Por Luana Premoli, HostGator

Quando planejamos criar um site, muitas dúvidas vem a mente e nem sabemos por onde começar. Conforme vamos pesquisando sobre o assunto, percebemos que é preciso de um domínio, que é o nome do site e como o visitante vai encontrar o site, também precisaremos de um local para guardar todos os arquivos que compõem o site, que é a hospedagem, e muitos outros nomes técnicos que acabamos conhecendo durante a pesquisa. Alguns deles vemos com mais frequência, um exemplo é o WordPress.

O WordPress é um Gerenciador de Conteúdo (CMS). Mas o que isso significa? Uma explicação simplista é que, com ele você configura um tema que mais te agrada e depois disso, já pode adicionar o conteúdo para publicar. Entretanto, o que muitas pessoas esquecem é que, por ser um dos CMSs mais utilizados no mercado, existem muitas brechas para que pessoas mal intencionadas possam aproveitar.

Mas e agora? Então isso significa que não devemos utilizá-lo? Devemos sim, já que tudo depende dos cuidados que você terá com a segurança. Da mesma forma que, se você utilizar o sistema mais completo do mundo mas não seguir nenhuma prática de segurança.

Existem hoje, diversas maneiras de tornar um site desenvolvido em WordPress mais seguro, e abaixo, vamos listar algumas formas de melhorar a segurança do site em WordPress.

SSL

Atualmente, muitas das maiores empresas de hospedagem já possuem incluso nos planos o serviço de SSL e ao instalá-lo no site, todas as informações que são trocadas entre seu site e o computador da pessoa que está acessando é criptografada. Ou seja, se tiver alguém mal intencionado tentando roubar as credenciais de acesso, por exemplo, ele verá somente uma série de caracteres aleatórios.

Além disso, ter um SSL no site é uma exigência do mercado pois ele garante mais segurança para os dados que circulam na web e isso contribui para mostrar mais credibilidade e integridade nas informações. Esse cuidado também é seguido pelo Google, com a atualização do Chrome os sites sem o protocolo HTTPS terão o aviso de ‘não seguro’ junto da URL.

Usuário administrador

Quando esta fazendo a instalação do WordPress, é solicitado que escolha um usuário administrador para que com este, você possa fazer alterações no site. Nunca é recomendado que utilize os usuários abaixo, pois são os primeiros que alguém mal intencionado irá tentar:

– Administrator

– Administrador

– Admin

É recomendado que utilize um usuário genérico, ou seja, que não tenha relação com o nome da empresa ou do proprietário.

Senhas fortes

Anualmente é divulgado na internet uma listagem das senhas mais utilizadas e, consequentemente, menos seguras durante o ano. Segundo a revista Exame, no ano de 2017 as cinco senhas mais utilizadas foram:

1. 123456
2. Password
3. 12345678
4. qwerty
5. 12345

Sendo assim, sempre que colocar uma senha, é necessário atentar-se para alguns critérios para torná-la mais segura, como por exemplo:

1. Colocar letras maiúsculas e minúsculas;
2. Colocar caracteres especiais;
3. Colocar números.

Você também pode conferir o conteúdo sobre dicas de como criar senhas seguras e caso tenha dificuldades em criar uma, é possível utilizar ferramentas que facilitam, como é o exemplo do Gerador de Senha da HostGator.

Altere o acesso ao painel admin

Como falamos anteriormente, pelo WordPress ser um dos CMSs mais utilizados, sua estrutura de arquivos é de amplo conhecimento e esta é mais uma facilidade para uma pessoa mal intencionada, contudo é possível tomar alguma medidas de segurança com relação a este tema, o que dificulta bastante ações não autorizadas.

A primeira ação a ser realizada, é alterar o endereço de acesso ao painel de controle administrativo ao WordPress, pois por padrão o acesso se realiza através do endereços http://meudominio.com/wp-admin ou http://meudominio.com/wp-login.php

Existem alguns plugins que auxiliam nesta tarefa e a torna super fáceis de fazer, como é o caso do Rename wp-login.php

Proteja o acesso ao painel admin

Outra ação que pode ser realizada, é proteger o acesso ao wp-admin e wp-login.php e esta ação deve ser realizada através do arquivo .htaccess que fica na raiz de diretório de seu site e basta adicionar o bloco de texto abaixo, alterando o IP para o seu IP de conexão e a nova URL de acesso ao seu painel de controle admin.

Neste exemplo, estamos usando a URL de acesso padrão com os Ips de conexão 200.186.51.171 e 179.108.123.250 que foram obtidos através deste link!

# INÍCIO Liberar acesso as telas de login apenas para seu IP

<IfModule mod_rewrite.c>

RewriteEngine on

RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]

RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$

RewriteCond %{REMOTE_ADDR} !^200\.186\.51\.171$

RewriteCond %{REMOTE_ADDR} !^179\.108\.123\.250$

RewriteRule ^(.*)$ – [R=403,L]

</IfModule>

ErrorDocument 403 “Access denied”

# FIM Liberar acesso as telas de login apenas para seu IP

Desta forma, qualquer pessoa que não utilize os dois Ips (200.186.51.171 e 179.108.123.250) e tente acessar http://meudominio.com/wp-admin ou http://meudominio.com/wp-login.php  será redirecionado para uma tela com a mensagem “Access denied”

Além das dicas acima, existem diversas outras formas de melhorar a segurança do site em WordPress, como:

• Manter sempre atualizado com a última versão disponibilizada pelo fabricante
• Usar temas e plugins originais e atualizados
• Desativar sempre plugins que não são mais necessários, uma vez que quanto mais plugins utilizado, mais brechas de segurança serão disponibilizadas

O mais importante é que seguindo essas dicas, já será reduzida drasticamente a chance se seu site ser invadido por um indivíduo com más intenções.

Lembre-se que quanto mais atualizado e otimizado for seu WordPress, menos riscos ele correrá e essa é a dica de ouro quando se trata de WordPress.

Autora: Luana Premoli é Analista de Suporte Avançado nível 3 na HostGator América Latina