O WordPress é a plataforma de gerenciamento de conteúdo mais popular do mundo. É programada em php e utiliza banco de dados MySQL. Um dos fatores para sua popularidade entre os mais diversos tipos de usuários é a facilidade em atualizar seu conteúdo e até mesmo o design através de personalização ou criação de Templates ou Temas de WordPress.
Porém, muitos usuários que não tem conhecimento técnico e adquirem ou decidem ativar um site em WordPress a preocupação com procedimentos seguros não é uma rotina e com isso, começam a utilizar de forma não segura, ou seja, de forma que facilita o ataque de programas maliciosos que varrem a internet em busca de sites com plataforma desatualizada, plugins desatualizados, senhas fracas, configurações inadequadas de servidores e arquivos relacionados com o banco de dados.
Para conscientizar usuários de wordpress que até o momento não se preocupavam em manter um comportamento seguro em relação ao uso e atualização do mesmo, eu listo abaixo algumas dicas básicas de segurança na internet:
1. Evite criar usuário com o login sendo admin
Este é o usuário padrão criado na ativação do site. Softwares maliciosos sabem disso e vão tentar quebrar a senha usando este login de usuário. Usando admin como login você está deixando seu site menos seguro.
2. Mude o prefixo dos nomes das tabelas do banco de dados na instalação
Por padrão, os prefixos usados são “wp_”. O recomendado é que você utilize um prefixo diferente, o que ajudará seu banco de dados a estar mais seguro.
3. Use sempre senhas consideradas difíceis pelo indicador do sistema
Esta dica é válida para qualquer senha que você tenha que criar. Evite “nome123”, datas de aniversário, nomes dos filhos, “senha123”. As melhores senhas são aquelas que parecem palavrão de gibi, com símbolos, números e letras em caixa alta e baixa, do tipo que é difícil de decorar. Deixe a preguiça de lado e previna-se de maiores problemas no futuro.
4. Tenha no máximo 2 usuários com perfil de administrador. Crie perfis diferentes e com acesso limitado ( editor, autor )
Quanto mais usuários com perfil de Administrador você tiver no site, mais risco você estará correndo. Limite-se a manter apenas 2, sendo que o ideal é ter apenas 1. O perfil de Administrador tem acesso completo ao site e quanto mais Administradores você tiver, mais difícil de controlar se usam o site de forma segura ou não.
5. Não compartilhe seu login e senha de acesso com outros usuários
Esta aqui nem deveria ser dica, mas, nestes mais de 10 anos de marketing digital, como eu vejo que este é um procedimento FREQUENTE, apesar de ser óbvia a insegurança do mesmo, está listado aqui como uma dica. Enfim, não compartilhe login e senha com outros usuários. Cada um deverá ter o seu. Para que tenham noção da gravidade deste procedimento, compartilhar esta informação pode causar demissão por justa causa em muitas empresas.
6. Tenha um anti-vírus atualizado instalado na sua máquina e use com frequência
Com o advento da internet e dos downloads de conteúdo, aliado a melhora significativa dos filtros de spam nas contas de e-mail, o caminho encontrado pelos hackers foi criar pequenos softwares que são instalados nos computadores dos mais desavisados quando estão realizando algum tipo de download. Sem saber, o usuário está infectando sua máquina com um tipo de malwere que irá capturar informações de login e senha utilizados com frequência para instalar em sites que ele gerencia novas versões de malwere. Por isso um anti-vírus ATUALIZADO é fundamental, assim como também é realizar o escaneamento frequente do computador com ele.
7. Evite usar a mesma senha que usa em mídias sociais e outros aplicativos
Novamente aqui, a preguiça impera! Sim, tenha uma senha DIFERENTE e um login DIFERENTE para cada conta, site, aplicativo que você possui. Desta forma, se um login e senha são quebrados, isso afetará somente uma conta e não TODAS AO MESMO TEMPO.
8. Evite deixar a senha salva no navegador
Os vírus de computador são craques em descobrir isso.
9. Monitore mudanças no código fonte do wordpress
Você encontra vários plugins que conseguem monitorar quando mudanças no código fonte do wordpress, template ativo ou plugins são realizadas e você recebe um aviso, para comparar se é você que está mexendo ou se é outro usuário. Geralmente os malweres realizam mudanças nas linhas de código e isso é um bom sinal de que seu site está infectado.
10. Use sempre a versão mais recente do wordpress
Tenha uma rotina de verificação de compatibilidade, realização de backup completo e atualização da versão do WordPress. Versões antigas sempre contém falhas de segurança.
11. Use sempre versões mais recentes dos plugins
O mesmo para os plugins, principalmente os que realizam mudanças no banco de dados e os que lidam com slide de fotos.
12. Evite importar imagens por urls de outros sites
Você pode estar importando um malwere sem saber
13. Evite acessar o painel do wordpress de computadores ou redes desconhecidas ou com alto tráfego de usuários
O computador pode estar contaminado.
14. Evite instalar templatess adquiridos fora de sites oficiais de venda de templates
Eles podem conter vírus.
15. Proteja pastas administrativas e de arquivos do wordpress com arquivos .htacess
Isso irá blindar o acesso a estas pastas.
16. Projeta o arquivo wp-config no diretório raiz
Este arquivo contém informações importantes de acesso ao site.
17. Adicione frases de segurança no arquivo wp-config
Funcionam como senhas adicionais
18. Monitore o tempo de carregamento do site, para identificar possíveis picos de tempo de carregamento fora do padrão
Os picos podem indicar que o consumo de tráfego do site está alto, pelo fato dele estar disparando algum tipo de informação relacionada com vírus.
19. Realize diariamente o scaneamento do site para identificar possíveis arquivos contaminados com malwere
Há vários sistemas de segurança e plugins que realizam esta rotina. Recomendo que utilize as versões pagas.
20. Mantenha um backup atualizado de todo o site
Você nunca sabe quando algo irá dar errado. Por exemplo, um desenvolvedor de template pode simplesmente abandonar a atualização do mesmo para futuras versões do WordPress e se você atualizar a versão, poderá ter incompatibilidade de template, destruindo o site.