É comprovado que grande parte dos ataques as instalações WordPress se dão por falhas de segurança, alguns usuários já tiveram problemas com isso mais de uma vez, e no geral tem perdas grandes caso não tenham cópias de segurança limpas para restaurar seu site.
A segurança de um blog depende não só da empresa de hospedagem de site, que pode ser segura o bastante para evitar grande parte dos ataques, mas também da forma com que o administrador mantém a sua instalação. Quanto mais segura for a rotina de uso, mais seguro será seu site.
Mantenha um cronograma
Não é de hoje que diversos blogs e até mesmo a comunidade WordPress vem orientando seus utilizadores com diversas dicas de segurança.
Inclusive nós já abordamos diversas vezes o assunto, o mais recente em nosso checklist para manter uma instalação wordpress, nesse artigo deixamos bem claro a importância de seguir essa rotina para manter tudo funcionando como desejamos e evitarmos surpresas inconvenientes como invasões ou perda de dados.
Para manter o dobro de segurança, vale falar novamente da qualidade de suas senhas, você nunca conseguirá manter nada seguro com senhas do tipo “meunome@1234”, isso só ajuda a criar uma porta de entrada com todas as facilidades para pessoas mal-intencionadas.
O melhor a se fazer é usar senhas complexas, ainda que você precise usar sites ou aplicativos para mantê-las guardadas em segurança, essas aplicações guardam suas senhas através de criptografia, o que faz com que tudo esteja protegido, ainda que seu computador esteja comprometido.
Não use plugins ou temas pagos que são oferecidos de graça
Esse é o maior erro de quem quer manter seu blog seguro mas pensa em economizar alguns trocados, isso se encaixa perfeitamente no ditado que diz que o barato sai caro, pois é exatamente o que acontece.
Na maioria das vezes, ou se não em todas elas, esse arquivo grátis vem premiados com códigos maliciosos e ajudam a criar uma máquina de infestação em sua hospedagem.
Alguns delas se espalham e alteram arquivos, outros criam downloads maliciosos que usam o seu blog para serem distribuídos, e também existem os que fazem do seu blog parte de uma rede que é usada para realizar ataques em massa a outros sites.
As possibilidades são grandes já que hoje em dia os invasores estão cada vez mais criativos e empenhados em cometer esses crimes.
Use seu arquivo wp-config.php a seu favor
Sabemos que esse é o arquivo mais importante de sua instalação, é nele que estão senhas do banco de dados, parâmetros de configuração de criptografia, configurações personalizadas, e tudo isso precisa ficar o mais seguro possível.
Algumas coisas podem ser feitas para que essa segurança aumente e vamos reunir algumas delas.
Mude a localização padrão:
Você já deve estar acostumado a manter todos os arquivos na mesma pasta, ou seja, a public_html, mas por motivos de segurança, você pode mover seu arquivo de configuração para um nível acima, o que impossibilita o download do arquivo em um bug que torna seus arquivos baixáveis, por exemplo.
Sendo assim, uma instalação padrão que está no diretório:
/public_html/wp-admin/
/public_html/wp-config.php
Com a mudança, irá se transformar em:
/public_html/wp-admin/
/wp-config.php
O WordPress irá reconhecer normalmente as duas configurações.
Mantenha as permissões corretas:
Um dos maiores erros que você poderia cometer é não manter as permissões corretas em seus arquivos, quando isso acontece, você está comprometendo todo o seu trabalho.
400. É a mais rigorosa, permite apenas a leitura.
600. É a mais leve, e permite leitura e escrita.
Você não vai ficar mudando as configurações a cada semana, então o mais indicado é usar a permissão, com ela apenas a leitura das informações será permitida e isso é o suficiente para a plataforma operar perfeitamente.
Use o .htaccess para bloquear o acesso:
Se você usa o apache, certamente já deve ter usado esses arquivos de configuração, e o mais indicado é usar uma configuração de bloqueio a esse arquivo.
order allow,deny
deny from all
Use a autenticação em dois passos, sempre!
Junto com uma senha complexa e que garante realmente a sua segurança, um adicional muito importante para essa situação é o uso dos pins de acesso, que são gerados a cada minuto.
Esse método de verificação de acesso vem se tornando fundamental para manter protegido qualquer informação, visto que ainda com a perda da senha, o invasor precisará dessa numeração aleatória que somente você tem, e que normalmente está em um aplicativo no seu telefone.
Pense nisso como duas camadas de verificação, quando você tem apenas uma, se ela é quebrada você logo da o acesso ao invasor, mas quando você tem duas, e a primeira é comprometida, ainda existe mais uma barreira para impedir o processo. Essa é a grande vantagem dessa proteção de dois fatores.
Hoje existem diferentes formas de realizar essas validações, seja por biometria, verificação por SMS, tokens de segurança, e-mail, dessa forma você tem recursos suficientes para manter tudo em ordem.
Existem alguns apps gratuitos para que você possa realizar os logins, Authy, Clef, Google Authenticator, ambos são muito fáceis de configurar e usar, são leves e não atrapalham no uso diário do seu smartphone.
Conclusão
Com essas pequenas dicas você pode dobrar a segurança da sua instalação e manter uma camada extra de proteção aos seus logins, além de uma hospedagem de site, você precisa manter uma rotina própria para continuar seguro. Estamos sempre criando novos artigos que vão sempre te ajudar em seus projetos.
Aprenda como fazer um blog
Gostou de nosso post? Compartilhe: