Protegendo o WordPress corretamente

O popular sistema de gerenciamento de conteúdo do WordPress está agora muito difundido. Neste artigo, gostaríamos de lhe dar algumas dicas para assegurar a sua instalação do WordPress.

Devido à alta distribuição do Wordpress é infelizmente também um alvo popular para os hackers e infelizmente também há ataques automatizados às instalações do WordPress onde é verificado se elas contêm falhas de segurança conhecidas.

É, portanto, muito importante que você mantenha sempre o seu WordPress atualizado. Para o uso profissional também é razoável contratar uma agência para manter o WordPress atualizado e escolher um webhoster que também utilize um firewall para proteger o sistema contra ataques conhecidos.

Nós listamos os pontos mais importantes de como proteger a sua instalação do WordPress.

[tie_list type="checklist"]
  • Mantenha o WordPress sempre atualizado
[/lista_da_liga]

O WordPress não é apenas um software para blogs, mas também pode ser equipado com várias funções através dos chamados plug-ins, ou seja, extensões. Muitos usuários usam plugins e designs (temas) especiais para websites individuais. O principal problema dos ataques é a falta de atualização das instalações.

Dica: Para a instalação do WordPress, escolha um host web com uma interface de administração que o ajude a atualizar o WordPress e os plugins. A nossa recomendação é o uso de Plesk como software de gestão.

Ative a atualização automática do WordPress.

O software é então mantido sempre actualizado. Isto também é possível para muitos Plusins.

É aconselhável entrar regularmente na interface de administração do Wordpress e verificar o estado actual do software. O WordPress mostra diretamente se as atualizações estão disponíveis.

Mais problemáticos são os temas, ou seja, desenhos acabados que normalmente contêm plus-ins pagos. Estes temas geralmente não são instalados automaticamente, mas devem ser atualizados manualmente. Para fazer isso, você tem que baixar a versão atual do tema do fabricante e copiá-lo para o diretório de temas. Após a atualização, geralmente apenas algumas configurações precisam ser feitas nas Administrações Temáticas.

[tie_list type="checklist"]
  • Use conexões criptografadas.
[/lista_da_liga]

Os dados de login do WordPress são muito procurados e podem ser facilmente espiados em uma rede insegura, por exemplo, se você entrar em um WLan aberto em um restaurante ou hotel.

Portanto, você deve sempre usar um certificado para uma página inicial. O melhor é escolher um web host que possa criar um certificado para você. Isto custa apenas alguns euros por ano para uma protecção profissional da sua instalação.

Certifique-se sempre de que tem acesso encriptado à sua instalação do WordPress via https://, bem como a recuperação segura do e-mail e, se necessário, o login seguro por FTP. Uma vez que você tenha usado uma conexão não criptografada, recomendamos a mudança imediata de todas as senhas.

[tie_list type="checklist"]
  • Guardar o ficheiro wp-login.php
[/lista_da_liga]

Há também a possibilidade de renomear o diretório wp-admin, mas isso pode levar a problemas com a funcionalidade do WordPress. A maneira fácil de proteger contra a maioria dos ataques de força bruta onde as senhas são simplesmente adivinhadas é incluir um código no arquivo .htaccess. Isto pode ser bem combinado com a proteção por senha.

[tie_list type="checklist"]
  • Proteja seu diretório de administração com uma senha.
[/lista_da_liga]

Além disso, você deve proteger este diretório com uma senha. Seu provedor oferece a opção de configuração de proteção de diretórios para determinados diretórios. Proteja seu diretório de administração com um nome de usuário e senha complicados que tenham pelo menos 12 caracteres e contenham caracteres especiais. Nunca escolha senhas que tenham apenas 8 caracteres. Estes são agora geralmente considerados inseguros e geralmente podem ser quebrados rapidamente, uma vez que foram pré-calculados dependendo do tipo de encriptação.

Após a proteção por senha, abra o arquivo .htaccess e insira o seguinte código acima

ErroDocumento 401 "Bloqueado
ErroDocumento 403 "Bloqueado

# Permite o acesso a plugins para admin-ajax.php apesar da proteção por senha


Ordem permitir,negar
Permitir de todos
Satisfazer qualquer

Isto assegura que os plugins do WordPress ainda possam chamar os arquivos.

[tie_list type="checklist"]
  • Usar plugins e temas que sejam o mais amplamente utilizados possível
[/lista_da_liga]

Os plugins são normalmente responsáveis pelas falhas de segurança no seu WordPress. Os plugins e temas são pequenos pacotes de software que são fornecidos por terceiros fornecedores. Em princípio a idéia é boa, mas agora há muitos provedores duvidosos e também provedores que simplesmente não têm conhecimento e assim criam software que contém falhas de segurança. Não há praticamente nenhuma proteção contra isso para o leigo. Por isso, recomendamos a utilização apenas de plugins que tenham sido instalados com muita frequência e que tenham uma boa classificação.

Não use temas gratuitos que você pode baixar de qualquer site. Compre um tema, por exemplo, em Themeforest ou Templatemonster a um fornecedor de elite, ou seja, equipas profissionais de programação que tenham gerado uma elevada rotatividade.

Preste também atenção à data da última instalação. Os fornecedores que não atualizam seus plugins e temas ou que já pararam o desenvolvimento não são recomendados.

[tie_list type="checklist"]
  • Eliminar temas e plugins não utilizados
[/lista_da_liga]

Se o seu site estiver pronto e quiser começar, recomendamos sempre a eliminação completa de plugins e temas não utilizados. Isto também se aplica aos próprios temas do WordPress que não podem ser removidos facilmente. Possíveis atacantes gostam de esconder seus arquivos nesses diretórios padrão, por isso é aconselhável apagar completamente os arquivos não utilizados. Você pode fazer isso através da interface de administração e, se necessário, também via FTP. Basta apagar os diretórios do diretório de temas que você não utiliza.

[tie_list type="checklist"]

Use um firewall de aplicação

[/lista_da_liga]

Se possível, você deve usar um firewall de aplicação. Este é um software que verifica cada conexão e oferece muitas possibilidades para prevenir possíveis ataques.

Com muitos provedores há opções gratuitas como o fail2ban (recomendado), mod_security WAF para bloquear ataques conhecidos ou endereços IP conhecidos e duvidosos. Com ambientes de hospedagem compartilhada, ou seja, pequenas contas de hospedagem, isso geralmente não é possível porque há muitas características especiais que não podem ser definidas globalmente. Para uso profissional, recomendamos em qualquer caso o uso de um servidor V gerenciado, portanto, um ambiente separado apenas para o seu site.

Com alguns provedores premium você também pode usar uma solução de firewall externo para o seu site. Neste caso, são adequados sistemas de, por exemplo, Barracuda, Sonicwall ou Imperva. Estes sistemas filtram o tráfego antes que ele chegue ao servidor web e assim bloqueiam a maioria dos ataques. Tal solução é relativamente cara com 50-250 euros por mês e só é adequada para uso profissional.

Conclusão: criar você mesmo um site é muito fácil com o WordPress. Também a atualização automática que muitos webhosters oferecem é útil em comparação com outros sistemas de gerenciamento de conteúdo. Se você sempre se certificar de que as extensões estão atualizadas (pelo menos uma vez por semana), então nada de muito pode acontecer com você.

O que não custa nada também não é bom. Infelizmente, isto é verdade para muitos plugins e temas. Por favor note que muitos golpistas infectam temas com código malicioso e depois os distribuem como seu próprio tema de graça. Assim que tiver instalado algo como isto, o seu website será utilizado em pouco tempo para enviar Spam ou abusos de ataques a outros.

 

Artigos actuais