Vamos ver algumas dicas de segurança básicas que todo administrador de sites WordPress deve ter para evitar problemas de invasões em suas instalações. São táticas simples para iniciantes do WordPress que podem afastar as constantes ataques que vêm crescendo proporcionalmente ao crescimento do uso do CMS como principal plataforma de desenvolvimento de blogs.
Posso afirmar que a melhor opção para prevenir que essas ameaças aconteçam com seus sites é ser pró-ativo com a segurança do WordPress, pois uma verdade é certa: a maioria dos administradores de sites WordPress só procuram descobrir mais sobre a segurança do WordPress depois que sofrem uma invasão. Não pense que isso nunca vai acontecer com você.
ATUALIZE SEMPRE SEU WORDPRESS
Essa é a mais básica das dicas de segurança do WordPress. A cada nova versão lançada do WordPress são feitas atualizações que visam correções de segurança.
A atualização normalmente não afetará seu site, mas procure sempre manter plugins e templates atualizados. E sempre faça backups antes das atualizações.
NÃO INFORMAR A VERSÃO DO SEU WORDPRESS
Parece que é uma informação inofensiva, mas permitem que pessoas más intencionadas direcionem vulnerabilidades específicas da versão do WordPress que você usa. Repare que qualquer pessoa com conhecimento, mesmo básico, pode descobrir qual versão da plataforma que seu site está usando.
Com o código abaixo você evita que essa informação seja encontrada por qualquer pessoa:
function remove_wp_version () {
return '';
}
add_filter ( 'the_generator', 'remove_wp_version' );
Você deve ter atenção quanto ao readme.html arquivo, pois ele contém também essa informação, para esse arquivo você pode removê-lo totalmente, ou apenas remover o número da versão de dentro deste arquivo.
NÃO USE O USUÁRIO PADRÃO “ADMIN”
Sempre que você faz uma nova instalação do WordPress, por padrão cria-se um usuário chamado “admin”. Usar esse login é um dos erros mais básicos que facilitam os ataques. Para invasões pelo login o hacker precisa do usuário e senha, a primeira tentativa que será feita é o uso do usuário “admin”.
Por esse motivo é importante se criar um usuário único e tão difícil quanto a senha, pois robôs, usados para as invasões, tentam vários usuários e senhas aleatórias até descobrir conseguir acesso. Se você não fez isso na instalação é possível alterar diretamente no banco de dados, acessando o seu mysql e alterando o login admin por outro;
Ou ainda criando um novo usuário com poderes máximos, logando com esse outro usuário e em seguida apagando o admin.
LIMITE O NÚMERO DE TENTATIVAS DE LOGIN
Os usuários não autorizados podem tentar fazer o login para o seu site usando uma variedade de combinações de nomes de usuário e senhas, utilizando programas próprios para essa tarefa é bem provável que consigam.
Para evitar mais essa forma de ataque instale o plugin Limit Login Attempts para limita com a criação de uma quota no número de tentativas de login que um único usuário pode fazer, ultrapassando esse número, o usuário será bloqueado.
CONFIRMAÇÃO DE INFORMAÇÕES DE LOGIN
Talvez a principal desvantagem do sistema atual do login no WordPress seja que o mesmo informa qual parte das informações para login foram incorretamente informadas. Por exemplo, se for digitado o nome do usuário está correto e a senha errada, o WordPress informará ao usuário que a senha está incorreta. Isso torna mais fácil forçar o login de acesso.
Este problema pode ser resolvido inserindo o código abaixo no arquivo functions.php de seu template WordPress:
function failed_login () {
return 'Seu usuário ou senha informados estão incorretos.’
}
add_filter ( 'login_errors', 'failed_login' );
DESABILITAR A OPÇÃO “QUALQUER PESSOA PODE SE REGISTRAR”
Esta é a opção de permite que qualquer pessoa possa se registrar em seu site, a questão é que muitos sites WordPress subutilizam essa funcionalidade e podem substituir esse recurso com um formulário de captação de email. Por padrão essa opção está desabilitada, mas para garantir vá para a aba Configurações e desmarque a opção ” qualquer pessoa pode se registrar “checkbox.
Confirme também se a opção “Função padrão para novo usuário” está definida como “assinantes” como uma precaução extra.
SEMPRE FAÇA BACKUPS DE SEU BANCO DE DADOS
Parece a frase que mais uso nesse site, mas é com certeza a melhor ação para se prevenir das dores de cabeça que a invasão de um site causa ao seus administradores.
CONCLUSÃO
Estas são algumas das ações que você deve realizar para prevenir o sucesso de ataques ao seu site, mesmo com o mínimo de conhecimento que você tenha no WordPress, realizando esses passos terá mais segurança contra invasões.
Caso você conheça outas táticas simples troque suas experiências conosco.
