Proteja seu site feito em WordPress com algumas dicas simples!
Não é uma novidade que o WordPress representa 40% ou mais dos sites na internet e eu amo este CMS! De verdade!
Porém com tamanha popularidade e facilidade de uso, é óbvio que os hackers estão sempre buscando formas de invasão e brechas de segurança, assim como vemos com o Sistema Operacional Windows!
Neste artigo citei alguns pontos simples que irão ajudar você a proteger seu site e evitar problemas quando ele estiver no ar:
1. Desabilite / Esconda o acesso ao WP-ADMIN
Por padrão, o WordPress vem com uma URL bem conhecida e que os hackers costumam aproveitar para tentar os mais diversos tipos de ataque.
https://www.seusite.com.br/wp-admin
Ao desativar ou ocultar este endereço você já tornar um pouco mais difícil para os hackers descobrirem por onde invadir. E isto é extremamente útil para muitos sites e deve ser uma das principais prioridades de segurança para sites feitos no WordPress.
Para fazer isso, você pode usar o plugin WP Cerber Security que pode ser facilmente instalado através dos repositórios de plugins do WordPress. Depois de instalado, em configurações você pode alterar o URL de login ao painel administrativo padrão para um personalizado de sua escolha, como por exemplo:
https://www.seusite.com.br/painel-site
ou
https://www.seusite.com.br/gestor-site
2. Desabilite / Restrinja o acesso ao REST API
Acredite ou não, o WordPress vem com uma API REST totalmente funcional que expõe seus recursos e dados ao público em geral por padrão!
E pior ainda! Um hacker inteligente ou até um usuário mal-intencionado precisa apenas saber o endereço correto para resolver metade do problema expondo alguns dados de usuários e permitir que ele comece ataques de força bruta em seu site ou até phishing de navegador e assim por diante.
https://www.seusite.com.br/wp-json/wp/v2/users
Para evitar essa brecha inacreditável, o WP Cerber Security permite restringir ou bloquear completamente o acesso à API REST do WordPress. Você pode encontrar mais informações aqui.
3. Sites de Teste / Atualizações de Plugins
Antes de sair atualizando seus plugins e até a versão do WordPress seria interessante que o seu site tenha uma versão de teste! Um site de teste é simplesmente uma réplica ou cópia exata do seu site para testar recursos, novos plugins e alterações de design.
Por exemplo se o seu site for:
www.seusite.com.br
Seu site de teste pode ser um subdomínio como:
testes.seusite.com.br
Fica a dica! Você nunca deve experimentar um novo plugin em seu site de produção (online). Isto nunca será uma boa ideia e pode levar a problemas indesejados. E vale a pena lembrar que plugins não verificados, piratas, nulled ou não testados são responsáveis por mais de 80% das falhas e invasões dos sites WordPress em produção.
Quando você não tem certeza do que um plugin faz, é sempre uma boa ideia testá-lo em seu site de teste e se possível até mesmo examinar seu código-fonte para ver se há algum script malicioso antes de tentar instalá-lo em seu site de produção (online).
4. Utilize os Níveis de Usuário
Por padrão, o WordPress permite que você crie novos usuários em qualquer função editor, contribuidor, administrador.
É aí que mora o problema, um usuário que não é o dono do seu site ou desenvolvedor nunca deve ter o status de administrador, pois isso dá ao usuário a capacidade de modificar o arquivo functions.php ou arquivos do thema além de poder instalar / desinstalar plugins quando quiser.
Por isso, especificar a função ou os recursos corretos para cada usuário é importante para que apenas os usuários com os privilégios corretos possa fazer aquilo que lhe é permitido.
Cada usuário deve ter funções atribuídas com base em suas atividades de trabalho ou funções dentro da empresa.
5. Use Plugins Moderadamente
Quem nunca se deparou com aqueles sites que para incluir um simples botão foi utilizado um plugin, para mudar um titulo outro plugin, trocar uma corzinha plugin… E no fim o site tem lá 45 plugins instalados com funções tão simples que um desenvolvedor conseguiria criar tudo diretamente no thema economizando recursos e evitando brechas e aquela dor de cabeça.
Por isso, evite o caminho mais fácil. Opte por contratar um profissional que altere diretamente o seu thema ou crie funções nativas para o que você precisa.
Mas pera lá, isso não quer dizer que você não deva utilizar plugins! Só evite depender deles para tudo. O WordPress é tão bom por isso, existem diversos plugins de altíssima qualidade que polpa um tempão de desenvolvimento.