O WordPress é seguro mesmo?
Conclusão no inicio ?
Nenhum sistema é 100% seguro, mas a comunidade é muito ativa e todas as falhas encontradas são resolvidas de forma bem rápida. Eis a grande vantagem do OpenSource.
Nos meus 7 anos de experiencia posso te afirmar, sim é seguro.
Então por que o seu site está sendo hackeado ?
Embora o WordPress seja uma plataforma segura, a segurança final de um site depende de como ele é usado e mantido. Os principais problemas dos sites hackeados são:
- Plugins e temas desatualizados ou inseguros
- Senhas fracas
- Configurações de servidor inseguras
- Não atualizar o WordPress
Que tal fazer um check-up ?
Existem alguns plugins que podem te ajudar nessa etapa e deixo aqui minha sugestões:
Wordfence: É um dos melhores plugins de segurança para o WordPress. Ele oferece uma variedade de recursos de segurança, como um firewall, verificação de saúde, controles de acesso e notificações. Esses recursos ajudam a evitar que vírus e outros malwares que podem comprometer seu site. A verificação de segurança do Wordfence analisa filas de milhares de arquivos para detectar vulnerabilidades e testa seu site para detecção de malware.
Ferramenta sensacional!!
Sucuri SiteCheck scanner: Verifica o site em busca de malware conhecido, vírus, status de lista proibida, erros de site, software desatualizado e código malicioso.
WPScan: É um scanner de segurança WordPress de código aberto. Você pode usá-lo para verificar o seu site WordPress em busca de vulnerabilidades conhecidas no núcleo do WordPress, bem como plug-ins e temas populares do WordPress.
Checklist de segurança WordPress
Atualizações e Manutenção
- Manter o core do WordPress atualizado
- Suporte para a versão mais recente do PHP
- Atualizar temas e plugins
- Remover temas e plugins não utilizados
- Substituir plugins desatualizados sempre que possível
Hospedagem e Servidor
- Adotar um serviço de hospedagem seguro
- Criar lista permitida de IP’s para acessos SSH e SFTP seguros
- Instalar certificado SSL para HTTPS
- Acessar o servidor apenas por SFTP ou SSH
- Configurar as permissões das pastas para 755 e arquivos para 644
Usuários e Acesso
- Fortalecer usuários e senhas
- Gerenciar usuários para acesso controlado ao WordPress
- Estabelecer limite de tentativas de login
- Utilizar a autenticação de dois fatores para o login
- Usar um e-mail para fazer login ao invés de um nome de usuário
- Alterar a senha periodicamente
Banco de dados
- Alterar o prefixo das tabelas no banco de dados
- Configurar backups semanais do banco de dados
- Usar senhas fortes no usuário do banco de dados
Segurança do Site
- Utilizar o captchas em nos formulários
- Fazer backup
- Alterar as chaves de segurança no wp-config
- Bloquear várias tentativas de login (Wordfence)
- Ativar autenticação de 2 etapas (Google Authenticator)
- Alterar o endereço da página de login (Wordfence)
- Remover links para a página de login
- Tornar a mensagem de erro de login genérica
- Desabilitar a API REST do WP caso não esteja utilizando
- Proteger a pasta wp-admin com senha
- Instalar algum plugin para verificar se algum arquivo foi editado (Wordfence)
- Agendar escaneamento semanal no site à procura de vírus, malwares e falhas de segurança
- Apenas instalar temas e plugins de fontes confiáveis
- Remover a versão do WordPress no tema
- Certificar-se que o arquivo wp-config.php não possa ser acessado por outras pessoas
- Desabilitar o editor pelo wp-config.php
- Prevenir a pesquisa de diretórios via .htaccess
- Remover ou bloquear via .htaccess os arquivos license.txt, wp-config-sample.php e readme.html
Faltou algum item ? Adicione nos comentários e me ajude a manter o wordpress cada vez mais seguro!