A seguir, três dicas de segurança que podem ser a diferença entre a vida e a morte para seu site WordPress.
Ensinando e trabalhando diariamente com WordPress, tenho a oportunidade de conhecer os mais variados tipos de sites de alunos e clientes. O que mais me chama atenção, sem dúvida, são três práticas que vejo quase todo administrador de sites WordPress inexperiente (ou seja, que nunca passou por uma catástrofe) cometer.
Independente do porte do site, seja com milhares de visualizações por dia ou apenas algumas poucas, a tendência se repete e às vezes chega a ser assustadora. Vamos sem demora melhorar suas habilidades em segurança numa leitura rápida e fácil de incorporar em sua vida.
Dica 1 – Não utilize admin como parte de seu usuário
Possuir uma senha segura é prática comum de muitos e é uma dica batida, ou ao menos deveria ser. Mas um erro comum que vejo é o dono do site colocar admin na conta administradora de seu site WordPress. Atenção: isto é um grande risco.
Nunca coloque o nome do site ou a palavra admin como parte do usuário de seu site. Scripts maliciosos estão a cada dia mais espertos e sem dúvida vão sacar mais cedo ou mais tarde esta fraqueza de seu site e irão explorá-la.
Abaixo uma foto capturada do plugin de segurança WordFence que utilizo em meus sites:
Repare que as tentativas para as palavras chaves admin e o nome do domínio do site (cursos7 no caso) acontecem repetidas vezes, na tentativa de adivinhar a senha por tentativa e erro (brutal force).
Dica 2 – Tenha um plugin de segurança ativo em seu site
A segurança de um site WordPress pode ser facilmente tirada do easy para o hard com um único plugin: Wordfence. Instalar um plugin como este (ou semelhante), irá colocar uma cerca elétrica inteligente ao redor de seu site e ladrões dos mais variados tipos terão uma grande dificuldade para passar.
Entre as principais vantagens do Wordfence cito:
- Monitoramento ativo do tráfego do site
- Bloqueio de tentativas de acesso indevidas
- Scan de segurança de código malicioso, inseguro e desatualizado
O simples ato de instalar o Wordfence e deixá-lo ativado em seu site garantirá uma proteção extra de boa qualidade. Mas é importante fazer o scan de segurança uma ou duas vezes por mês.
Dica 3 – Backup fora da hospedagem, e testado!
Por sorte a maioria dos sites que administro possuem bons sistemas de backups tanto no WordPress como na hospedagem. Porém o mais importante é ter um backup de seu site fora do domínio e infra estrutura de seu site atual.
Um plugin que uso profissionalmente para fazer backups automáticos é o Updraftplus. Nele eu crio uma conta gratuita no Google para o site em questão e conecto o Updraftplus, que ao fazer o backup automaticamente envia ele para a conta do Google Drive configurada.
O Google fornece 15 gbs gratuitamente para qualquer conta, tamanho razoável para um backup.
Assim você evitará as seguintes situações indesejáveis:
- Já vi casos onde o único backup ativo no site era no serviço de hospedagem. O cliente não fez o pagamento da hospedagem, tiraram o site do ar e claro, os backups.
- Em outras situações o backup era feito por um plugin do WordPress e o arquivo ficava no diretório do site. Ao ser hackeado, tudo foi limpado, incluindo os backups.
- Em outros casos os backups eram feitos regularmente. Certa vez o site saiu do ar e os arquivos de backups foram solicitados. Qual foi a surpresa de todos ao perceber que os arquivos estavam corrompidos na hora da restauração?
Por isso tão importante quanto fazer backups é testá-los. Vez ou outra, separe os arquivos e tire uma hora para restaurar seu site WordPress em uma hospedagem diferente ou em localhost.
Conclusão
Claro que essas dicas são para profissionais que trabalham com a administração diária de sites de alto tráfego. Porém, um iniciante pode fazer tudo isso em uma frequência menor, como por exemplo backups remotos mensais ou anuais e ao menos instalar um plugin de segurança como o Wordfence.