o terá no ar novamente, em sua última versão. Alguns provedores de hospedagem oferecem recursos bem eficientes para backups. Cheque com seu host a respeito disso. Caso ele não ofereça isso, procure por plugins que podem fazer o backup para você.

6 – Retire a informação de versão do seu WordPress

Quanto mais informações seu site/blog fornecer, mais um hacker tem com que trabalhar. Alguns templates exibem a versão do WordPress no código-fonte. Hackers podem facilmente se apossar dessa informação e promover um ataque específico, visando a vulnerabilidade de segurança para sua versão. Para remover a informação da versão do WordPress, faça login no seu painel, vá até “Aparência => Editor”. No lado direito, clique sobre o arquivo header.php. Do lado esquerdo, onde você vê um monte de códigos, procure uma linha que se parece com:

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />

Apague-a e pressione “atualizar arquivo”. Em algumas versões o WordPress inclui automaticamente a versão na seção Wp_head. Para corrigir isso, você pode simplesmente instalar o plugin WP-Security Scan .

7 – Proteja sua pasta wp-admin

Sua pasta wp-admin contém todas as informações importantes do seu blog e ela é o último lugar que você quer que seja acessado por outros. Use o AskApache Password Protect para proteger com senha o diretório wp-admin e permitir acesso apenas à quem você desejar.

8 – Execute uma verificação de segurança regularmente

Instale o plugin Acunetix WP Security e execute uma varredura regular de seu blog para encontrar quaisquer brechas de segurança. Este plugin também pode ajudá-lo a mudar seu prefixo de banco de dados de “wp_” para um prefixo personalizado.

9 – Bloqueie ataques de força bruta

Hackers podem facilmente invadir seu blog usando ataques de força bruta. Para impedir que isso aconteça, você pode instalar o plugin Login LockDown . Este plugin registra o endereço IP e timestamp de cada tentativa de login que falhou. Uma vez que são detectados um determinado número de tentativas fracassadas, ele irá desativar a função de login para todas as solicitações de acesso.



“Aos vinte e poucos anos eu decidi que iria aprender a “ganhar dinheiro na internet”. Aos trinta ainda não sei quase nada. Mesmo assim, tive a cara de pau de criar este blog para ensinar você como fazer isso.” [...] Continue lendo

{ 1 comentário… Clique aqui para comentar }

  • Fernando Toledo 01/06/2017, 8:25 am

    Dicas muito boas. Obrigado!

Deixe um comentário