Mais de 40% dos 10 milhões de principais sites online usam WordPress. Mas o WordPress é seguro? A resposta curta para esta pergunta é sim – WordPress é seguro. No entanto, isso não significa que o WordPress não tenha vulnerabilidades.
Felizmente, a comunidade WordPress documentou muitas vulnerabilidades comuns do WordPress, facilitando para administradores de sites adicionar camadas de segurança ao seu site para lidar com essas vulnerabilidades. Além disso, existem algumas maneiras fáceis de atualizar ou manter seu site WordPress para garantir que ele seja o mais seguro possível.
Neste artigo, abordarei 5 maneiras fáceis de tornar seu site WordPress mais seguro.
1. Tenha nomes de usuário de administrador exclusivos e senhas de login fortes
A página de login do administrador é a primeira linha de defesa do seu site WordPress. É onde qualquer administrador ou usuário pode obter acesso ao “back-end” do seu site e fazer alterações no site, inserir ou extrair dados do usuário/cliente ou adicionar ou remover arquivos e recursos do site – desde que tenham permissão para isso .
No entanto, atores mal-intencionados também podem usar essa página de login como um gateway para um ataque contra seu site. Por exemplo, em “Brute Force” ataques, os hackers fazem tentativas repetidas de adivinhar suas credenciais de login para obter acesso ao seu site.
Não demoraria muito para que esses hackers conseguissem invadir as informações confidenciais do seu site se você estivesse usando um nome de usuário e senha genéricos de administrador (como “admin” para o nome de usuário e “password1234” para a senha).
Portanto, a primeira coisa fácil que você pode fazer para tornar seu site mais seguro é use nomes de usuário exclusivos e senhas fortes para credenciais de login do site. Você também vai querer garantir que seu nome de usuário e senha sejam exclusivo para o seu site WordPress e não usado para outros locais de login (como seu banco on-line ou login de mídia social). Isso adicionará uma camada adicional de segurança.
Se, por outro lado, você reciclar seus nomes de usuário e senhas em vários sites, todos os sites que usam essas credenciais serão colocados em risco no momento em que um deles for comprometido por um hacker.
Se você está preocupado em perder suas informações de login, faça uma cópia em papel das informações (certifique-se de incluir letras maiúsculas apropriadas!). Guarde a cópia em papel em um local seguro onde somente você e pessoas de confiança tenham acesso (como um arquivo com fechadura).
Além disso, você pode ativar a autenticação de dois fatores ou uma senha única (OTP) para sua página de login do WordPress. Isso fornecerá outra camada de segurança para mais níveis de proteção. Por exemplo, o Plug-in de segurança do WordPress SG Security (que vem com SiteGround planos de hospedagem) vem com um recurso de "Autenticação de dois fatores" que utiliza o plug-in Authenticator do Google. Isso significa que, mesmo que um hacker adivinhe seu nome de usuário e senha de administrador, ele ainda precisará descobrir o código de autenticação gerado aleatoriamente para obter acesso ao back-end do seu site.
2. Use a versão mais recente do WordPress
Outra maneira fácil de manter seu site seguro é sempre usar a versão mais recente do WordPress. O WordPress é executado em um “ciclo de lançamento” que lança novas versões do código principal a cada 4 meses ou mais. Embora as novas versões do WordPress possam ser menores ou maiores, elas quase sempre contêm atualizações de segurança.
Essas atualizações são baseadas nas informações mais recentes de fontes como o Projeto de Segurança de Aplicações Web Abertas (Fundação OWASP), “uma comunidade on-line dedicada à segurança de aplicativos da web”.
Felizmente, o WordPress e cada uma de suas novas versões de lançamento são sempre gratuitos para instalação em seu site. E, na maioria dos casos, o WordPress atualizará automaticamente seu site para a versão mais recente (a menos que você diga especificamente para não fazer isso ou esteja usando uma versão anterior ao WordPress 3.7).
Além disso, a equipe principal do WordPress gasta muito esforço para tornar as novas versões do WordPress compatíveis com versões anteriores. Isso significa simplesmente que novas versões do WordPress são projetadas para funcionar com seus temas, plug-ins e códigos personalizados existentes.
Você pode verificar se seu site está atualizado para a versão mais recente navegando até Painel>Atualizações (seta amarela na imagem acima). Aqui, você verá qual versão do WordPress está usando e se é a versão mais recente disponível (seta vermelha na imagem acima).
Uma coisa importante a observar é que você normalmente não deseja “pular” para a versão mais recente do WordPress se estiver usando uma versão muito mais antiga.
Por exemplo, se você estiver usando o WordPress 4.9 (lançado em 2017) em seu site ativo, não recomendo tentar atualizar diretamente para o WordPress 6.2 (a versão mais recente no momento deste artigo). Isso vai quebrar as coisas.
Em vez disso, você pode baixar e instalar lançamentos anteriores para o seu site e atualize-o lentamente. Além disso, você deve fazer backup dos arquivos do seu site antes de fazer as atualizações. Eu recomendo verificar este artigo sobre as várias etapas a serem seguidas antes, durante e depois de fazer o backup do seu site WordPress. Definitivamente, pode ser um processo, mas evitará a dor de cabeça de travar seu site e tentar consertar tudo após o fato.
Observe que quanto mais antiga for sua versão atual do WordPress, mais tedioso e precário será esse processo. Este é mais um motivo para manter sua versão do WordPress sempre atualizada!
3. Atualize seu tema para a versão mais recente e desinstale temas não utilizados
O WordPress “reforça” a segurança de seus temas padrão constantemente desenvolvendo, iterando e lançando novas versões de tema. Isso significa que você sempre deve usar o tema padrão mais recente do WordPress quando puder, pois ele terá todas as atualizações de segurança mais recentes integradas.
Felizmente, é fácil dizer qual tema padrão é o mais recente porque eles nomeiam cada novo tema após o ano atual (ou próximo) quando o tema será lançado. Por exemplo, o tema que lançaram em 2023 se chama “Twenty Twenty-Three”.
Além das atualizações de segurança, os novos temas padrão também contêm muitos novos recursos projetados para tornar o design de seus sites mais fácil e agradável. Além disso, eles geralmente vêm com melhorias de desempenho para melhorar o desempenho do seu site e, assim, ajudá-lo a obter mais tráfego.
Não sabe como atualizar seus temas no WordPress? Eu mostro a você como no meu WordPress para iniciantes 2023: masterclass sem código do WordPress na Udemy.
Se você decidir usar o tema padrão mais recente para o seu site WordPress ou ficar com o tema com o qual se sente confortável, sempre exclua todos os temas inativos ou não utilizados no back-end do seu site. Isso ocorre porque temas não utilizados (especialmente temas mais antigos ou temas de terceiros) podem ter vulnerabilidades de segurança que facilitam o acesso e o ataque de hackers ao seu site.
4. Atualize os plug-ins para a versão mais recente e verifique a compatibilidade
Uma das coisas que torna o WordPress excelente é a integração de plug-ins de terceiros. No entanto, nem todos os plugins são criados iguais e alguns deles podem realmente criar vulnerabilidades de segurança para o seu site.
Felizmente, existem algumas coisas fáceis que você pode fazer para reduzir o risco de ameaças à segurança criadas por plug-ins.
Para começar, é sempre recomendável que você baixe e instale plugins WordPress do repositório WordPress. Isso ocorre porque os plug-ins listados aqui precisam ser revisados e aprovados pela equipe de segurança do WordPress antes de serem disponibilizados para download. Você pode encontrar esses plugins via este link direto para o repositório de plugins, ou diretamente dentro da WP Admin Area do seu site indo em Plugins>Add New (seta amarela na imagem abaixo).
Ao decidir qual plug-in baixar para o seu site WordPress, recomendo usar plug-ins listados como “compatíveis com sua versão do WordPress”. Felizmente, o WordPress informa se o seu plug-in e a versão do WordPress são compatíveis diretamente no diretório do plug-in (seta vermelha na imagem acima). Os plug-ins que não foram testados na versão mais recente do WordPress exibirão a mensagem: “Não testado com sua versão do WordPress” (seta azul na imagem acima).
Embora plug-ins “não testados” possam funcionar bem com sua versão e tema do WordPress, pode haver vulnerabilidades de segurança não descobertas associadas a esses plug-ins. Portanto, use esses plugins com cuidado em seu site.
Observe que O WordPress afirma em seu Livro Branco de Segurança: “A inclusão de plugins e temas no repositório não é uma garantia de que eles estejam livres de vulnerabilidades de segurança.” Dito isto, os plug-ins com “vulnerabilidades graves” conhecidas são removidos do repositório e podem até ser corrigidos pela equipe de segurança do WordPress antes de serem republicados no repositório.
Por fim, depois de instalar os plug-ins em seu site, certifique-se de mantê-los atualizados. Os desenvolvedores de plug-ins geralmente introduzem atualizações e correções de segurança com suas novas versões. Portanto, ao ter a versão mais recente de um plug-in, você garante que possui todas as atualizações de segurança mais recentes disponíveis para esse plug-in em seu site. Assim como com temas não utilizados ou inativos, também recomendo que você desative e desinstale todos os plugins não utilizados em seu site para reduzir as chances de que tais plugins criem uma vulnerabilidade de segurança posteriormente.
Se você não tem certeza de como atualizar plugins no WordPress, eu recomendo verificar este processo no meu WordPress para iniciantes 2023: masterclass sem código do WordPress na Udemy.
5. Adicione um certificado SSL ao seu domínio
A final fácil Uma maneira de adicionar mais segurança ao seu site WordPress em 2023 é adicionar um certificado SSL ao seu domínio.
Os certificados SSL (Secure Socket Layer) basicamente validam que o conteúdo que os visitantes do seu site estão vendo é proveniente do criador real do conteúdo, e não de um site impostor ou fraudulento. Em outras palavras, ele verifica se tudo é legítimo diretamente no navegador do usuário.
Os sites que possuem um Certificado SSL devidamente configurado terão um ícone de cadeado ao lado da URL do site na barra de pesquisa do navegador. Por exemplo, se você olhar a parte superior deste site no navegador Google Chrome, verá um ícone de cadeado ao lado da URL principal (seta vermelha na imagem acima). Ao clicar no ícone de cadeado, você verá uma linha que diz "A conexão é segura". Aqui é o Google verificando se a conexão entre este site e o navegador do visitante é segura e privada.
Os certificados SSL são especialmente importantes para qualquer site que coleta QUALQUER tipo de dados do usuário. Isso inclui informações simples coletadas de um formulário de contato (ou seja, nome, e-mail, número de telefone, etc.), bem como informações mais complexas ou privadas que seriam, por exemplo, coletadas de um site de comércio eletrônico (ou seja, números de cartão de crédito, endereço, etc). Ao tornar a conexão segura entre o site e os visitantes do site, os certificados SSL tornam muito difícil para os hackers roubarem as informações trocadas entre as duas partes.
Algumas empresas de hospedagem de sites cobram por um certificado SSL, enquanto outras (como Siteground) oferecerá um certificado SSL gratuito. A maioria dos provedores de hospedagem deve oferecer um certificado SSL, além de fornecer instruções sobre como instalá-lo em seu site WordPress.
Como um bônus adicional, mecanismos de pesquisa como o Google tendem a classificar sites com certificados SSL mais altos do que aqueles que não possuem um. Em outras palavras, os certificados SSL não apenas tornam seus sites mais seguros, mas também podem ajudar seu site a obter mais tráfego.
É isso para este artigo! Se você gostou, pode aprender mais sobre como criar um site WordPress do início ao fim no meu WordPress para iniciantes 2023: masterclass sem código do WordPress na Udemy.