O WordPress é o CMS mais utilizado no mundo. Atualmente, cerca de 40% de todos os sites são executados no WordPress. Infelizmente, devido à sua popularidade, também é muito apetecível para os hackers. Por isso, recomendamos que acrescente alguma segurança extra ao seu site WordPress, e minimizar o risco de ser hackeado.
Abaixo, compilamos uma lista de recomendações possíveis de implementar para garantir um site WordPress mais seguro:
- Atualize sempre
- Remova os plug-ins e temas que não utiliza
- Monitorize o estado do seu site
- Proteja a pasta wp-admin com uma palavra-passe
- Crie um nome de utilizador personalidado para a área administrativa
- Desative a execução PHP na sua diretoria de carregamentos
Atualize sempre
Parte das atualizações do WordPress são correções de segurança que os hackers poderiam explorar, pelo que é essencial atualizar o mais rapidamente possível. Pode facilmente atualizar a sua versão do WordPress, plugins e temas a partir do WP Admin. Se não tiver acesso ao WP Admin, pode atualizar manualmente.
- Como manter o meu site WordPress atualizado?
- Atualização manual do WordPress (sem acesso ao WP Admin)
Para além da instalação principal do WordPress, é essencial verificar regularmente se as atualizações estão disponíveis para os plugins e temas instalados.
Sugestão: Caso não queira optar pela atualização manual, leia mais sobre o Managed WordPress da one.com e o seu Update Manager integrado.
Remova os plug-ins e temas que não utiliza
Todos os plug-ins e temas que instalou podem representar um risco em termos de segurança, por isso quanto menos tiver melhor.
Recomendamos que remova todos os temas que não utiliza, exceto os temas padrão do WordPress (Twenty Nineteen, Twenty Twenty, etc.). O mesmo se aplica aos plugins de que já não necessita. Pode removê-los diretamente através do seu WP Admin ou eliminá-los do seu espaço web.
Certifique-se de que remove quaisquer instalações do WordPress anteriores que possam existir no seu espaço web, de teste ou cópias de segurança. Estas também são vulneráveis a ataques.
Sugestão: Instale apenas plugins e temas de fontes confiáveis. Se encontrar uma versão gratuita de um tema pelo qual normalmente precisa pagar, há um grande risco de que ele venha com malware "gratuito".
Monitorize o estado do seu site
Certifique-se que tem o plugin one.com instalado gratuitamente por forma a beneficiar dos seus úteis recursos de análise de sites, como o Health Monitor.
Health Monitor executa verificações básicas do site, por exemplo, se utiliza a última versão do WordPress. Esta ferramenta permite-lhe manter-se atento aos pontos de controlo essenciais de segurança e desempenho, e informa-o sobre questões que necessitam ser corrigidas. Dependendo do estado, receberá “Tudo bem” ou uma lista de recomendações sobre o que necessita ser revisto.
Sugestão: Com o Health Monitor Pro, incluído no add-on Managed WordPress, pode corrigir tais problemas com apenas um clique.
Proteja a pasta wp-admin com uma palavra-passe
Bloqueie hackers e proteja a sua pasta wp-admin com uma palavra-passe, acrescentando uma segurança extra à sua área administrativa do WordPress.
Poderá seguir o nosso tutorial para proteger o seu sítio web com um ficheiro .htaccess. Certifique-se de que protege apenas a pasta wp-admin e não todo o sítio web, caso contrário o seu sítio deixará de estar acessível. Coloque os ficheiros na pasta wp-admin.
Nota: Se já existe um ficheiro .htaccess na pasta wp-admin, adicione o código gerado a este ficheiro existente. Não o substitua.
Outra forma de evitar que os hackers explorem o seu site WordPress é redirecionar a sua página de login WordPress através do painel de controlo com a Proteção Avançada de Login.
Crie um nome de utilizador personalidado para a área administrativa
Na maioria das vezes, os hackers tentam aceder à sua área administrativa do WordPress com Ataques de Força Bruta, nos quais robôs utilizam milhões de combinações diferentes entre a palavra-passe e o nome de utilizador para entrar. Recomendamos que crie um nome de utilizador único para dificultar que adivinhem os seus dados de login.
Poderá alterar o nome de utilizador da área administrativa em phpMyAdmin, na tabela wp_users. Saiba mais com o nosso tutorial sobre como aceder à sua base de dados.
Assim que tenha acesso:
- Localize a tabela wp_users (poderá também ter o nome de 0_users).
- Encontre o nome de utilizador administrativo e clique Edit.
- Em user_login, insira um novo nome de utilizador no campo Value.
- Clique em Go para guardar.
Desative a execução PHP na sua diretoria de carregamentos
Se concluiu uma instalação manual do WordPress, recomendamos desativar a execução do PHP na sua pasta de carregamentos. Se tiver utilizado o instalador 1-clique, pode saltar esta secção. Para instalações WordPress 1-clique, a execução PHP é desativada por defeito.
É comum existir uma backdoor PHP no diretório de carregamentos. A partir daí, o malware é espalhado para outros locais do seu site. Não é possível impedir o carregamento da backdoor, mas ao desativar a execução PHP pode-se bloquear a sua propagação para outros locais.
Pode desativar a execução do PHP ao adicionar estas linhas de código no seu ficheiro .htaccess localizado na pasta de carregamentos (wp-conteúdo/carregamentos).
# Block executables <FilesMatch "\.(php|phtml|php3|php4|php5|pl|py|jsp|asp|html|htm|shtml|sh|cgi|suspected)$"> deny from all </FilesMatch>
Consulte o nosso guia sobre como criar um ficheiro .htaccess e desativar a execução de ficheiros para todas as etapas necessárias.
Nota: Se já tiver um ficheiro .htaccess no seu espaço web, não precisa de criar um ficheiro novo. Em vez disso, pode adicionar o código ao ficheiro existente.
Artigos relacionados: