Imagem: Logo do WordPress

Esse site é sobre como a cibercultura e o mundo estão se transformando juntos, mas temos que conhecer as ferramentas que usamos para existir online e o WordPress é uma das principais.

A cada ano o ciberespaço de torna maior e mais importante e, infelizmente, crescem também os cibercrimes e um dos seus principais alvos é o WordPress por ser o sistema de gerenciamento de conteúdo de sites mais usado do planeta.

O objetivo dos ataques é inserir códigos em nossos sites e usá-los para cometer diversos tipos de crimes digitais.

Esse post dará uma visão geral das brechas que podem haver em nossos sites como fechá-las.

Infelizmente não é possível oferecer uma fórmula para manter o site 100% seguro, mas podemos ter um nível de segurança que repelirá a grande maioria dos ataques. Nenhum dos meus três sites pessoais nunca foram invadidos em mais de 10 anos ainda que sejam feitas mais de 50 tentativas diariamente.

Claro que geralmente o hacker não invade pessoalmente seu site, em geral a invasão é feira por robôs programados para varrer a Internet atrás de sites vulneráveis. Se um hacker competente decidir invadir  o seu site e se dedicar a isso pessoalmente é bem capaz que ele consiga, mas volto a dizer, isso é muito raro.

Vamos aos pontos principais da segurança de sites:

  1. Hospedeiro: É importante se certificar que o hospedeiro tem uma boa política de segurança que vá além de manter seu software (Apache, PHP, mySQL etc.) atualizados. Bons hospedeiros implementam rotinas de segurança como backup dos sites e firewall para identificar e bloquear ataques;
  2. Códigos do seu próprio site: você pode contratar alguém para desenvolver um pequeno programa, como um sistema de sorteio, que rode em seu site ao lado do WordPress ou das páginas HTML. Muitas vezes esses códigos tem falhas de segurança que são usadas por hackers para invadir o site. Evite a todo custo usar códigos que não sejam mantidos por uma comunidade consolidada de desenvolvedores;
  3. Núcleo do WordPress: O Worpdress é um conjunto de programas escritos em PHP e conta com uma comunidade muito ativa sempre em busca de melhorias e correção de falhas, incluindo de segurança. Atualmente é possível fazer a atualização automaticamente sugerindo-se apenas o backup antes por segurança. Você deve atualizar seu WordPress toda vez que sair uma correção ou nova versão;
  4. Temas e Plugins: Além de atualizá-los sempre que houver alteração, é importante avaliar a troca que plugins ou temas que não são atualizados há mais de 8 meses por outros similares. No caso dos temas é aconselhável deixar instalado apenas os que forem essenciais e no caso dos plugins é bom evitar os excessos também e instalar apenas plugins essenciais. Ainda sobre temas, é aconselhável optar pelos pagos ou pelo menos que sejam intensamente mantidos pela comunidade como os encontrados no próprio repositório do WordPress.org.
  5. Plugins de segurança: A comunidade WordPress está sempre melhorando a segurança do sistema, inclusive tenho sites que nunca foram invadidos e não usam plugins de segurança, no entanto considero fortemente recomendável usar um desses plugins. Os mais recomendados são o iThemes Security e o WordFence (que uso atualmente por causa da função firewall que bloqueia os ataques antes de terem acesso ao núcleo do WordPress).

A segurança do seu computador pessoal também pode comprometer a do seu site através, por exemplo, de um ataque “man-in-the-middle”, todavia é melhor abordar isso em um post sobre segurança pessoal online.

Todas as medidas que listei são gratuitas, mas há níveis de proteção pagos oferecidos pelos plugins de segurança como a capacidade de identificar invasões e corrigi-las usando um backup que eles mantém dos códigos do seu site.

Também é interessante usar um login em duas etapas (além da senha informar um código obtido no seu celular). Isso é oferecido pelas versões pagas dos plugins de segurança, mas há outros plugins que fazem essa função.

Existem ainda soluções de login como o Clef que permitem eliminar totalmente o login e senha.

Gostaria de te garantir que essas medidas te protegeriam de qualquer ataque, mas infelizmente não posso fazer isso pois a segurança (online e offline, na verdade) é um eterno cabo de força onde uns procuram fechar portas enquanto outros tentam achar frestas ou jeitos de violar as fechaduras.

No entanto você dormirá muito melhor se tomar essas medidas e usar também um sistema de backup automático como o BackUpWordPress (Existem muitos outros, esse foi um dos que funcionou melhor comigo).

Espero que esse post seja útil para você ter uma existência online mais segura e tranquila.

Pin It on Pinterest

Share This

Compartilhe!

Mande para suas redes sociais