O WordPress é um dos CMS (Content Management System) mais populares no mundo, e isso se deve a uma série de razões: é gratuito, flexível, de código aberto e possui uma ampla gama de recursos.

No entanto, devido à sua popularidade, o WordPress se torna um alvo atraente para ataques e tentativas de explorar vulnerabilidades. É essencial estar atento e tomar medidas preventivas para evitar problemas como hacking, defacing e outros ataques.

Por que um site feito em WordPress pode ser infectado?

É importante ressaltar que as infecções em sites geralmente ocorrem devido a brechas de segurança presentes no próprio site. Alguns dos principais pontos vulneráveis incluem senhas fracas usadas para acessar o painel administrativo do site, permissões de arquivo inadequadas ou a instalação de temas e plugins desatualizados no WordPress.

Ao adotar medidas de segurança, você estará fortalecendo a proteção do seu site WordPress contra potenciais invasões e infecções maliciosas.

Sendo assim, vamos deixar aqui algumas dicas valiosas para ter o WordPress rodando de forma segura no seu site.

Atualize o WordPress

O WordPress e seus plugins recebem atualizações regulares para adicionar novas funcionalidades, mas também para corrigir quaisquer brechas de segurança que possam ser exploradas por invasores para obter controle do seu blog. É de extrema importância manter o seu blog WordPress sempre atualizado, a fim de evitar que essas vulnerabilidades sejam exploradas.

Para se manter informado sobre as atualizações disponíveis, recomenda-se visitar fontes confiáveis, como o site oficial do WordPress em inglês (https://wordpress.org/) ou a versão em português para o Brasil (https://br.wordpress.org/). Esses sites fornecem informações atualizadas sobre as versões mais recentes do WordPress, plugins e temas, bem como notas de lançamento que detalham as correções de segurança implementadas.

Ao manter seu blog WordPress atualizado, você estará se protegendo contra possíveis vulnerabilidades conhecidas, garantindo assim uma camada adicional de segurança para o seu site. Lembre-se de sempre fazer backup do seu blog antes de realizar atualizações, para que você possa restaurar facilmente em caso de problemas inesperados.

Veja como atualizar seu WordPress clicando aqui.

Plug-ins desnecessários / desatualizados / descontinuados

Com a experiência que temos, podemos afirmar que esse é o principal motivo de infecções em sites feitos em WordPress.

É essencial tomar precauções ao selecionar e gerenciar os plugins em seu site WordPress. Mais de 70% das infecções ocorrem devido a brechas de segurança encontradas nos plugins.

Recomendamos que você utilize apenas plugins confiáveis e seguros. Antes de instalar um plugin, faça uma pesquisa detalhada sobre ele, verifique sua reputação, leia avaliações de outros usuários e confirme se ele é mantido regularmente e possui atualizações recentes.

Além disso, é importante manter seus plugins atualizados. Mantenha-se atento às atualizações disponíveis e aplique-as regularmente. As atualizações geralmente corrigem vulnerabilidades conhecidas e fortalecem a segurança do plugin.

Evite manter plugins inativos em seu site. Se um plugin não está em uso, recomendamos que você o remova completamente. Mesmo quando inativos, os plugins podem ser alvo de exploração e representar um risco para a segurança do seu site.

Evite também utilizar plugins desatualizados ou que não recebam mais suporte. Esses plugins podem ter vulnerabilidades conhecidas que os tornam alvos para ataques e infecções em seu site.

Ao desativar e excluir plugins que não estão sendo utilizados, você reduz o risco de possíveis brechas de segurança em seu site. Lembre-se de fazer backup regularmente do seu site para garantir a possibilidade de restauração, caso ocorra algum problema durante o processo de atualização ou remoção de plugins.

Manter uma seleção cuidadosa de plugins e mantê-los atualizados é fundamental para garantir a segurança do seu site WordPress.

Como exemplo vamos citar o Plugin Yuzo Related Post: https://wordpress.org/plugins/yuzo-related-post/

Repare que existe uma mensagem dizendo que o plugin foi descontinuado em Março de 2019, ou seja, ele não receberá mais atualizações.

Esse plugin é altamente perigoso, terá falhas de segurança explorada. Nesse caso a recomendação é para que você procure um plugin seguro que faça a mesma função.

Utilize um Tema confiável e mantenha Atualizado

A escolha de um bom tema é primordial para o bom desempenho do seu site, o tema precisa ser leve e seguro.

Na imagem abaixo citamos como exemplo o tema Twenty Seventeen, é importante reparar sempre se o tema recebe atualização, se a última atualização foi recente e se o tema é bem avaliado.

É importante sempre entrar no seu WordPress e verificar se existe alguma atualização disponível para o tema utilizado, e também deletar os temas que não estão em uso.

Arquivos e Pastas que não fazem parte do site

Evite ao máximo manter no seu FTP arquivos e pastas que não fazem parte do seu site.

É importante manter apenas os arquivos do WordPress que fazem parte do seu site, não guarde arquivos de outros sites, backup ou site antigo no seu FTP, isso pode deixar sua conta vulnerável.

Usuário para administração

Na maioria dos blogs com WordPress o usuário padrão é o “admin”, o que torna mais fácil a invasão por força bruta. Caso o seu usuário seja esse, recomendamos que altere para outro usuário menos sugestivo.
Para fazer isso crie um novo usuário e dê a ele a permissão de “Administrador”. Em seguida, logue-se com este novo usuário e apague o usuário admin.
Para tornar o blog mais seguro, é recomendável que a senha seja forte, com duas ou mais palavras, números e caracteres especiais. Por exemplo *H0$tN3t*

Endereço de administração

Normalmente a administração do WordPress é feita pelo endereço site.com.br/wp-admin

Recomendamos que altere essa URL de administração, clique AQUI e veja como fazer isso.

Bloquear o endereço de administração por IP

Faça isso apenas caso seu IP seja fixo, e caso você acesse a administração do WordPress sempre do mesmo local.

Crie um arquivo .htaccess dentro da pasta de administração do WordPress, normalmente a pasta de administração é a: wp-admin

Informe o código abaixo:

Order Deny,Allow
Deny from all
Allow from xx.xx.xx.xx

No lugar de xx.xx.xx.xx informe o seu IP.

Bloqueie o arquivo xmlrpc.php

Ultimamente, os ataques ao arquivo xmlrpc.php tem aumentado. Este arquivo é instalado por padrão por Sistemas de Gerenciamento de Conteúdo (CMS) como o WordPress. O xmlrpc.php é uma API que permite que conteúdos sejam postados por meio de aplicativos remotos, incluindo o próprio app oficial do WordPress, por exemplo.

O plugin abaixo limita as requisições do xml-rpc.php e deixa apenas recursos essenciais dos plugins q usem o xml funcionarem.

https://br.wordpress.org/plugins/disable-xml-rpc/

Plugin de checagem de vírus

Caso seu site já esteja infectado, você pode usar um plugin para fazer uma varredura em busca de urls contaminadas.

Alguns plugins que indicamos:

  • Anti-Malware from GOTMLS.NET
  • Quttera Web Malware Scanner

Anti vírus

Mantenha seu sistema operacional atualizado, passe regulamente antivírus em sua máquina, e não salve sua senha em seu computador.

Páginas Relacionadas