Executando verificação de segurança...
28

O WordPress é seguro mesmo?

Conclusão no inicio ?

Nenhum sistema é 100% seguro, mas a comunidade é muito ativa e todas as falhas encontradas são resolvidas de forma bem rápida. Eis a grande vantagem do OpenSource.

Nos meus 7 anos de experiencia posso te afirmar, sim é seguro.

Então por que o seu site está sendo hackeado ?

Embora o WordPress seja uma plataforma segura, a segurança final de um site depende de como ele é usado e mantido. Os principais problemas dos sites hackeados são:

  • Plugins e temas desatualizados ou inseguros
  • Senhas fracas
  • Configurações de servidor inseguras
  • Não atualizar o WordPress

Que tal fazer um check-up ?

Existem alguns plugins que podem te ajudar nessa etapa e deixo aqui minha sugestões:

Wordfence: É um dos melhores plugins de segurança para o WordPress. Ele oferece uma variedade de recursos de segurança, como um firewall, verificação de saúde, controles de acesso e notificações. Esses recursos ajudam a evitar que vírus e outros malwares que podem comprometer seu site. A verificação de segurança do Wordfence analisa filas de milhares de arquivos para detectar vulnerabilidades e testa seu site para detecção de malware.
Ferramenta sensacional!!

Sucuri SiteCheck scanner: Verifica o site em busca de malware conhecido, vírus, status de lista proibida, erros de site, software desatualizado e código malicioso.

WPScan: É um scanner de segurança WordPress de código aberto. Você pode usá-lo para verificar o seu site WordPress em busca de vulnerabilidades conhecidas no núcleo do WordPress, bem como plug-ins e temas populares do WordPress.

Checklist de segurança WordPress

Atualizações e Manutenção

  • Manter o core do WordPress atualizado
  • Suporte para a versão mais recente do PHP
  • Atualizar temas e plugins
  • Remover temas e plugins não utilizados
  • Substituir plugins desatualizados sempre que possível

Hospedagem e Servidor

  • Adotar um serviço de hospedagem seguro
  • Criar lista permitida de IP’s para acessos SSH e SFTP seguros
  • Instalar certificado SSL para HTTPS
  • Acessar o servidor apenas por SFTP ou SSH
  • Configurar as permissões das pastas para 755 e arquivos para 644

Usuários e Acesso

  • Fortalecer usuários e senhas
  • Gerenciar usuários para acesso controlado ao WordPress
  • Estabelecer limite de tentativas de login
  • Utilizar a autenticação de dois fatores para o login
  • Usar um e-mail para fazer login ao invés de um nome de usuário
  • Alterar a senha periodicamente

Banco de dados

  • Alterar o prefixo das tabelas no banco de dados
  • Configurar backups semanais do banco de dados
  • Usar senhas fortes no usuário do banco de dados

Segurança do Site

  • Utilizar o captchas em nos formulários
  • Fazer backup
  • Alterar as chaves de segurança no wp-config
  • Bloquear várias tentativas de login (Wordfence)
  • Ativar autenticação de 2 etapas (Google Authenticator)
  • Alterar o endereço da página de login (Wordfence)
  • Remover links para a página de login
  • Tornar a mensagem de erro de login genérica
  • Desabilitar a API REST do WP caso não esteja utilizando
  • Proteger a pasta wp-admin com senha
  • Instalar algum plugin para verificar se algum arquivo foi editado (Wordfence)
  • Agendar escaneamento semanal no site à procura de vírus, malwares e falhas de segurança
  • Apenas instalar temas e plugins de fontes confiáveis
  • Remover a versão do WordPress no tema
  • Certificar-se que o arquivo wp-config.php não possa ser acessado por outras pessoas
  • Desabilitar o editor pelo wp-config.php
  • Prevenir a pesquisa de diretórios via .htaccess
  • Remover ou bloquear via .htaccess os arquivos license.txt, wp-config-sample.php e readme.html

Faltou algum item ? Adicione nos comentários e me ajude a manter o wordpress cada vez mais seguro!

Carregando publicação patrocinada...
7

O problema é que quem procura WP, muitas das vezes nem tem conhecimento dessa camada exposta no texto. A pessoa só quer colocar algo no ar a baixo custo, ou então devs em inicio de carreira precisando fazer dinhwiro rápido e subindo sites em WP sem sequer saber o perigo que está expondo o cliente (quem nunca?). Mas nesse caso o perigo não é relativo apenas à ferramenta, mas ao proprio dev, que sequer têm ideia da existência desse chechlist de segurança.

2

Obrigado pelo seu comentário. Você levantou um ponto muito importante. A facilidade de uso do WordPress é uma verdadeira faca de dois gumes, é uma das razões pelas quais ele é tão popular, mas isso também pode levar a uma falsa sensação de segurança.

O que atraí uma grande parte das pessoas que usam o WordPress não têm conhecimento técnico profundo e podem não estar cientes dos riscos de segurança. Isso é muito comum entre os desenvolvedores em início de carreira ou para aqueles que estão apenas procurando uma solução de baixo custo.

3

Uma boa é, se vc não usar nenhum plug-in que se conecte com terceiros, como o Jetpack, desative o XMLRPC do WordPress, pois uma vez com seus dados, geralmente é por ele que os hacker realizam ações remotamente no seu site.

Da pra fazer isso apagando o xmlrpc.php da raiz do servidor, ou pelo próprio wordfence mesmo :)

2
1

Eu ainda não conhecia o CodeBites. Quem sabe, no futuro, eles implementem uma funcionalidade para adicionar aos favoritos aqui no tabnews? Isso seria muito legal!!

1

Ótimo check-list, tem como favoritar? isso são coisas que tem q ser feitas não só no WP, mas em todo site/aplicação, cada um com suas características mas no fim os check-up são parecidos. o WP mesmo é seguro e quem deixa inseguro é quem utiliza. e isso acontece em qualquer sistema. o alvo mais fácil é o humano.

-2

Eu acho que WordPress é ferramenta pra Designer. Se você quer ir p/ área de dev mas usa WordPress, você precisa virar Designer Gráfico.

Aprenda React e Next se quer atingir facilidade de criação de sites, com segurança.

-6
-6