Não é agradável ver um site hackeado. Um ataque a um site WordPress pode causar danos ao seu negócio a curto e longo prazo, especialmente se acontecer repetidamente. Um ataque a um site pode resultar na eliminação de dados do site e numa queda nas classificações dos motores de busca, seja por causa de páginas em falta ou porque o Google deteta código malicioso no site. Estima-se que aproximadamente 30.000 sites são hackeados todos os dias. Além disso, aproximadamente 43% dos ataques a sites têm como alvo pequenas empresas, e os dados mostram que apenas cerca de 14% desses sites estão adequadamente protegidos. Por que deveria fazer parte das estatísticas?
Existem várias soluções para proteger o seu site WordPress, e muitas delas podem ser implementadas por si mesmo. É verdade que pode restaurar rapidamente um site WordPress se tiver um backup atualizado (e é muito importante ter um), mas é melhor evitar o incómodo, a dor de cabeça e a perda de tempo com antecedência.
Como proteger um site WordPress?
Senhas fortes
Muitos ataques a sites WordPress envolvem ferramentas de adivinhação de senhas. Crie senhas fortes e certifique-se de que todos os utilizadores do site tenham senhas fortes. Essa senha deve conter pelo menos 12 a 16 caracteres diferentes, incluindo letras maiúsculas e minúsculas, números e caracteres especiais. Você também pode usar o próprio WordPress, que possui um gerador de senhas na página de criação de utilizadores.
Instale um plugin de segurança
Existem vários plugins de segurança muito bons para o WordPress, e mesmo as suas versões gratuitas oferecem uma boa proteção básica para o seu site. Plugins de segurança recomendados para o WordPress:
É importante verificar o desempenho do site após instalar e ativar o plugin de segurança. Se o plugin causar problemas ou tornar o site mais lento, vale a pena experimentar outro plugin. Não se esqueça de fazer um backup do site antes de instalar o plugin de segurança.
Mantenha o sistema atualizado
O WordPress é atualizado com frequência e, na maioria dos casos, essas são atualizações de segurança que corrigem várias vulnerabilidades e problemas no sistema de gerenciamento de conteúdo. Algumas atualizações são realizadas automaticamente, mas as atualizações importantes terão de ser feitas manualmente, pois é importante verificar o site depois para garantir que tudo está a funcionar.
Muitos proprietários de pequenas empresas negligenciam os seus sites e esquecem-se de os atualizar. Um sistema desatualizado expõe o seu site a pirataria informática, por isso é importante visitar a interface de gestão frequentemente e atualizar conforme necessário.
Também pode ativar as atualizações automáticas no seu site WordPress e simplesmente deixar o sistema atualizar-se conforme necessário.
Fique atento aos plugins e modelos
Os plugins e modelos do WordPress também precisam de ser atualizados. Na verdade, os plugins e modelos são um ponto fraco que os hackers adoram explorar. Plugins antigos e desatualizados, por exemplo, podem definitivamente representar um risco de segurança para o seu site. Se os desenvolvedores do plugin pararam de atualizá-lo, deve considerar excluí-lo ou substituí-lo por um novo plugin.
Com os modelos, a situação pode ser ainda mais frustrante, pois o seu desenvolvimento é frequentemente abandonado, e alterar o design de todo o site por motivos de segurança não é algo que as pequenas empresas tendem a fazer. No entanto, um modelo WordPress muito antigo representa definitivamente um risco de segurança para o seu site, e vale a pena substituí-lo ou contratar um profissional para atualizar o código do modelo.
Ocultar o ecrã de login do WordPress
Um vetor de ataque muito comum em sites WordPress é o ecrã de login. Quando o WordPress é instalado, este ecrã está localizado num URL específico e predeterminado, tornando-o um alvo muito fácil para varredura e ataque. Em vez de ter o ecrã de login num endereço que termina em wp-admin, pode colocá-lo num endereço diferente, como enterhere.php ou qualquer outra extensão que escolher.
A alteração do endereço da tela de login pode ser feita editando o código do WordPress ou usando um plugin como o WPS Hide Login.
Desativar solicitações xmlrpc.php
O WordPress vem com um protocolo XML-RPC que permite que softwares externos publiquem posts, salvem cópias, ofereçam opções avançadas de edição e muito mais. Essas opções representam um risco à segurança do seu site, pois abrem as portas para o recebimento de informações externas sem interrupção.
A partir da versão 3.5 do WordPress, esta função está ativada por predefinição e não há como desativá-la através da interface de administração do WordPress. No entanto, pode editar os ficheiros através da interface de administração do alojamento do seu site para desativá-la. Escrevemos um guia para si: Desativar solicitações xmlrpc.php através do seu servidor de alojamento.
Certifique-se de que o seu serviço de alojamento está a utilizar a versão mais recente do php
Assim como trabalhar com versões mais antigas do WordPress, trabalhar com versões mais antigas do php também não é seguro. A versão do php é definida no servidor de alojamento do seu site, e muitos serviços de alojamento permitem que você mesmo defina a versão do php usando o cPanel. Certifique-se de trabalhar com a versão mais recente do php.
Escolha uma hospedagem segura
Antes de adquirir hospedagem para o seu site, verifique se o serviço de hospedagem dá ênfase suficiente à segurança e aos backups do site. Procure informações específicas no site da empresa de hospedagem ou pergunte ao atendimento ao cliente quais medidas de segurança são tomadas nos servidores.
Uma hospedagem segura reduzirá significativamente as chances de o seu site ser hackeado e poupará muito trabalho e tempo.
Mude o seu site para um servidor virtual
Um servidor virtual é uma excelente solução para reforçar imediata e significativamente a segurança do seu site WordPress. Num servidor partilhado, partilha espaço com muitos vizinhos, alguns dos quais podem representar um risco de segurança, independentemente das medidas de segurança que tomar.
Ao hospedar o seu site WordPress num servidor virtual, você lhe dá uma infraestrutura de maior qualidade, mais estável, mais rápida e mais forte e, claro, significativamente mais segura. A parte do servidor que você ocupa é inteiramente sua (por isso é chamada de "privada"), então você não corre risco de comportamentos descuidados ou ataques a sites que não pertencem a você.