Tutoriais
Tutoriais HostMídia

Como melhorar a proteção do WordPress

Proteger uma instalação do WordPress não é mais apenas uma opção e sim uma necessidade. Trata-se do CMS mais explorado por hackers ao redor do mundo. E não é por menos, afinal de contas o uso crescente da ferramenta e os milhares de plugins disponíveis, também coloca em evidência falhas consideráveis de segurança.

Neste tutorial, descreveremos os passos para configurar plugins e algumas dicas simples e que podem ajudar a manter o seu WordPress seguro.

Mas lembre-se, antes de qualquer alteração, procure realizar sempre o backup do seu WordPress para evitar surpresas.

Pré-requisitos

  • Ser cliente de um plano de hospedagem de sites, revenda de hospedagem, hospedagem WordPress, servidor VPS ou dedicado;
  • Uma instalação WordPress em sua hospedagem;
  • Acesso ao cPanel e também ao administrador (wp-admin) do WordPress;
  • Estar com o site publicado na Internet, já com o certificado SSL grátis instalado;
  • Possuir pelo menos um backup da instalação em sua máquina.

Passo 1 - Utilizando plugins de segurança

1º. Acesse diretamente o administrador do WordPress, pela URL do mesmo, normalmente:

  • dominio.com.br/wp-admin

* Troque dominio.com.br pelo endereço do seu site.

2º. Em Plugins, no menu lateral esquerdo, clique em “Adicionar Novo”.

3º. Procure pelo plugin de segurança que deseja instalar em sua conta. Você pode pesquisar pela palavra-chave “Security”, por exemplo. O resultado, retornará com as opções disponíveis no momento. Em nosso caso, retornou a relação abaixo:

  • iThemes Security
  • Login LockDown
  • Wordfence Security
  • All In One WP Security & Firewall
  • Akismet Anti-Spam

4º. Escolha o(s) plugins que melhor atendem as suas necessidades e depois clique em “Instalar Agora”. Após finalizar a instalação, clique em “Ativar”. Em alguns casos, uma tela será aberta fornecendo mais informações sobre o plugin, ou solicitando dados complementares para iniciar o processo.

Passo 2 - Desativar o xml-rpc e wp-cron

1º. Acesse o cPanel da conta com um dos links a seguir:

  • https://www.dominio.com.br/cpanel
  • https://www.dominio.com.br:2083

* Troque dominio.com.br pelo endereço do seu site.

2º. Dentro de seu cPanel, procure por Gerenciador de Arquivos e acesse a opção

3º. Na lista de pastas que será exibida, selecione a pasta em que se encontra a sua instalação do WordPress e acesse-a.

4.º. Nos arquivos principais, procure pelo arquivo xml-rpc.php e pelo wp-cron.php. Nas permissões do arquivo, dê dois cliques e mude para “0000” e salve as mudanças.

Pronto! O arquivo xml-rpc e o arquivo wp-cron estarão bloqueados para acesso publico, evitando que sejam utilizados como brechas na segurança de sua instalação.

Passo 3 - Limitar tentativas de login por plugin

1º. Ainda no administrador de seu WordPress, navegue novamente até Plugins, no menu lateral esquerdo e escolha “Adicionar Novo”.

2º. No campo de busca, procure por “Loginizer” ou “Login”. Utilize apenas um desses dois plugins, de acordo com as suas preferências. Não instale os dois ao mesmo tempo para não causar conflitos:

  • Loginizer
  • WP Limit Login Attempts

4º. Depois, clique em “Instalar Agora”. Após finalização, clique em “Ativar” e configure de acordo com as suas necessidades.

Passo 4 - Limitar tentativas de login de IPs pelo .htaccess

1º. Acesse seu cPanel, navegue até “Gerenciador de Arquivos” e entre na pasta public_html.

2º. Selecione com o botão direito do mouse o arquivo “.htaccess” e clique na opção “Edit”. Caso o arquivo não apareça em seu diretório, clique no botão “Configurações”, no canto superior direito e marque “Mostrar arquivos ocultos”.

3º. Cole um dos seguintes códigos no começo do arquivo, de acordo com sua necessidade:

Código para restringir o acesso ao WP-Admin a um único endereço IP:

order deny,allow
deny from all
allow from 111.111.1.1

Código para restringir o acesso ao WP-Admin à mais do que um endereço IP:

order deny,allow
deny from all
allow from 111.111.1.1
allow from 000.000.0.0

* Troque o endereço 111.111.1.1 e 000.000.0.0 pelo de seu endereço IP.

4º. Salve as alterações no botão “Salvar Alterações”, no menu superior direito.

Passo 5 - Configurar autenticação de dois fatores

1º. Acesse novamente à página de administrador do WordPress, e em “Plugins”, clique em “Adicionar Novo”.

2º. Busque por “Two Factor Authentication”. O plugin deve aparecer da seguinte forma:

Clique em “Instalar Agora”. Aguarde a instalação; após a finalização, clique em “Ativar” para começar a utilizá-lo.

3º. Na tela referente ao plugin, escaneie o QR Code no aplicativo de dupla autenticação de sua preferência (recomendamos o Google Authenticator). Se preferir, copie a chave privada e insira no aplicativo no celular. Provavelmente, ele será configurado automaticamente para que você verifique o código por meio de seu aparelho celular.

4.º. Após configurar o QR Code/Chave Privada em seu aplicativo, selecione “Enabled” para ativar a utilização da autenticação em dois fatores em seu WordPress e, em seguida, salve as alterações.

Passo 6 - Dicas de otimização e boas práticas para o WordPress

1º. Mantenha sempre os plugins e temas atualizados.

2º. Realize backups com frequência e antes de novas instalações. Dessa forma, você poderá retornar o WordPress ao estado de funcionamento, caso tenha algum problema.

3º. Procure desativar ou desinstalar plugins e temas que não utiliza e mantenha-se longe de temas/plugins crackeados.

4º. Utilize senhas fortes, com mistura de maiúsculas, minúsculas, números e caracteres especiais (*@#$). Se necessário, utilize o geradores de senha, como o fornecido pela HostMídia.

5º. Se possui uma instalação com muitos usuários, solicite aos mesmos que também utilizem senhas fortes e realizem varreduras com antivírus e antimalwares com frequência.

6º. Evite utilizar o login “admin” para registrar o administrador do WordPress, pois facilitará o trabalho de hackers, será necessário apenas que os mesmos descubram sua senha, já que o login é previsível. O plugin iThemes pode auxiliar nesse caso, permitindo a utilização do e-mail do administrador ao in’ves de um nome de usuário.

7º. Se você não utiliza comentários em seu site, considere desativar a utilização dos mesmos ou, caso utilize, considere inserir um reCaptcha.

8º. Você pode utilizar plugins para auxiliá-lo a otimizar seu site, como, por exemplo:

9º. O P3 (Plugin Performance Profiler) analisa diversas páginas do WordPress para verificar quantos recursos estão sendo consumidos, além disso, cria um relatório em gráficos de requisições feitas ao banco de dados.

10º. O uso do LiteSpeed Cache, possui diversas funções de otimização para sua instalação e para outros plugins, como o WooCommerce, bbPress e Yoast SEO, etc.

Conclusão

Abordar questões de segurança no WordPress nunca é demais e deve ser feita com a atenção que o assunto exige. Seguindo as orientações que descrevemos neste tutorial, você reduzirá muito a chance de ter o seu site invadido.

Assim como tudo o que envolve a segurança de produtos na Internet, sejam eles CMS, lojas virtuais ou até mesmo sites mais simples e desenvolvidos por conta própria, independente das ações, jamais será possível garantir que esteja 100% de segurança. Porém, ao reduzir as chances do invasor se beneficiar de erros básicos, já é um bom começo.