Dicas de segurança no WordPress
Daniel Becher | 17 de maio de 2010Durante a última semana, recebi pelo menos 5 tickets de clientes que estavam preocupados com a segurança dos seus blogs. É normal que, com o crescimento de alguns projetos, os sites sejam mais visados e acabem se tornando um potencial alvo de ameaças.
Mas a notícia é boa: é mais simples do que se pensa manter o seu blog seguro e sem vulnerabilidades.
Isso porque existem alguns fatores que, estando em harmonia, fecham as portas do site e fazem com que tenhamos um sono tranquilo com o quesito segurança.
Do lado da Via
Nós utilizamos servidores com tecnologia suficiente pra barrar e filtrar ameaças vindas de fora. Atualizações de sistema são feitas assim que disponibilizadas pelos desenvolvedores, firewalls em mais de um ponto da rede e total segurança e privacidade garantidas pelos datacenters em que hospedamos os servidores.
Do lado do WordPress
Não só a Automattic, empresa responsável pelo desenvolvimento do WordPress, como toda a comunidade deste software indica e ajuda corrigir qualquer ameaça de possibilidade de vulnerabilidade do sistema, estão sempre vigilantes e lançam, com uma resposta quase de bate-pronto, atualizações e correções de estabilidade e segurança sempre que necessário.
Do lado do cliente
Entretanto, pra que todo esse conjunto funcione, é necessário que algumas medidas sejam tomadas pelo cliente a fim de selar essa cadeia de segurança. De nada adianta, por exemplo, se a comunidade WordPress avisa de uma vulnerabilidade e a Automattic corrigir se o usuário não aplica estas atualizações no sistema, por exemplo. Algumas dicas pra manter seu blog sempre seguro:
WordPress bem atualizado. Sempre que sai uma atualização do WordPress, é porque algo de importante foi modificado. Isso porque quando as atualizações com menor grau de importância surgem, espera-se que outras mais urgentes saiam pra que lance-se num pacote único, evitando atualizações desnecessárias aumentando o volume de trabalho para os administradores. Desta forma, sempre que for solicitado, atualize o WordPress pelo próprio dashboard. Se você tem um blog com versões mais antigas que a atual e não consegue fazer isso de forma automática, contacte o suporte técnico da Via e faremos isso pra você! É importante.
Plugins também. É também de grande importância que você mantenha os seus plugins atualizados. Assim como a versão “core” do sistema, o dashboard informa nas versões mais atuais quais plugins precisam de atualização. A regra do “se pede atualização, faça” também vale neste caso.
Senhas fortes. Sua senha é forte? Você utiliza senhas alfa-numéricas? que tal um símbolo? Senhas curtas, com apenas letras ou somente números, que tenham alguma relação com sua idade, preferências, gostos, características, etc. são consideradas senhas fracas. Use sempre senhas que não digam nada sobre você, utilize alguns números no meio das letras, utilize pelo menos 8 caracteres e, se possível, adicione símbolos disponíveis no seu teclado para tal (! @ # $ % ¨& * ( ) )
PS: troque sua senha periodicamente.
Usuários inativos. Se você tem usuários cadastrados no seu WordPress que estejam sem uso, mesmo que ele não tenha permissões de administrador, remova-os. Isso porque provavelmente você não lembrará de trocar a senha dele, também está ocupando espaço desnecessário no banco de dados e é uma porta a menos pra se preocupar no futuro.
Plugins e temas hospedados porém sem uso. Além de você poupar espaço em disco, deixando seu site mais leve e com um arquivo de backup melhor manuseável para qualquer emergência, deletando templates e plugins que estão sem qualquer serventia no seu blog você elimina outras portas de entrada. Isso porque cada um desses “pequenos aplicativos” são desenvolvidos por terceiros e não são atualizados enquanto você não os usa, eliminando risco desnecessário.
Tenha sempre um backup! Nós fazemos backup da sua conta diariamente, em três tipos de mídia e em locais diferentes do globo terrestre, mas tenha sempre um backup atualizado do seu blog. Se você seguir todos os passos contidos neste artigo, muito provavelmente não precisará dela por conta de segurança externa, mas é sempre uma segurança pessoal que você tem pra questões de emergência.
Se você ainda tem dúvidas sobre o quão seguro está o seu blog, entre em contato no suporte. Terei o prazer de conversar sobre com você 🙂