Site em Wordpress é seguro?
Internet insegura não é vantagem para ninguém, por isso investimos em divulgar boas práticas de segurança para Sites em Wordpress, para que mais e mais usuários possam usufruir de sites confiáveis na plataforma líder mundial que é utilizada por mais de 70% dos sites no Mundo.
Respondendo a pergunta do título. Site feito em Wordpress é Seguro? A resposta é sim, grandes empresas e e-commerce utilizam sites em Wordpress , alguns exemplos famosos Catraca Livre Revista veja Santos FC e até a Casa Branca dos EUA .
Logo podemos dizer que sim, Site feito em Wordpress é seguro. Mas ….. Precisa de alguns cuidados para deixar o seu Website seguro e evitar dores de cabeça, neste post vamos dar dicas básicas de segurança em Wordpress para você que desenvolve sites possa aplicar e para você que está avaliando uma proposta de criação de sites em Wordpress para seu negócio possa ter a confiança que você espera.
Dica de Ouro em Wordpress
A primeira dica não é nenhuma mágica e nem nada do outro mundo, ao contratar um site feito em Wordpress, observe os pontos Básicos;
Use Temas Wordpress Originais, ou de preferência para programadores que personalizam o Wordpress, jamais aceite um tema pirata.
Exija Plugins wordpress originais, impossível fazer um bom site com plugins nulleds ou piratas, pois você coloca sua imagem e a imagem da sua empresa em jogo.
Atualização de Temas e plugins: Indispensável para um site Seguro
Ao contratar uma empresa para desenvolver seu site, já solicite um orçamento para que a Agência de Criação de Sites cuide da manutenção do seu site, sites wordpress requerem constantes atualizações para permanecer sempre seguro.
Um pouco mais de segurança para seu Site Wordpress
Até agora nada de mais, apenas o básico que qualquer “sobrinho” que “mexe com site” tem que fazer, qualquer coisa fora disso, é dor de cabeça na certa, abaixo configurações um pouco mais avançadas de segurança.
Segurança de Sites: Hospedagem Wordpress e cPanel
Primeiramente contrate uma hospedagem confiável evite Hospedagens comparitlhadas, agoara vamos lhes dar um passo a passo para deixar seu site mais seguro em Hospedagem com Cpanel.
a) Permissões de Arquivos e Diretórios:
As permissões de arquivo no Linux são fundamentais para determinar quem pode ler, escrever ou executar determinados arquivos ou diretórios.
– Arquivos: Devem ter permissão `644`, o que significa que o proprietário tem permissão de leitura e escrita, e todos os outros apenas de leitura. – Diretórios: Devem ter permissão `755`, permitindo ao proprietário todas as permissões, e aos outros apenas leitura e execução.
Como configurar seu site no cPanel:
1. Faça login no cPanel.
2. No menu “Arquivos”, clique em “Gerenciador de Arquivos”.
3. Navegue até a raiz do WordPress.
4. Selecione todos os diretórios, clique com o botão direito e escolha “Alterar permissões” e defina como `755`.
5. Faça o mesmo para arquivos, mas defina como `644`.
6. Encontre o arquivo wp-config.php e defina ele como ‘600’
7. Encontre o arquivo .htaccess e defina ele como ‘604’
Estes dois últimos passos são importantes para que ninguém tenha acesso aos seus arquivos de configurações do wordpress.
Benefícios: Estas permissões garantem que os arquivos não sejam facilmente alterados por usuários
2. wp-config.php
O primeiro passo para deixar seu site seguro é configurar o wp-config.php, este é o arquivo de configuração do seu site:
Chaves de autenticação Salt:
As chaves de salt (ou chaves de segurança) no WordPress são um conjunto de strings aleatórias usadas para fortalecer a segurança das informações sensíveis armazenadas nos cookies dos usuários e nas senhas dos usuários. Elas desempenham um papel crucial na proteção do WordPress contra ataques de força bruta, que é quando um atacante tenta adivinhar senhas por tentativa e erro.
As chaves de salt são importantes, e cuidam de algumas funções de segurança do seu site
- Cookies de autenticação: Quando um usuário faz login no WordPress, o sistema cria um cookie de autenticação que armazena informações de sessão para manter o usuário logado. As chaves de salt são usadas para criptografar esses cookies, tornando-os mais difíceis de serem interceptados ou manipulados por atacantes.
- Senhas de usuários: As senhas dos usuários não são armazenadas no WordPress como texto simples; em vez disso, são passadas por uma função de hash, que transforma a senha em uma sequência de caracteres irreversível. As chaves de salt são usadas como parte desse processo de hash, tornando mais difícil para os atacantes usar técnicas de força bruta para quebrar senhas.
- Renovação automática: O WordPress gera automaticamente chaves de salt durante a instalação ou quando você modifica as configurações de segurança. Isso significa que, periodicamente, as chaves de salt são alteradas, o que torna ainda mais difícil para os atacantes preverem ou quebrarem os cookies e senhas.
Para entender melhor como as chaves de salt funcionam, é útil saber que elas são armazenadas no arquivo de configuração do WordPress, chamado “wp-config.php”. No arquivo, você encontrará definições para quatro chaves de salt diferentes: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY e NONCE_KEY. Cada uma delas é usada para um propósito específico na segurança do WordPress.
É essencial manter essas chaves de salt seguras, não compartilhá-las publicamente e atualizá-las regularmente. Se um atacante obtiver acesso a essas chaves, isso poderá comprometer a segurança do seu site.
Estas chaves são fundamentais para garantir a segurança dos cookies e da informação de login.
Como fazer para atualizar as chaves salt
1. Acesse o [Gerador de Chaves do WordPress] em https://api.wordpress.org/secret-key/1.1/salt/
2. Copie as chaves geradas.
3. Abra o `wp-config.php` através do “Gerenciador de Arquivos” no cPanel.
4. Substitua as chaves existentes pelas que você copiou.
3. Desabilitar edição de tema, edição de plug-in, e forçar usar ssl no login e no wp-admin
Inclua as linhas abaixo, no arquivo wp-config.php
define(‘DISALLOW_FILE_EDIT’, true );
define(‘DISALLOW_FILE_MODS’, true );
define(‘FORCE_SSL_LOGIN’, true );
define(‘FORCE_SSL_ADMIN’, true);
Isso previne a edição de temas e plugins diretamente pelo painel do WP.
4. Alterar o arquivo .htaccess
O arquivo .htaccess (hipertexto acessível) é um arquivo de configuração utilizado principalmente em servidores web que usam o servidor web Apache. Ele permite que os administradores de sites configurem várias diretivas para controlar o comportamento do servidor web e do site. Embora o arquivo .htaccess não esteja diretamente relacionado às chaves de sal no WordPress, ele desempenha um papel importante na segurança e no funcionamento adequado de um site WordPress.
a) Proteger o arquivo `.htaccess`
<files .htaccess>
order allow,deny
deny from all
</files>
b) Bloquear acesso aos arquivos de configuração
<files wp-config.php>
order allow,deny
deny from all
</files>
c) Prevenir enumeração de usuários
RewriteCond %{QUERY_STRING} author=d
RewriteRule ^ /? [L,R=301]
d) Impedir acesso a arquivos sensíveis
<files xmlrpc.php>
order allow,deny
deny from all
</files>
<files readme.txt>
order allow,deny
deny from all
</files>
<files license.txt>
order allow,deny
deny from all
</files>
Como fazer no cPanel:
1. Acesse o “Gerenciador de Arquivos”.
2. Navegue até a raiz do WordPress.
3. Abra o `.htaccess` para edição.
4. Adicione as regras acima.
5. Salve as alterações.
Benefícios das regras do .htaccess na segurança do seu Site.
Estas regras adicionam camadas de segurança, evitando o acesso direto a arquivos essenciais, bloqueando tentativas de descobrir nomes de usuários e protegendo contra ataques a arquivos específicos.
Mais Dicas de Segurança Básica para seu Site
Usando o Robots.txt como medida de segurança adicional para o site
Crie um arquivo Robots.txt na raiz do Site Wordpress
Entre no diretório raiz do seu site e crie um novo arquivo, renomei como robots.txt e salve as linhas abaixo dentro dele;
robots.txt
User-agent: *
Disallow: /wp-admin/
Disallow: /wp-includes/
Disallow: /wp-login.php
Disallow: /xmlrpc.php
Disallow: /wp-content/plugins/
Disallow: /wp-content/themes/
Disallow: /cgi-bin/
Disallow: /wusage
Disallow: /tag/
Disallow: /tags/
Disallow: /uncategorized/
Disallow: */trackback
Usando o Robots.txt como medida de segurança adicional para o site
O arquivo robots.txt é um arquivo de texto utilizado pelos motores de busca, como o Google, Bing e outros, para entender quais partes de um site devem ser rastreadas e indexadas e quais devem ser ignoradas. Embora não seja uma medida de segurança direta para proteger seu site contra ameaças cibernéticas, ele desempenha um papel importante na administração e na gestão da visibilidade do conteúdo do seu site nos resultados de pesquisa.
Embora o arquivo robots.txt não seja uma ferramenta de segurança em si, ele pode ser usado para evitar que os motores de busca rastreiem diretórios sensíveis do seu site, como áreas de administração ou conteúdo privado. Isso pode adicionar uma camada adicional de segurança, tornando essas áreas menos visíveis.
Utiliza plug-in de segurança para o Wordpress
Segurança nunca é demais, depois das configurações acima utilize também um plug-in de segurança, não utilize um plug-in muito pesado para não atrapalhar o desempenho do seu site, pois as configurações acima já fazem parte deste “pack de segurança”, mas recomendo usar pelo menos um plugin de segurança que pode ser o iThemes Security , Jet Pack ou o Siteground Security prefiro este último por ser mais leve e muito eficiente.
Somos a JM Sites Marketing Digital, desenvolvemos Sites Wordpress para Prestadores de Serviços em todo o Brasil acesse https://jmsites.com.br
