Em nosso artigo 8 Dicas de WordPress Para Iniciantes, nós destacamos apenas dois conselhos relacionados à segurança. Mas, se você está pensando seriamente em proteger por todos os lados sua instalação de WordPress, seu site e até mesmo suas reputação, talvez seja uma boa ideia ampliar o número de armas que você pode usar para sua segurança.
Você não precisa seguir todas estas dicas, mas seria uma boa ideia implementar um punhado delas de acordo com sua conveniência. Na verdade, nem mesmo o uso combinado de todas pode garantir 100% de segurança. Mas, quanto mais muralhas você erguer ao redor de seu conteúdo, mais difícil se tornará a invasão para os hackers.
1. Crie Links Customizados de Login
Na maioria dos casos é bastante óbvio que para acessar a Área de Administração do WordPress, tudo que se precisa fazer é colocar “/login” no final de um endereço de um site. Já é praticamente um conhecimento comum.
Agora, vamos supor que sua senha tenha sido vazada ou seja uma bastante comum, o hacker já terá a porta da frente e a chave na mão para invadir o seu site, sem precisar suar a camisa.
Mas… e se a porta da frente não estiver lá?
Existem plugins para WordPress especificamente com esta função: definir outro endereço para a tela de login e impedir o acesso direto através de wp-login.php. Stealth Login é uma extensão do plugin gratuito Custom Login, que permite que você customize a aparência da tela de login. Mas, com esta extensão, você também pode escondê-la.
Outra boa opção é o plugin Hide Login, mais complexa e mais completa, que também bloqueia o acesso as telas tradicionais de logout, registro, “esqueci minha senha” e outras.
O uso de um destes plugins também previne o ataque por bots que podem tentar descobrir sua senha com força bruta e paciência. Sem um alvo óbvio, os robôs não tem muito o que fazer.
2. Escolha uma Senha Forte
Esta é a dica mais antiga de todos os tempos, mas deve ser repetida porque a História já provou que ela não é repetida o suficiente. Então, vamos às recomendações:
- Não use a mesma senha em mais de um lugar. Se uma cair, caem todas.
- Crie uma senha forte. Não sabe como? Você pode fazer isso com PHP, Actionscript, Javascript ou simplesmente usar um gerador online.
- Troque sua senha de tempos em tempos.
3. Limite o Número de Tentativas de Login
Às vezes o hacker pode saber parte de sua senha (ou achar que sabe) ou desenvolver um script que irá ficar tentando combinações até o final dos tempos ou conseguir entrar. Neste caso, uma boa ideia é limitar o número de tentativas de logins.
Você pode fazer isso facilmente usando um plugin para WordPress chamado Limit Login Attempts. Este plugin irá bloquear o usuário se ele tentar a senha errada mais vezes do que o permitido. O invasor será bloqueado por um tempo específico. Até mesmo um minuto pode atrapalhar os planos do hacker de tentar entrar usando infinitas combinações, aumentando o tempo necessário de forma inviável.
Todos os parâmetros do plugin são plenamente configuráveis (número de tentativas, mensagem, tempo de bloqueio…).
4. Use Páginas de Login Protegidas com SSL
Você pode aumentar a segurança da sua página de login para a área de administração do WordPress através de criptografia com SSL. Isso significa que sua URL de acesso terá o prefixo https://, o mesmo usado por bancos, por exemplo.
Para utilizar este recurso, você deve confirmar com seu servidor de hospedagem que você possui Shared SSL ou adquirir um certificado SSL. Uma vez que tenha confirmada esta funcionalidade, basta copiar o seguinte código no seu arquivo de configuração wp-config.php:
define(’FORCE_SSL_ADMIN’, true);
Até existe um plugin chamado Admin SSL que é capaz de forçar o uso de SSL em todas as páginas. Não apenas essa medida é um pouco exagerada (a menos que seu conteúdo seja confidencial e você seja alvo constante de hackers), como também este plugin não é atualizado há mais de dois anos, o que pode significar incompatibilidades ou brechas de segurança no próprio plugin.
5. Proteja com Senha o Diretório WP-Admin
O que pode ser melhor do que uma senha de acesso? Duas senhas de acesso. Isso pode ser feito com um plugin de WordPress chamado AskApache Password Protect. Ele encripta sua senha e cria um arquivo .htpasswd, assim como configura permissões de segurança avançadas para ambos.
Com este plugin, você também pode proteger com senha um diretório qualquer, incluindo o próprio wp-admin, wp-includes, wp-content e plugins.
6. Limite Acessos por Endereço IP
Você pode limitar acessos ao seu painel de administração para um número específico de endereços IP. Para isto, você precisa apenas criar um arquivo .htaccess na pasta /wp-admin/ (se ainda não tiver um lá). Cole nele o seguinte código:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# permite o seguinte IP address
allow from xx.xx.xx.xxx
# permite o seguinte IP address
allow from xx.xx.xx.xxx
# permite o seguinte IP address
allow from xx.xx.xx.xxx
</LIMIT>
Mude os endereços de IP para aqueles que você deseja liberar (autores, administradores, desenvolvedores etc). O problema deste tipo de proteção é que se você precisar acessar a área de administração a partir de outro local ou se o seu provedor de acesso utiliza IP dinâmico, você será bloqueado, a menos que consiga adicionar o novo IP à lista de permissões no seu arquivo .htaccess.
7. Nunca use o nome de usuário “admin”
Este é exatamente o primeiro usuário criado por padrão pelo WordPress quando ele é instalado. Como é de conhecimento geral, é melhor então nunca usar ou manter esse usuário.
No passado, muitas brechas foram encontradas no sistema que estavam relacionadas ao uso de ataques de força bruta em cima da senha. Se o invasor já conhece o nome do usuário, ele nem precisava se preocupar com isto. Bastava inserir “admin” e tentar quebrar a senha.
Para não facilitar a vida dos hackers, você deve criar outro usuário dentro do painel de administração do WordPress e configurar poder de administrador para ele. Se você puder fazer com que este nome de usuário não seja óbvio, mais complicada ainda se tornará a tarefa do invasor, que agora precisará decifrar não um, mas dois valores de autenticação.
E não se esqueça de apagar o usuário “admin” depois de criar o novo.
8. Remova a Mensagem de Erro da Tela de Login
Quando você digita uma senha errada ou um usuário inválido, você recebe uma mensagem de erro na tela de login. Se um possível invasor acerta um deles, a mensagem de erro vai ajudá-lo a identificar o que está funcionando. Logo, é recomendado que você remova esta mensagem por completo.
Para fazer isto, abra seu arquivo functions.php localizado na pasta de temas e cole o seguinte código:
add_filter('login_errors',create_function('$a', "return null;"));
Existe um plugin para WordPress chamado Secure WordPress que também realiza isso e possui ainda outras funcionalidades de segurança, se você estiver interessado.
9. Proteção Antivírus Para WordPress
Se um antivírus é bom para o seu computador, por que não para o seu WordPress? O plugin AntiVirus é uma solução inteligente e eficiente para proteger o seu site ou blog contra vulnerabilidades e injeções não autorizadas de conteúdo.
Este plugin analisa diariamente o conteúdo da sua instalação em busca de arquivos maliciosos ou corrompidos e avisa por email se encontrar algo fora do normal. Você também pode começar uma análise manual e obter resultados imediatos, quando quiser.
10. Mantenha-se Atualizado com Última Versão do WordPress
Existe um bom motivo para os criadores do WordPress estarem sempre produzindo novas versões. Além das novas funcionalidades que podem ser agregadas à plataforma, eles também estão continuamente corrigindo falhas de segurança e vulnerabilidades, tentando ser mais rápidos que os hackers que descobrem estas brechas. Mas, para este procedimento funcionar, os donos de sites que rodam a plataforma precisam instalar as atualizações assim que saírem do forno.
Poucas coisas doem mais na consciência de um dono de site do que descobrir que foi invadido a partir de uma vulnerabilidade que já foi corrigida meses atrás…
11. Senha Provisória
O que pode ser melhor do que duas senhas ou uma senha de alta complexidade? Uma senha que expira instantaneamente! O plugin para WordPress One Time Password permite que você se autentique ao seu painel de administração usando senhas que são válidas por apenas uma sessão. Este tipo de senha é perfeito para evitar expor sua senha principal do WordPress em ambientes de baixa segurança, como lan houses ou bibliotecas, onde você não pode confiar na inviolabilidade do computador.
12. WordPress Firewall Plugin
Mais uma vez, vale a pergunta: “se funciona para seu PC, por que não para seu WordPress”? Com o plugin WordPress Firewall Plugin você tem em mãos um sistema de segurança capaz de detectar, interceptar e registrar qualquer parâmetro suspeito antes que ele comprometa seus dados no WordPress. Este plugin também protege a maioria dos plugins de WordPress da mesma forma.
Você pode querer configurar este “firewall” para ser o primeiro plugin a carregar da sua instalação para obter segurança máxima. Outra funcionalidade interessante é sua habilidade de enviar um email para você detalhando todas as informações de um ataque potencial evitado.
