Só quem já sofreu uma falha de segurança no WordPress sabe o que é passar raiva. Ver o seu trabalho de anos sendo invadido, muitas vezes de forma irreversível, acaba com qualquer um.
A sensação é de que todos os anos dedicados à produção de conteúdo não valeram de nada e o seu trabalho foi parar diretamente na lata do lixo.
Todo esse sentimento se intensifica, quando você percebe as tarefas absurdas que terá que fazer para recuperar, mesmo que minimamente, o controle do seu site.
Como eu não quero que isso aconteça com você, no artigo de hoje vou mostrar 20 maneiras de proteger o seu site WordPress contra vírus e ataques hackers.
As medidas de segurança a serem apresentadas vão garantir que apenas as pessoas que você escolher tenham acesso ao painel do seu site e ao controle de arquivos da sua hospedagem.
Entretanto, tenho que ser sincero contigo logo no início desse conteúdo.
Todas as dicas que vou te falar podem parecer exageradas. Afinal de contas, estamos falando de um site e não da sua conta no banco.
Você pode pensar: "Poxa... por que tudo isso? É só eu cuidar da minha senha e não compartilhar com ninguém".
Infelizmente, todas as pessoas que já tiveram seus sites invadidos pensavam do mesmo jeito.
Eu vejo de forma diferente. No meu site, seja o WP Total ou outros que tenho, estão a minha história e toda a minha capacidade de produzir conteúdo.
Então farei o possível para protegê-los. Espero que você também.
O WordPress é seguro, mas...
Por ter seu código aberto, o WordPress é extremamente seguro.
Afinal de contas, milhares de programadores contribuem com a segurança dele e a mínima possibilidade de falha é corrigida rapidamente em atualizações.
Entretanto, por ser um CMS (content management system, ou sistema de gerenciamento de conteúdo) de muita qualidade e estar presente em mais de 40% dos sites em toda a internet, é lógico que pessoas má intencionadas e cybercriminosos buscariam continuamente maneiras de invadir sites e lucrar com isso.
Boa parte deles consegue fazer isso não através de alguma falha do WordPress (embora possa ocorrer), mas através do próprio usuário, que vez ou outra comete erros possibilitando a ação de crackers.
Seja instalando plugins ou temas de má procedência, como os nulled, ou seja se aproveitando da ausência de atualizações de recursos do servidor ou do próprio WordPress.
Por que você precisa investir em segurança no WordPress?
Se o seu site for hackeado, você corre o risco de perder dados importantíssimos. Tanto seus, como conteúdo de posts e arquivos de imagem, quanto de outras pessoas, como e-mails, comentários, mensagens de contato e outros.
Você, além de colocar o seu trabalho em risco, pode colocar também os dados de outros usuários.
Para se ter uma ideia clara de que invadir temas WordPress é um mercado em ascensão e que investir em segurança é algo essencial, saiba que o custo do crime digital pode alcançar a marca de mais de 10 trilhões de dólares por ano até 2025.
Por que tanto dinheiro? Porque é lucrativo e as possibilidades de não encontrar o culpado são altas.
Agora... quais são as maiores vulnerabilidades encontradas em sites WordPress?
A WPScan fez um estudo sobre isso. O resultado foi surpreendente
As vulnerabilidades mais comuns são:
- Ataque DDoS – incapacitam serviços online enchendo eles de acesso, tornando o site inacessível.
- Authentication bypass – possibilitam o acesso ao painel do WordPress sem verificar a autenticidade dos usuários.
- Injeção de SQL – força a execução de queries no banco de dados.
- Cross-site scripting – injeta códigos que fazem o site transportar vírus.
- Inclusão de arquivo local – forçar o site a possuir e executar arquivos maliciosos dentro do servidor (estratégia muito usada em temas e plugins nulled).
Sem falar que, mesmo o seu WordPress estando 100% seguro, há ainda a chance da empresa de hospedagem possuir falhas, como aconteceu com a GoDaddy, em que 1,2 milhão de e-mails foram vazados de forma criminosa.
Com todos esse itens, é normal não saber o que fazer para se proteger. Felizmente, reuni as melhores atitudes que você pode tomar para ter mais segurança no WordPress.
20 ações para tomar (ainda hoje) para aumentar a segurança no WordPress
1. Confira se o seu WordPress está atualizado como deveria
O WordPress, na maioria dos sites, atualiza a sua versão de forma automática. Isso é ótimo, mas em alguns painéis essa automatização é desabilitada.
Alguns usuários removem as atualizações automáticas com medo de incompatibilidade de plugins ou por receio de "quebrarem" alterações feitas no tema ou até mesmo em arquivos do core do WordPress (o que não é recomendado de forma alguma).
Entretanto, atualizar a sua versão do WordPress é uma das maneiras mais simples de proteger o seu site. Infelizmente, o próprio CMS na página de estatísticas mostra que nem mesmo a maioria dos sites está atualizado para a última versão.
Para verificar se o seu site está atualizado como deveria, vá até Painel -> Atualizações no menu lateral.
Se for mostrado que a versão está desatualizada, a atualize imediatamente.
Outra ação a ser tomada para proteger o seu WordPress é ir na tela de plugin e temas e atualizá-los por completo.
Embora a atualização automática vá fazer isso uma hora ou outra, adiantar o processo não vai te trazer malefícios e ainda garante que, se uma falha recente for descoberta, você tem como se proteger dela de forma imediata.
Dica importante: atualizações automáticas podem realmente quebrar o seu tema devido a alguma incompatibilidade. Mas ao invés de desabilitá-la, o ideal é sempre manter um backup regular dos seus arquivos. Uma vez por semana é mais do que suficiente.
Assim, você não corre o risco de ter que reinstalar o WordPress caso aconteça alguma coisa.
2. Use credenciais seguras para acessar o WordPress
Um erro bem comum que afeta muito a segurança no WordPress é a falta de credenciais seguras.
Em outras palavras, criar usuários ou senhas fáceis demais.
Isso permite que automações maliciosas testem vários logins e senhas até conseguir um resultado que possibilite a invasão do site.
Com isso, algumas precauções devem ser tomadas.
Cuidados com o nome de usuário
Jamais deixe o nome do administrador do seu site como:
- "admin".
- "administrador"
- "adm"
- "root"
- "user".
Use seu primeiro e segundo nome, por exemplo:
- "pedroalmeida"
- "carlosdesouza"
- "albertogomes"
Cuidados com a senha escolhida
O WordPress já gera uma senha automática para você. Essa senha é aleatória e segura, mas muito difícil de lembrar.
A solução que muitos usuários encontram é usar a mesma senha que usam para outros serviços.
O problema é que esse método é muito inseguro. O que fazer, então?
Uma opção é salvar a senha na sua conta do Google Chrome ou Firefox. Dessa forma, você não precisa lembrar dela, já que o navegador a preencherá automaticamente. Porém, ela fica acessível para quem usar seu computador ou celular.
Logo, para uma camada extra de segurança, o melhor é optar por uma autenticação em dois fatores. Assim, mesmo que saibam a sua senha, não conseguirão acessar sem seu aparelho de telefone, por exemplo.
Existem diversos plugins que podem te ajudar com essa função. São eles:
Lembre-se também que quanto maior for a sua senha, mais segura ela é contra algoritmos de "tentativa e erro". Por isso, abuse de símbolos e números.
Ou então, opte por geradores de senhas seguras como o LastPass.
Com ele, você consegue definir número de caracteres, facilidade de pronúncia e as letras e símbolos permitidos.
3. Use apenas temas confiáveis
Vamos ser sinceros. Temas WordPress são caríssimos.
Os melhores são adquiridos em dólar e pagar um desenvolvedor para ter um tema exclusivo pode ser mais caro ainda.
Para se ter uma ideia, a imagem abaixo foi tirada da página de "Mais vendidos da semana" na ThemeForest, site reconhecido por ser a autoridade em venda de temas e plugins.
Fazendo a conversão direta, temos os seguintes valores:
- Avada: 512 reais.
- Jupiter e Flatsome: 314 reais.
Não estão incluídos nesses valores a taxa do cartão de crédito e/ou aumento do tempo de licença e suporte.
No entanto, claro que esses investimentos são válidos e você pode fazê-los no tempo correto.
O problema é quando você tenta "burlar o sistema" e conseguir um tema profissional por um preço mais em conta.
São vários os sites que te permitem ter um tema profissional investindo um pagamento único de apenas R$30 ou R$50. Hoje mesmo eu vi anúncios sobre isso no Instagram.
Esses temas piratas, chamados também de temas nulled, são uma verdadeira roleta russa.
Você pode realmente conseguir um tema sem problemas, cujo alguém apenas se aproveitou da licença para ganhar um dinheiro em cima.
No entanto, você pode estar adquirindo um produto com códigos maliciosos feitos para te dar a falsa sensação de segurança.
Por exemplo, você pode pensar: "Ah, é só eu testar o tema por uma semana. Se não der problema, mantenho ele no meu site."
A questão é que os cybercriminosos podem muito bem deixar um código malicioso "adormecido" no site, pronto para ser ativado quando quiserem.
Lembre-se que temas WordPress são códigos completos com a possibilidade de gerar falhas de segurança severas.
O problema em falar sobre temas nulled
Falar sobre esse assunto faz parecer teoria da conspiração. Mas se trata da pura realidade.
4. Use apenas plugins confiáveis
Da mesma forma que existem temas piratas, também existem plugins piratas. O Yoast SEO e o Elementor são campeões nessa categoria, justamente por esse último ser um plugin popular e que permite a criação de diversos sites diferentes.
Se aproveitando da necessidade de pagar mais barato pelo Elementor, em que a versão profissional custa a partir de 260 reais (para apenas 1 site), muitos sites o oferecem por um valor acessível, seja por R$15 ou R$30 reais.
Resultado? A possibilidade de infectar a sua instalação de forma definitiva, pondo em risco os seus dados e os dados dos seus visitantes.
Por isso, invista em plugins originais. Os valores são elevados, mas os tratando como investimento, você verá que vale a pena proteger o seu WordPress e usufruir de recursos extras de forma tranquila.
Curiosidade: lembra do exemplo acima, em que hackers plantavam falhas de segurança por meio de temas e plugins? Um dos plugins com falhas foi justamente um conjunto de add-ons para o Elementor.
5. Delete plugins e temas que não estão em uso
É muito comum entre os usuários do WordPress manterem plugins e temas inativos.
Essa atitude, que parece simples, pode colocar em risco toda a sua instalação, principalmente se esses plugins e temas estão desatualizados.
Para resolver essa situação é bem simples.
Vá em Plugins -> Plugins instalados e verifique, um por um, se eles estão realmente em uso no seu site.
Muitas vezes, você instala um plugin de pop-up, por exemplo, testa e não o usa mais. Porém, ele continua ativado, podendo diminuir a velocidade de carregamento das suas páginas ou, em casos extremos, afetar a segurança da sua instalação.
Uma vez avaliado o uso de todos os plugins, delete os que não utilize e faça o mesmo com os temas.
Entretanto, dentre os temas, deixe pelo menos um oficial do WordPress, já que em possíveis problemas, é possível voltar para ele.
6. Instale um certificado SSL
O SSL (Secure Sockets Layer, ou camada de soquetes seguros) é um protocolo de transferência que criptografa de forma segura os dados trocados entre o site e seus visitantes.
Com isso, os hackers até podem interceptar as informações, mas como elas estarão criptografadas, não serão úteis para eles.
Uma vantagem de instalar um certificado SSL, além da proteção de informações sigilosas, é a de trazer mais visitantes para seu site, uma vez que ele conta como ponto positivo para SEO.
Felizmente, a maioria das empresas de hospedagem disponibiliza um certificado SSL gratuito, que pode ser configurado rapidamente e instalado no WordPress através do Realy Simple SSL.
Dessa forma, seu site será redirecionado do protocolo http para o https automaticamente, otimizando a conexão e protegendo os dados.
7. Faça backups regulares
Ter o seu site hackeado é a pior coisa que pode acontecer com ele, certo? Errado.
A pior coisa que pode acontecer é você ter seu site hackeado e não possuir um backup recente dele.
Para impedir que isso aconteça contigo, crie o hábito de realizar backups toda semana.
Eu, por exemplo, faço isso toda segunda-feira. O Todoist não me deixa esquecer.
Dessa forma, quando um problema muito grande acontecer (não só invasões, mas quebra de temas, conflito com plugins, dentre outros) você tem como recuperar os dados rapidamente.
Das dicas de segurança no WordPress, essa você não deve ignorar de forma alguma.
Para fazer seus backups regulares, é possível usar plugins como:
8. Limite as tentativas de login
O WordPress, por padrão, permite que qualquer usuário faça infinitas tentativas de login. Isso, ao meu ver, é uma má prática de segurança do próprio CMS.
Por causa disso, hackers podem forçar a entrada em sites através de algoritmos de combinação de usuários e senhas, na tentativa e erro mesmo. Como boa parte dos usuários utilizam senhas fracas, muitos acabam tendo seus sites invadidos por isso.
Limitar o número de tentativas de login pode salvar o seu site desses algoritmos, além de monitorá-lo quando alguma movimentação suspeita for notada.
Por exemplo, é estranho alguém ter errado login e/ou senha 14 vezes seguidas, não é mesmo?
Para limitar as tentativas de login, você pode utilizar alguns plugins, como:
- Loginizer: oferece recursos de segurança como autenticação em dois fatores, reCAPTCHA, e perguntas programadas para avaliar se o usuário que está tentando acessar é usuário do site mesmo.
- Limit Attempts: bloqueia de forma automática endereços de IP que ultrapassem o limite de tentativas de logins e pode, se ativada a função, enviá-los diretamente para uma lista de bloqueio.
- Limit Login Attempts Reloaded: bloqueia, assim como os outros citados, o número de tentativas de login e bloqueia, por completo, o IP de quem falhou diversas vezes no login. É possível também informar o tempo restante até novas tentativas de login, se assim preferir.
Atenção! É possível que, por descuido ou por um limite menor de tentativas, você sem querer bloqueie o próprio usuário. Embora não seja difícil recuperá-lo via banco de dados ou FTP, tome bastante cuidado para não impor um limite muito pequeno.
5 tentativas, ao meu ver, são mais do que necessárias.
9. Mude a página de login do WordPress
Todo usuário do WordPress sabe que a tela de login pode ser acessada pelo link nomedosite.com/wp-login.php ou nomedosite.com/wp-admin.
Assim, quando um hacker que tentar invadir seu site, acessará essas telas e rodará os scripts maliciosos.
Para se proteger ainda mais dessa possibilidade, você pode mover a sua tela de login para outro endereço personalizado.
Plugins como o WPS Hide Login te permitem fazer isso de forma simples.
Basta ir em Configurações -> WPS Hide Login, preencher a url nova e salvar.
10. "Expulse" usuários inativos do painel do WordPress
Imagine a seguinte situação...
Você contratou um produtor de conteúdo para lidar com as demandas de artigos do seu blog.
Você gerou o acesso ao painel e, sempre que ele precisa, faz login no WordPress e escreve os posts.
No entanto, imagine que essa mesma pessoa acessou o WordPress de um computador não seguro, como: ambientes de cowork, laboratórios de informática da universidade ou até mesmo lan-houses, as poucas que ainda existem.
Caso isso aconteça, todo o conteúdo do seu site estará disponível para a próxima pessoa que acessar aquele computador.
Se for uma pessoa má intencionada, são inúmeras as possibilidades de você ser prejudicado.
Ou então, imagine que isso pode acontecer contigo. Você acessou a sua conta do WordPress em um local público e seu login ficou lá disponível para quem quiser acessar.
Qual a solução? Expulsar os usuários inativos do painel do WordPress.
Assim, os usuários que passarem determinado tempo sem realizar uma tarefa, são colocados para fora automaticamente, de forma que precisarão fazer o login de novo.
Existem plugins como o Inactive Logout que te ajudam nessa tarefa. Além dele finalizar a sessão dos usuários inativos, ele pode enviar uma mensagem customizada para os usuários ativos, avisando que podem ter suas sessões finalizadas se passarem algum tempo sem movimentação.
11. Faça um scanner de vírus no seu site
Existem diversos tipos de vírus capazes de afetar sua instalação. Alguns, por exemplo, nem precisam que o site seja WordPress para se espalhar e infectar o computador de usuários através do seu conteúdo.
Logo, é essencial verificar se o seu site possui vírus, mesmo que você não note nada de suspeito.
Felizmente, a maioria dos plugins de segurança para o WordPress possuem a opção de verificar sua instalação à procura dessas ameaças, ao mesmo tempo de que atualizam com frequência sua base de dados.
Nessa categoria, existem várias. Mas dois plugins são os "favoritos" do mercado.
Wordfence
O Wordfence é normalmente o primeiro a ser citado. Ele possui funções surpreendentes como:
- Firewall para WordPress: bloqueia tráfego malicioso, desabilita o acesso de IPs que estão na "lista negra", protege contra ataques de força bruta (tentativa e erro de acertar usuário e senha) e limita as tentativas de login.
- Scanner de segurança: checa arquivos do core do WordPress, temas e plugins à procura de vírus, redirecionamentos maliciosos, e injeções de código (SQL Inject); compara os arquivos do seu WordPress com o repositório padrão; repara arquivos que foram sobrescritos ou modificados; deleta arquivos que não pertencem à instalação original.
- Segurança de login: autenticação em dois fatores (2FA); login com captcha para evitar ataques massivos; bloqueio de login de usuários com senhas consideradas comprometidas.
Tantas funções assim exigem certo interesse em aprender, mas nem de longe o plugin é difícil de instalar, configurar e explorar os benefícios.
Sucuri Security
O Sucuri Security é um dos melhores plugins de segurança no WordPress! Ele oferece um número interessante de certificados SSL (que já falamos no decorrer desse post), busca remota por vírus e ações após invasões, caso necessário.
Suas funções e recursos são:
- Análise de atividade.
- Monitoramento de integridade de arquivos.
- Busca remota por vírus nos arquivos de instalação do WordPress (e nos arquivos pessoais também).
- Monitoramento de lista de bloqueio.
- Notificações de segurança.
- E firewall (caso você seja usuário premium).
Assim como o outro plugin dessa categoria, o Sucuri Security é robusto e te permite ter mais segurança no WordPress.
Entretanto, por opinião pessoal e experiência de uso, prefiro o Wordfence.
Importante: temos um guia completo te ensinando a remover vírus do WordPress.
12. Desabilite as mensagens de erro do PHP
Diferente do que muitos acreditam, é possível aumentar a segurança do WordPress sem plugins, através das próprias configurações do PHP ou do servidor.
Um exemplo disso é desabilitar as mensagens de erro do PHP.
Agora, por que desabilitar essas mensagens?
Porque a exibição de mensagens de erro do PHP pode disponibilizar a informação completa da estrutura e caminhos do seu servidor, sendo uma função que deveria ser ativada apenas em ambiente de desenvolvimento ou correção de erros mais severos.
Por exemplo, digamos que as mensagens de erro do PHP indicam que há algo errado com uma função utilizada por um plugin ou tema, um hacker poderia se aproveitar dessa informação procurando brechas de segurança nessa função com problemas.
Para desativar essas mensagens, você pode utilizar o arquivo principal de configuração do WordPress, o wp-config.php, que fica na pasta raiz da instalação.
É só abrir o arquivo, via FTP ou gerenciador de arquivos da sua hospedagem, e adicionar as seguintes linhas abaixo antes de qualquer outra diretiva.
error_reporting(0);
@ini_set(‘display_errors’, 0);
13. Desabilite a edição de arquivos
O WordPress possui um editor de arquivos interno. Ele quase nunca é usado (e nem é aconselhável que se faça isso), uma vez que uma alteração errada pode facilmente quebrar o site.
Entretanto, se um hacker conseguir invadir o seu painel, ele pode usar esse editor de arquivos como forma de criar mais falhas de segurança no WordPress.
Por essa razão, alguns usuários preferem desativar esse recurso padrão.
Para fazer isso, é bem similar ao item anterior, teremos que abrir o wp-config.php e adicionar as seguintes linhas:
define( 'DISALLOW_FILE_EDIT', true);
Para mim, essa função já deveria vir desabilitada "de fábrica".
14. Configure o arquivo .htaccess para mais segurança
O .htaccess, como já explicado em diversos artigos aqui, é um arquivo que fica na raiz da instalação do WordPress, que garante que os links e acessos funcionem de forma correta no CMS.
Se não houvesse o .htaccess, por exemplo, para definir as regras corretas de url, você receberia diversos erros na navegação.
Porém, além de definir as regras de acesso padrão, o poder desse arquivo é o de delimitar acesso a IPs, desabilitar a execução do PHP em pastas específicas e... aumentar a segurança no WordPress!
Como? Veremos a seguir.
Entretanto, fica o aviso: antes de todas essas alterações, faça uma cópia de segurança dos seus arquivos. Por ser essencial, o .htaccess padrão deve ser sempre salvo, para se ocorrer algum problema, existir a possibilidade de o recuperarmos.
Como impedir o uso do PHP na pasta upload
Alguns cybercriminosos podem enviar scripts para a pasta de uploads do WordPress, executando assim algoritmos de invasão.
Como a pasta uploads não tem o objetivo de hospedar arquivos executáveis, apenas imagens e outros tipos de arquivo similares, bloquear o uso do PHP nessa pasta pode impedir que esse tipo de ataque seja feito.
Para realizar essa tarefa, crie um novo .htaccess na pasta /wp-content/uploads/ com as seguintes regras digitadas:
<Files *.php>
deny from all
</Files>
Como proteger o arquivo wp-config.php
De forma parecida com o item anterior, o arquivo wp-config.php também é essencial na utilização, configuração e segurança no WordPress. Por isso, ele é extremamente visado por criminosos.
Afinal de contas, senhas, nome dos bancos de dados, nome de usuário e diversas outras informações valiosas estão escritas de forma "acessível" nele.
Embora esse arquivo já esteja protegido naturalmente na instalação do WordPress, podemos intensificar essa segurança no WordPress através do .htaccess.
Para isso, insira a seguinte regra no seu arquivo .htaccess:
<files wp-config.php>
order allow,deny
deny from all
</files>
15. Mude o prefixo padrão do banco de dados
Eu não sei se você lembra, mas quando o seu WordPress estava sendo instalado, o próprio CMS perguntou se você gostaria de adicionar um prefixo ao banco de dados.
O que isso significa?
Imagine o seguinte: o banco de dados é um conjunto de dados que o WordPress precisa para ser executado, certo?
Então, nesse banco de dados existe uma "gaveta" chamada posts, em que são guardados todos os posts, uma "gaveta" chamada configurações, onde são guardadas todas as configurações e uma gaveta chamada "usuários" em que as informações de cada usuário estão guardadas.
Onde eu quero chegar com isso? Se um hacker tiver acesso ao banco de dados ele pode inserir e editar as configurações que ele quiser, os posts que ele quiser e os usuários que ele quiser.
Cada gaveta dessa tem um nome padrão e vem com um prefixo wp (de WordPress).
Por exemplo, a "gaveta" de usuários tem o nome wp_users.
Sabendo disso, hackers podem criar scripts que vão procurar esses dados no banco e alterá-los.
Uma forma de impedir que isso aconteça é alterar o prefixo do banco de dados.
Ao invés de wp_users essa parte do banco de dados ficaria: aq_users, ta_users, etc, dependendo do prefixo que você escolher.
Se importar em alterar esse prefixo é de uma importância imensa porque mais de 50% dos ataques virtuais são por SQL Injection, ou seja, a inserção de dados maliciosos em banco de dados.
Como mudar o prefixo do banco de dados
Antes de começarmos esse pequeno tutorial para mudar o prefixo do banco de dados do WordPress, é importante destacar que você não precisa realizar essas alterações se o seu prefixo já for diferente do "wp" padrão.
Além do mais, os passos a seguir são de média e avançado complexidade. Se você não tem experiência em trabalhar com o Php my Admin ou com os arquivos de configuração do WordPress, é melhor que não faça ou que siga os passos completamente à risca, uma vez que as chances de provocar uma falta de comunicação com o banco de dados são bem altas.
Dito isso, vamos ao passo a passo:
Através do gerenciador de arquivos ou protocolo FTP, abra o arquivo wp-config.php. Sim, aquele que mexemos agora a pouco, se você está cumprindo todos os passos desse artigo.
No arquivo, procure pelo código $table_prefix.
Se ele estiver "wp" (como na imagem acima), é necessário alterá-lo.
Se estiver com outro código, o prefixo das tabelas do banco de dados já estão diferentes do padrão e você pode pular para o próximo tópico.
Assim que encontrar o código, o modifique para o prefixo da sua preferência. Eu escolhi "seg_prefix_" (você pode usar qualquer outro prefixo que quiser).
Ficando assim a linha de código:
Com isso, você informa o WordPress que o prefixo deverá ser alterado.
Entretanto, além de informar ao CMS, é necessário alterar o prefixo de forma manual no banco de dados.
Isso pode ser feito pelo PHP My Admin. Basta iniciá-lo na sua hospedagem (cada uma possui esse recurso em um local diferente), clicar no seu banco de dados e, no menu acima, ir em SQL.
Na caixa de texto abaixo, digite o seguinte código:
RENAME table `wp_commentmeta` TO `seg_prefix_commentmeta`;
RENAME table `wp_comments` TO `seg_prefix_comments`;
RENAME table `wp_links` TO `seg_prefix_links`;
RENAME table `wp_options` TO `seg_prefix_options`;
RENAME table `wp_postmeta` TO `seg_prefix_postmeta`;
RENAME table `wp_posts` TO `seg_prefix_posts`;
RENAME table `wp_terms` TO `seg_prefix_terms`;
RENAME table `wp_term_relationships` TO `seg_prefix_term_relationships`;
RENAME table `wp_term_taxonomy` TO `seg_prefix_term_taxonomy`;
RENAME table `wp_usermeta` TO `seg_prefix_usermeta`;
RENAME table `wp_users` TO `seg_prefix_users`;
O código é reponsável por mudar o prefixo de cada uma das tabelas do banco de dados para "seg_prefix_.nomedatabela".
Além disso, outra alteração é necessária.
As tabelas options e usermeta possuem campos em que os nomes são constituídos pelo prefixo também. Logo, alterá-las garantirá que o banco de dados "converse" de forma correta com o site.
Para isso, basta, no SQL, digitar o código abaixo.
SELECT * FROM `seg_prefix_options` WHERE `option_name` LIKE '%wp_%';
SELECT * FROM `seg_prefix_usermeta` WHERE `meta_key` LIKE '%wp_%';
Assim a reconexão com seu banco de dados será feita e seu site estará online novamente, mas dessa vez mais seguro.
Importante: é comum esse processo gerar erros de conexão, principalmente se você não tem o hábito de mexer com banco de dados. É importantíssimo que um backup seja feito antes.
16. Desabilite o XML-RPC
O XML-RPC é um recurso interessante do WordPress para publicação e acesso de conteúdo através de smartphones.
Entretanto, o XML-RPC pode possuir inseguranças a serem exploradas por criminosos. Afinal de contas, ele permite que muitas tentativas de login sejam feitas sem serem detectadas (e bloqueadas).
Em outras palavras, seu site fica acessível para ataques de força bruta. Como? Os hackers enviam diversos pingbacks de uma vez, até o site ficar sobrecarregado.
Esse bloqueio do XML-RPC pode ser feito de duas maneiras.
Como bloquear o XML-RPC com plugins
Se você tem pouca experiência com servidores, existem plugins como o Disable XML-RPC Pingback que vai desabilitar algumas funcionalidades dele que geram falhas de segurança.
Mas também é possível desativá-lo através do arquivo .htaccess.
Como bloquear o XML-RPC com o arquivo .htaccess
Abra o arquivo e insira o seguinte código:
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 000.00.000.000
</Files>
Caso você ainda precise de acesso às funcionalidades do XML-RPC, você pode trocar o 000.00.000.000 com o IP a ser utilizado.
17. Esconda a versão do seu WordPress
Você sabe, atualizar a sua instalação é mais do que essencial para ter mais segurança no WordPress.
Entretanto, pessoas má intencionadas podem verificar a sua versão, ver que ela desatualizada e usar isso para invadir o site com algum algoritmo específico.
Felizmente, é extremamente fácil esconder essa informação.
Vá em wp-contents -> themes -> nome do seu tema -> functions.php e insira a seguinte linha abaixo de todos os códigos desse arquivo.
function dartcreations_remove_version() {
return '';
} add_filter('the_generator', 'dartcreations_remove_version');
remove_action('wp_head', 'wp_generator');
Feito isso, a versão do CMS ficará escondida. Mas continue o atualizando para mais recursos de segurança no WordPress.
18. Bloqueie hotlinking
Você já ouviu falar sobre hotlinking? Esse termo não é tão conhecido, mas importantíssimo para proteger o seu site.
Para entender do que se trata, imagine a seguinte situação:
Alguém visita o seu site e vê uma imagem interessante. Ao invés da pessoa baixar essa imagem e usar no próprio site (o que é roubo do mesmo jeito, caso seja uma imagem com direitos autorais), ela usa o link da imagem do seu site de forma nativa.
Ou seja, a sua imagem será mostrada no site da pessoa, mas consumirá recursos do seu servidor.
Para saber se alguém faz isso com seu site, digite o código abaixo na pesquisa do Google.
inurl:seusite.com -site:seusite.com
Mudando, claro, o termo "seusite.com" para a sua url.
Embora não seja um item super utilizado por criminosos para sobrecarregar o seu site, bloquear esse tipo de link impede que essa brecha seja explorada.
19. Proteja seu site contra ataques DDoS
Ataques DDoS são aqueles em que tentam, a todo custo, sobrecarregar o servidor para explorar falhas de segurança. O primeiro caso dessa categoria aconteceu no início dos anos 2000.
A melhor solução para se proteger deles é usar um serviço de CDN com proteção DDoS incorporada. Por exemplo, o Cloudflare. Além dele acelerar o carregamento das suas páginas, disponibilizar o conteúdo de melhor forma para seus visitantes, ele ainda protege o seu site.
Algumas hospedagens, possuem parceria com o Cloudflare, ao ponto de você ganhar o serviço premium de forma gratuita. Vale a pena consultar se a sua tem isso.
Um exemplo de como esse tipo de ataque é poderoso (e merece atenção) foi o relatado pelo Kinsta.
Eles tinham um cliente com um ecommerce simples que executava o Easy Digital Downloads, um plugin para download de arquivos digitais direto no WordPress. Como era um site pequeno, o tráfego, logicamente, também era pequeno.
No entanto, eles receberam mais de 5 milhões de solicitações em uma única página do site em sete dias. Imagine um site que gerava 40mb diário de tráfego gerando 19GB!
O Google Analytics nem mostrou esse tráfego adicional, essa leitura foi feita com ferramentas da própria hospedagem.
20. Use as funções de usuário do WordPress de forma inteligente
Chega um momento que o nosso site cresce e a gente precisa contratar uma equipe.
Você deixa de fazer tudo sozinho e começa a delegar tarefas.
Para isso, o ideal é dar acesso ao painel no WordPress para sua nova equipe.
A maioria das pessoas, por desconhecimento, cria novos usuários todos com a função de administrador.
Mas o próprio CMS já criou diversas versões de usuário de forma a proteger o site e delimitar funções.
Saber sobre elas pode te ajudar a ter mais segurança no WordPress.
Abaixo você pode entender melhor sobre cada um delas:
- Super Admin: acesso à administração da rede total do site (usado em multisites).
- Administrador: acesso a quase todas as funcionalidades de administração.
- Editor: publica e gerencia posts e páginas próprios e de outros usuários.
- Autor: gerencia os próprios posts.
- Colaborador: gerencia posts, mas não os publica.
- Assinante: gerencia apenas seu perfil e nada mais.
Conclusão - Como ter mais segurança no WordPress
Você acabou de ver 20 dicas de como ter mais segurança no WordPress. Todas elas são válidas, importantes e merecem ser implementadas.
Entretanto, plugins já citados como o Wordfence, possuem outras alterações que podem turbinar sua segurança mais ainda.
Entretanto, a recomendação principal sempre será: realize backups!
Eu espero, de verdade, que o conteúdo desse artigo tenha te ajudado a proteger a sua instalação.
Os passos técnicos seguidos por você farão diferença, mas lembre-se que a maior falha de segurança está na ação humana e não por via tecnológica.
Por isso, tome cuidado com propostas que parecem incríveis demais para ser verdade ou com links que você não sabe a procedência.
Um forte abraço!