Há algum tempo atrás lancei o projeto WP Security Checklist que contém diversas dicas e recomendações de como tornar seu site mais seguro.

Nesse post separei os 10 pontos principais em minha opinião.

1. Use senhas únicas e complexas

Sabe aquela sua senha simples de lembrar que você usa em todas suas contas?
Troque-a assim que possível!

Usar uma senha simples e repetí-la em diversos sites não é algo recomendável já que, caso um serviço seja invadido e consigam ter acesso às senhas, poderão usá-las para invadir contas em outros locais.

Há diversos serviços de gerenciamento de senhas como LastPass e 1Password que podem te ajudar a criar e gerenciar senhas para cada site que você utilize.

Assim você terá uma senha gigante (com mais de 24 caracteres) e complexa para cada site e só precisará se lembrar de uma única senha: a de seu gerenciador de senhas.

2. Dupla autenticação sempre que possível

Além de senhas complexas e únicas para cada site, ative também a autenticação em duas etapas.

Dessa maneira, além de informar a senha, será preciso informar também um código gerado aleatoriamente a cada minuto (no caso de aplicativos como Google Authenticator ou Authy) ou digitar um código enviado para seu número de celular.

3. Não use temas ou plugins piratas

Ao baixar temas e plugins piratas, você corre o risco de instalar em seu site versões com brechas de segurança e backdoors que podem causar muita dor de cabeça.

Imagine ter um e-commerce com centenas ou milhares de transações com dados de clientes e perder tudo isso só para economizar uns trocados ao invés de comprar o código original?

Perder os dados já é algo preocupante mas ter os dados roubados e usados em outro lugar é ainda pior, portanto, use apenas temas e plugins de locais confiáveis como o repositório oficial do WordPress.org.

4. Escolha bem sua hospedagem

Outro ponto interessante a considerar é onde o site será instalado. De nada adianta ter senhas complexas se o site estiver instalado em um servidor mal configurado o que, em muitos casos, facilitará que malwares e vírus se espalhem de um site para outro. 

5. Usuário admin, não

Um dos métodos mais conhecidos de invasão é acessar a página de login do site e chutar o nome de usuário e senha até que funcionem. Tudo feito automaticamente, é claro!

Ao usar o login admin, 50% da informação necessária para invadir seu site já foi entregue. Então use a criatividade 😛

6. Dê apenas as permissões necessárias

Alguém que só publica conteúdo no site precisa ter acesso total a ele? Não.

Uma das maravilhas do WordPress é possuir diversos tipos de usuários com permissões diferentes, possibilitando que você dê acesso de Autor (publicar e gerenciar seus próprios posts) para quem precisa publicar conteúdo e Administrativo (acesso total) apenas para quem precisa realmente.

7. Não compartilhe senhas e contas

Vou criar senhas gigantes e únicas para cada conta e salvar nessa planilha aqui para compartilhar com meus colegas de trabalho. Não, por favor, pare!

Nunca compartilhe seu próprio login e senha.

Caso precise dar acesso ao seu site para outra pessoa, siga as dicas mencionadas no número 6 e crie uma nova conta apenas com as permissões necessárias.

8. Certificado SSL/TLS

Tornar a comunicação entre seu servidor e o computador da pessoa que estiver acessando seu site mais segura pode ser feita utilizando certificados SSL ou TLS. Assim a comunicação será criptografada dificultando a vida de quem tentar ler esses dados.

Há inclusive opções gratuitas de certificados como o Let’s Encrypt que mencionei anteriormente aqui no blog.

9. Use sempre a versão mais recente

Atualizações são lançadas para adicionar novos recursos ou para corrigir bugs e falhas de segurança.

Por essa razão é importante manter seus temas, plugins e o próprio WordPress sempre atualizados.

10. Antivírus

Muitas vezes o vírus que infectou seu site partiu de seu próprio computador. O que poderia ter sido evitado ao usar um bom antivírus e firewall.

Bônus: Backup

Caso tudo dê errado, backups podem garantir que o conteúdo e todo trabalho feito no site seja restaurado facilmente.

diversos plugins disponíveis com essa funcionalidade no repositório oficial do WordPress.org, entre eles o Jetpack.


E aí, gostou das dicas? Deixe seu comentário compartilhando suas dicas e opiniões.

Deixe uma resposta

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.