O WordPress é um CMS cada vez mais utilizado no mundo, por vários motivos: é gratuito, flexível, open source e bastante completo.

Por ser bastante adotado, é um alvo muito evidente para ataques e descoberta de vulnerabilidades. É preciso estar atento para evitar problemas, hacking, defaces, etc.

Por que um site feito em WordPress pode ser infectado?

A infecção normalmente ocorre através de brechas de segurança no próprio site, através de senhas fracas para acessar o admin do seu site, permissões de arquivo equivocadas, ou ainda a instalação de temas e plugins do WordPress desatualizados.

Sendo assim, vamos deixar aqui algumas dicas valiosas para ter o WordPress rodando de forma segura no seu site.

Atualize o WordPress

O sistema do WordPress e seus plugins sofrem atualizações que adicionam nova funcionalidade e também fecha brechas de seguranças que poderiam ser utilizados pelos invasores para ter controle do blog. Por isso é muito importante manter o blog atualizado de forma a evitar que eles se aproveitem das vulnerabilidades.
Os sites https://wordpress.org/ (oficial em inglês) ou https://br.wordpress.org/ (Versão para o Brasil) são fontes confiáveis para você baixar suas atualizações. Evite baixar em fontes desconhecidas;

Veja informações sobre a atualização clicando aqui.

Plug-ins desnecessários / desatualizados / descontinuados

Evite deixar plugins em seu WordPress que não estão sendo utilizados, ou seja, se o plugin está INATIVO no seu WordPress, recomendamos que o remova.
Mesmo o plugin estando inativo, ele pode ser explorado.

Evite utilizar plugins que não recebem atualizações ou plugins velhos, normalmente esses plugins são explorados para infectar o seu site.

Se você não está usando algum plug-in, ou ele não possui atualização para a sua versão do WordPress, desabilite-o e delete sem pensar. Isso é de extrema importância, pois muitos hackers têm invadido blogs e sites WordPress através de vulnerabilidades conhecidas em plug-ins, principalmente os mais antigos e populares.

Como exemplo vamos citar o Plugin Yuzo Related Post: https://wordpress.org/plugins/yuzo-related-post/

Repare que existe uma mensagem dizendo que o plugin foi descontinuado em Março de 2019, ou seja, ele não receberá mais atualizações.

Esse plugin é altamente perigoso, terá falhas de segurança explorada. Nesse caso a recomendação é para que você procure um plugin seguro que faça a mesma função.

Utilize um Tema confiável e mantenha Atualizado

A escolha de um bom tema é primordial para o bom desempenho do seu site, o tema precisa ser leve e seguro.

Na imagem abaixo citamos como exemplo o tema Twenty Seventeen, é importante reparar sempre se o tema recebe atualização, se a última atualização foi recente e se o tema é bem avaliado.

É importante sempre entrar no seu WordPress e verificar se existe alguma atualização disponível para o tema utilizado, e também deletar os temas que não estão em uso.

Plugin de Segurança

Use um plugin para gerenciar a segurança do seu WordPress, a Hostnet indica o WP Cerber Security

Esse plugin tem muitas opções úteis como:

  • Alterar o endereço de administração do WordPress
  • Listas as tentativas de invasão
  • Informar se existe algum arquivo malioso
  • Permitir bloquear IP de acesso

A versão paga desse plugin ainda faz uma limpeza no site caso ele esteja infectado.

Clique AQUI para verificar as configurações recomendadas para esse Plugin.

Permissão de escrita em diretórios

Geralmente usuários do WordPress acreditam ser mais fácil aplicar permissão de escrita para todos os diretórios de uma única vez ou para a raíz do site, entretanto se esquecem ( ou não sabem ) que essa ação pode abrir vulnerabilidades para a gravação nos diretórios. Por isso, recomendamos que aplique permissão de escrita apenas para diretórios que realmente necessitam.

Usuário para administração

Na maioria dos blogs com WordPress o usuário padrão é o “admin”, o que torna mais fácil a invasão por força bruta. Caso o seu usuário seja esse, recomendamos que altere para outro usuário menos sugestivo.
Para fazer isso crie um novo usuário e dê a ele a permissão de “Administrador”. Em seguida, logue-se com este novo usuário e apague o usuário admin.
Para tornar o blog mais seguro, é recomendável que a senha seja forte, com duas ou mais palavras, números e caracteres especiais. Por exemplo *H0$tN3t*

Endereço de administração

Normalmente a administração do WordPress é feita pelo endereço site.com.br/wp-admin

Recomendamos que altere essa URL de administração, clique AQUI e veja como fazer isso.

Bloquear o endereço de administração por IP

Faça isso apenas caso seu IP seja fixo.

Crie um arquivo .htaccess dentro da pasta de administração do WordPress, normalmente a pasta de administração é a: wp-admin

Informe o código abaixo:

Order Deny,Allow
Deny from all
Allow from xx.xx.xx.xx

No lugar de xx.xx.xx.xx informe o seu IP.

Bloqueie o arquivo xmlrpc.php

Ultimamente têm aumentado o número de ataques ao arquivo xmlrpc.php, que é instalado por padrão por Sistemas de Gerenciamento de Conteúdo (CMS) como WordPress. O xmlrpc.php é uma API que permite que conteúdos sejam postados por meio de aplicativos remotos, incluindo o próprio app oficial do WordPress, por exemplo.

Caso o seu WordPress não necessite desta integração, recomendamos desativar o acesso externo à este arquivo.

Para efetuar esta configuração, edite o arquivo .htaccess e inclua a configuração abaixo:

<Files xmlrpc.php>
    order allow,deny
    deny from all
</Files>

Plugin de checagem de vírus

Caso seu site já esteja infectado, você pode usar um plugin para fazer uma varredura em busca de urls contaminadas.

Alguns plugins que indicamos:

  • Anti-Malware from GOTMLS.NET
  • Quttera Web Malware Scanner

Anti vírus

Mantenha seu sistema operacional atualizado, passe regulamente antivírus em sua máquina, e não salve sua senha em seu computador.

Páginas Relacionadas