Muito ouve-se falar sobre a plataforma WordPress ser insegura, mas não é bem assim… a verdade é que muitos dos erros que possibilitam o ataque partem do usuário, não da plataforma.
Nos últimos meses você conhece algum blog que foi invadido, hackeado, teve seus dados alterador ou apagados, se tornou parte de uma rede de distribuição de vírus, ou qualquer outro problema desse gênero?
Se a resposta for positiva saiba que isso é muito comum, principalmente por se tratar da plataforma de blogs dona de uma enorme fatia da internet, de blogs pessoais a grandes mídias acessadas por milhões de visitantes.
Segundo a Sucuri, em seu Relatório de 2017, foram analisados mais de 34 mil websites infectados, dos quais 83% eram na plataforma Wordpress, isso então significa que a plataforma é insegura?
A resposta é, não exatamente! O problema está relacionado ao método de instalação, desatualização ou arquivos comprometidos (instalados pelo próprio usuário).
Por ser uma plataforma mundialmente usada, é um alvo certo para invasores, que já trabalham a anos em métodos de burlar a segurança desses websites e blogs, buscando diariamente vulnerabilidades e formas de explora-las.
Mas fique atento as dicas que iremos passar, pois são uma boa base para você aprender a ficar de olho e sempre atento a segurança do seu WordPress.
Provedor de hospedagem inseguro
Esse é um dos principais causadores de problemas, pois as falhas e brechas que ele apresenta não estão relacionadas especificamente a você, mas a toda a estrutura de segurança.
Muitos provedores para cumprir a sua palavra com o mito da hospedagem ilimitada, lotam seus servidores para compensar o preço extremamente baixo por recursos absurdamente altos, a conclusão é que em algum momento a segurança estará comprometida, além da performance e a qualidade geral do serviço.
Para não correr esse risco com nossos clientes, mantemos sempre uma margem segura de contas nos servidores garantindo máxima segurança e disponibilidade do serviço, você pode conferir experimentando nossos planos de hospedagem de site.
Senhas fracas
Mais uma vilã quando falamos de segurança são as senhas fracas, combinações como data de aniversário, números em sequencia, ano corrente, nomes, são muitas as variações de como se pode ter uma senha de péssima qualidade e que de segura não tem absolutamente nada.
A indicação para uma proteção completa é o uso de combinações de no mínimo 8 caracteres, unindo letras maiúsculas e minúsculas, números e símbolos, além de sempre que possível usar um bom método de autenticação em duas etapas.
Permissões incorretas
A plataforma segue um padrão de segurança bem simples para as permissões, todas as pastas recebem a permissão 755 e todos os arquivos 644, porém algumas vezes as permissões são aplicadas erradas, seja na instalação ou em algum procedimento realizado pelo painel de hospedagem ou terminal, independente de como, esse erro nas permissões acaba expondo arquivos, alguns deles expõe informações importantes, como por exemplo o wp-config.php, então fique atento a essa regra.
Usar dados padrões na administração
Usuário admin e prefixo da tabela do banco de dados wp_, esses são erros muito comuns na hora de administrar um blog WordPress, por se tratar de informações padronizadas, são as primeiras a serem testadas por invasores, e combinadas a uma senha fraca, é problema na certa.
Usar essas informações padronizadas não é recomendado, altere hoje mesmo se ainda está usando alguma delas.
Falta de atualização
Nenhuma plataforma é 100% livre de falhas, com o WordPress não é diferente, exatamente por isso todo o desenvolvimento é levado muito a sério por toda a comunidade, buscando brechas de segurança e reportando aos desenvolvedores para que sejam lançadas correções assim que possível.
Na data dessa publicação a plataforma encontra-se na versão 4.9.8, mas acreditem que pela internet você encontra muitas plataformas desatualizadas, inclusive em sua versão 3.x, o que é um excelente pedido para um grande problema. Portanto, saiu atualização, atualize!
Plugins e Temas “crackeados”, os famosos Nulled
Alguma vez você buscou um plugin com uma função que precisava muito, queria mudar o tema do seu blog e descobriu que ambos eram pagos? Muitos fazem uma rápida busca no Google e encontram esses mesmos arquivos “grátis”, porém passa despercebido o fato de que eles são grátis por um simples motivo, carregam um malware, spyware, práticas de phishing, entre outros problemas.
Esses arquivos são comprados legalmente e editados para carregar essas ameaças, e depois distribuidos livremente pela internet infectando a maior quantidade de blogs que puderem.
Plugins ou temas desatualizados
Assim como a plataforma, os complementos, plugins, também precisam de atualização, eles sofrem do mesmo problema, não são a prova de falhas.
Temas mais simples não costumam ter muito perigo, mas quanto mais robusto é o seu tema, mais recursos ele oferece e mais funções passíveis a erros ele carrega, portanto mantenha sempre ambos atualizados assim como a plataforma principal.
Acesso FTP inseguro
Muitas vezes são realizados envio de arquivos através de um cliente FTP, mas essa conexão é encriptada?
Muitas vezes não, e o envio de uma senha sem encriptação pode ser o suficiente para que ela seja interceptada e usada para acessar seus arquivos de outro local, o que acaba criando maiores problemas. Use sempre a conexão sFTP ao invés da FTP.
Diretórios desprotegidos (wp-admin)
Mais uma camada extra de segurança é o uso de senhas para proteger o acesso ao painel administrativo, e isso se dá pela configuração de uma senha de acesso ao diretório, processo que pode ser ajustado facilmente através do painel administrativo do provedor de hospedagem.
Tenha um .htaccess realmente seguro
Esse é um poderoso arquivo dentro da sua plataforma, com ele você define muitas configurações e regras de segurança dentro do seu blog, por essa razão ele deve estar muito bem protegido, por isso você pode acessar nosso guia de como recuperar o htaccess do wordpress com segurança adicional, dessa forma você corre menos um risco quando o assunto é a segurança dos seus dados.
Conclusão
Todos esses ajustes de segurança dependem do provedor de hospedagem e de você, um plano de hospedagem wordpress de qualidade vai te ajudar com 90% dos problemas, mas você também deve lembrar da sua parte, mantenha essas dicas sempre em mente e não corra riscos desnecessários que podem te trazer muita dor de cabeça.
Gostou de nosso post? Compartilhe: