Segurança em Sites WordPress

Antivirus Kaspersky
maio 7, 2014
Servidor de Hospedagem
abril 24, 2019

Como o WordPress é uma plataforma de desenvolvimento de sites muito popular, é muito comum que proprietários de sites desenvolvidos no WordPress fiquem receosos quanto a segurança da plataforma. Normalmente os argumentos mais comuns são relacionados ao fato de softwares desenvolvidos em plataformas de código aberto (open source) serem vulneráveis a ataques. Porém isso não é totalmente verdade.

Como qualquer software que trata de manipulação de dados importantes, devemos ter certos cuidados no desenvolvimento e manutenção desses softwares tomando certas medidas e responsabilidades relacionadas a segurança. Esse artigo tem como objetivo listar algumas medidas que fortaleceram a segurança dos seus sites desenvolvidos no WordPress.

Proteja a página de login e evite ataques de força bruta.

Por ser uma plataforma de código aberto, o WordPress possuí uma URL padrão para realizar o login no site. O painel de Back-End do site é acessado adicionando-se no final de qualquer /wp-login.php ou então /wp-admin no final do nome de domínio do site. Essa URL padrão facilita o ataque de força bruta realizado por hackers, pois eles já sabem qual página deve ser direcionado seus ataques de força bruta.

Uma das maneiras de remediar essa situação é personalizando a URL da página de login. Recomendamos que essa alteração seja feita antes de colocar o site ao ar.

Proteja seu painel de administração

O painel de administrador do WordPress /wp-admin é a seção mais protegida do WordPress e justamente por isso é a mais desejada pelos hackers. Atingir o painel de administração é um verdadeiro desafio, porém se for cumprido, dá ao hacker uma vitória enorme e um potencial para causar danos enormes ao site.

Um das maneiras mais simples de proteger o painel de administrador do WordPress é colocando uma senha para acessar o diretório /wp-admin, assim o usuário terá que passar por duas senhas para conseguir acessar esse diretório, uma delas ao fazer o login, e outra para fazer o acesso ao /wp-admin.

Também existem plugins como o AskApache Password Protect para proteger a área de administração. Ele gera automaticamente um arquivo .htpasswd , criptografa a senha e configura as permissões de segurança do arquivo.

Proteja o banco de dados

O WordPress sempre pede que se crie um banco de dados para concluir sua instalação, esse banco de dados ajuda a criar e gerenciar dados de páginas web de forma dinâmica. Porém assim como a URL padrão de login, o WordPress cria prefixos de tabela por padrão no banco de dados, ou seja, as tabelas criadas pelo WordPress tem o prefixo wp- por padrão.

O uso do prefixo padrão torna o banco de dados do site propenso a ataques de injeção SQL. Esse ataque pode ser evitado mudando wp- para algum outro termo, por exemplo, você pode usar mywp- , wpnew-, etc. Recomendamos que o desenvolvedor altere esse prefixo antes de colocar o site ao ar, como uma medida para aumentar a segurança.

Uma outra medida de segurança é realizar backups do seu banco de dados, que caso o pior aconteça, com um backup do banco é possível restaurar todo o conteúdo do site.

Proteja sua configuração de hospedagem

Apesar de quase todas as empresas de hospedagem de sites afirmar que fornecem um ambiente otimizado e seguro para o WordPress, é sempre possível dar um passo maior para fortalecer a segurança dos seus sites.

Uma dessas maneiras é utilizar WAF – Web Application Firewall, um novo conceito de Firewall para web. O WAF é um filtro de acesso ao servidor de hospedagem, que através de um conjunto de regras, protege o seu site de ataques comuns de hackers.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

× (Estamos Online) CLIQUE