O século passado foi o século dos leitores, nunca antes tantas pessoas tiveram acesso à leitura, editoras aumentaram em número e tamanho.

Esse século já dá sinais de que, entre outras coisas, será um século de escritores. Ler já não é o suficiente e nos sentimos impelidos a escrever sobre nossas experiências e opiniões nos tornando cronistas, críticos, jornalistas e até autores.

Satisfazemos parte desse impulso em redes sociais como o Facebook, mas elas são suportes efêmeros e muitas vezes perdemos o que publicamos nelas.

Quem leva a escrita mais a sério acaba buscando um blog como o WordPress.com ou até um domínio próprio com sua própria instalação do WordPress o que lhe garante mais flexibilidade e recursos.

Profissionais liberais, autônomos e empresas em geral precisam ter um domínio próprio para construir uma presença online mais palpável.

O problema é que, desde o ano passado, ficou bem claro que estamos definitivamente na era da ciberguerra.

Quem tem um site em um bom hospedeiro sofre menos, mas muitos hospedeiros não conseguem proteger bem suas “portas” e sites feito em WordPress são invadidos, recebem milhares de comentários maliciosos e levam seus donos à beria de um ataque de nervos.

Decidi então criar esse artigo com as principais dicas para fazer a segurança do seu site em WordPress.

Infelizmente a segurança perfeita é um sonho quase impossível, mas há medidas simples que podem reduzir a quase zero as chances de sermos perturbados.

Provavelmente você vai querer pular direto para o título Plugins, mas o Na mão (a seguir) é útil para você entender o que os plugins fazem.

Na “mão”

É como eu disse: não há segurança perfeita. Todo tempo há novidades e, além dessas medidas, pode haver outras. Veja a data do post e se fiz alguma atualização.

  1. Assim que instalar seu WordPress crie um novo usuário cujo login não seja “admin” e apague o usuário criado na instalação. Isso cria duas dificuldades para o cracker: seu site não terá nem um usuário com login “admin” e nem com o id=1.
  2. Use uma senha forte. Sugiro o 1Password ou o Keepass para gerar e administrar senhas.
  3. Se não quiser usar um gerador então faça uma com 10 letras maiúsculas e minúsculas, números e pelo menos um símbolo. Faça uma para cada serviço que utiliza, guarde em um papel muito seguro que não possa nem ser destruído e nem roubado por… Quer saber? Esquece esse item e use um dos gerenciadore de senhas do item 2!!
  4. Use temas e plugins que são atualizados com frequência (e os atualize sempre)
  5. Use apenas plugins necessários.
  6. Atualize sempre seu WordPress
  7. Apague todos os templates que não for usar deixando apenas o que você usa e o tema padrão do WordPress mais recente
  8. Instale um navegador só para atualizar seu site (pode ser o Opera, o Chrome ou qualquer outro recente). Não use esse navegador para mais nada.
  9. Mantenha seu computador Windows livre de virus e outras pragas
  10. Faça backup do seu site (arquivos e banco de dados) regularmente.
  11. Quando instalar o WordPress mude o nome da pasta wp-content (daqui para frente as dicas são mais técnicas)
  12. Apague o arquivo de instalação do WordPress em wp-admin
  13. Apague o arquivo readme.txt na pasta raiz do WordPress
  14. Ajuste os seguintes arquivos para “somente leitura”: wp-config.php, index.php
  15. Ajuste a pasta wp-admin para aceitar apenas leitura

Pode parecer muita complicação, mas quase todas essas providências são feitas uma única vez ao instalar e configurar o WordPress. Você pode sugerir ao seu amigo que vai te ajudar que estude cada um desses itens e os links que deixarei mais no final. Será bom para ele e ótimo para você.

Somente o backup é um trabalho, digamos, mensal. Mas há plugins que ajudam nessa tarefa enviando o backup periodicamente para seu email ou para o Dropbox – se você não conhece o Dropbox vá conhecer AGORA 😉

Plugins

Os plugins basicamente vão te ajudar a cumprir os principais dos passos acima e vão implementar alguns outros recursos de segurança.

As opções deles são vastas então vou deixar apenas os links para os dois que me parecem melhores e uns breves comentários sobre cada um.

  • Better WP Security: É o que está sendo usado nesse site. É o mais elogiado. Sugiro seguir as instruções aba-a-aba. Ele tem um botão “faça tudo sozinho” na primeira aba que talvez funcione bem em um site recém criado, mas pode causar efeitos indesejados. Leia atentamente cada aba (user, away, ban etc.) para escolher conscientemente o que você deixará que ele altere.
  • Wordfence Security: Ouvi avisos de que ele tem falhas de segurança, mas estou testando em outro site (com muito 10x mais visibilidade que esse, a propósito) com bons resultados e a proposta dele é muito interessante: usar um serviço na nuvem que aprende e bloqueia formas de ataque além de detectar se o seu site foi invadido e extrair o invasor com um clique. Vale a pena pesquisar esse plugin e ver se ele já resolveu os problemas.

Fontes

Agradecimentos

Imagem no cabeçalho: A fortaleza em Fort Knox que guardava as reservas de ouro dos EUA e se tornou símbolo mundial da segurança durante boa parte do século passado.

 

 

Pin It on Pinterest

Share This

Compartilhe!

Mande para suas redes sociais