Há algum tempo atrás lancei o projeto WP Security Checklist que contém diversas dicas e recomendações de como tornar seu site mais seguro.
Nesse post separei os 10 pontos principais em minha opinião.
1. Use senhas únicas e complexas
Sabe aquela sua senha simples de lembrar que você usa em todas suas contas?
Troque-a assim que possível!
Usar uma senha simples e repetí-la em diversos sites não é algo recomendável já que, caso um serviço seja invadido e consigam ter acesso às senhas, poderão usá-las para invadir contas em outros locais.
Há diversos serviços de gerenciamento de senhas como LastPass e 1Password que podem te ajudar a criar e gerenciar senhas para cada site que você utilize.
Assim você terá uma senha gigante (com mais de 24 caracteres) e complexa para cada site e só precisará se lembrar de uma única senha: a de seu gerenciador de senhas.
2. Dupla autenticação sempre que possível
Além de senhas complexas e únicas para cada site, ative também a autenticação em duas etapas.
Dessa maneira, além de informar a senha, será preciso informar também um código gerado aleatoriamente a cada minuto (no caso de aplicativos como Google Authenticator ou Authy) ou digitar um código enviado para seu número de celular.
3. Não use temas ou plugins piratas
Ao baixar temas e plugins piratas, você corre o risco de instalar em seu site versões com brechas de segurança e backdoors que podem causar muita dor de cabeça.
Imagine ter um e-commerce com centenas ou milhares de transações com dados de clientes e perder tudo isso só para economizar uns trocados ao invés de comprar o código original?
Perder os dados já é algo preocupante mas ter os dados roubados e usados em outro lugar é ainda pior, portanto, use apenas temas e plugins de locais confiáveis como o repositório oficial do WordPress.org.
4. Escolha bem sua hospedagem
Outro ponto interessante a considerar é onde o site será instalado. De nada adianta ter senhas complexas se o site estiver instalado em um servidor mal configurado o que, em muitos casos, facilitará que malwares e vírus se espalhem de um site para outro.
5. Usuário admin, não
Um dos métodos mais conhecidos de invasão é acessar a página de login do site e chutar o nome de usuário e senha até que funcionem. Tudo feito automaticamente, é claro!
Ao usar o login admin, 50% da informação necessária para invadir seu site já foi entregue. Então use a criatividade 😛
6. Dê apenas as permissões necessárias
Alguém que só publica conteúdo no site precisa ter acesso total a ele? Não.
Uma das maravilhas do WordPress é possuir diversos tipos de usuários com permissões diferentes, possibilitando que você dê acesso de Autor (publicar e gerenciar seus próprios posts) para quem precisa publicar conteúdo e Administrativo (acesso total) apenas para quem precisa realmente.
7. Não compartilhe senhas e contas
Vou criar senhas gigantes e únicas para cada conta e salvar nessa planilha aqui para compartilhar com meus colegas de trabalho. Não, por favor, pare!
Nunca compartilhe seu próprio login e senha.
Caso precise dar acesso ao seu site para outra pessoa, siga as dicas mencionadas no número 6 e crie uma nova conta apenas com as permissões necessárias.
8. Certificado SSL/TLS
Tornar a comunicação entre seu servidor e o computador da pessoa que estiver acessando seu site mais segura pode ser feita utilizando certificados SSL ou TLS. Assim a comunicação será criptografada dificultando a vida de quem tentar ler esses dados.
Há inclusive opções gratuitas de certificados como o Let’s Encrypt que mencionei anteriormente aqui no blog.
9. Use sempre a versão mais recente
Atualizações são lançadas para adicionar novos recursos ou para corrigir bugs e falhas de segurança.
Por essa razão é importante manter seus temas, plugins e o próprio WordPress sempre atualizados.
10. Antivírus
Muitas vezes o vírus que infectou seu site partiu de seu próprio computador. O que poderia ter sido evitado ao usar um bom antivírus e firewall.
Bônus: Backup
Caso tudo dê errado, backups podem garantir que o conteúdo e todo trabalho feito no site seja restaurado facilmente.
Há diversos plugins disponíveis com essa funcionalidade no repositório oficial do WordPress.org, entre eles o Jetpack.
E aí, gostou das dicas? Deixe seu comentário compartilhando suas dicas e opiniões.
Olá Rafael Parabéns por esse belíssimo artigo. Gostaria de lhe dar uma sugestão para o próximo artigo. Na verdade sao 2 temas, o orimprim séria sobre headless WordPress e outro artigo séria que um monte de gente tem dificuldade é sobre sucuri vs wordfence qual usar.
Abraços e sucesso para você.
Boa! Vou ver se tenho algo interessante sobre esses assuntos para compartilhar 🙂
Olá parabéns pelo técnico artigo. Espero conhec-lo na wordcamp 2018! se tiver um tempo visite meu blog, uma braço!
[…] Rafael. 10 dicas de segurança para seu site. Disponível em: <https://rafaelfunchal.wpcomstaging.com/blog/tutoriais/10-dicas-de-seguranca-para-seu-site/> Acesso em: 01 de jun. de […]
[…] Rafael. 10 dicas de segurança para seu site. Disponível em: <https://rafaelfunchal.wpcomstaging.com/blog/tutoriais/10-dicas-de-seguranca-para-seu-site/> Acesso em: 20 de mar. de […]
[…] Rafael. 10 dicas de segurança para seu site. Disponível em: <https://rafaelfunchal.wpcomstaging.com/blog/tutoriais/10-dicas-de-seguranca-para-seu-site/> Acesso em: 20 de mar. de […]