Como Manter a Segurança no seu site WordPress

 

Neste artigo, apresentaremos alguns dos perigos a que estamos expostos, além de ações necessárias para garantir a segurança dos ambientes online.

Quais são os principais tipos de ataques a sites em WordPress?

Quando um site WordPress é atacado, são vários os possíveis pontos de entrada. Confira as formas mais comuns de ataque:

  • Página de login: essa é a forma mais comum de ataque ao WordPress. É onde ocorrem os ataques conhecidos como “força bruta”, onde robôs ou bots tentam adivinhar a senha do site repetindo várias combinações possíveis. Tudo isso acontece na sessão de login do WordPress;
  • Código PHP em seu site: esta é a segunda forma mais comum de ataque ao WordPress. Nela,  cibercriminosos tentam explorar vulnerabilidades no código PHP em execução no seu site. Isso inclui qualquer falha visível no código núcleo do WordPress, bem como seus temas,  plugins e qualquer outro aplicativo que esteja sendo executado junto ao CMS;
  • Escalada de privilégios: outra forma popular de hackear sites é fazendo uma conta de usuários sem privilégios, através de sites com o registro de usuários ativado. Utilizando alguma falha de software, o hacker pode obter um nível de acesso mais alto como ‘admin’ e dominar o acesso;
  • Aplicativos antigos ou desatualizados: um invasor também poderá procurar outros aplicativos da web mais antigos e desatualizados, que estejam integrados ao seu site como porta de entrada. Se eles conseguirem acesso por meio desses aplicativos, poderão modificar seus arquivos WordPress e infectar o seu site, mesmo que você tenha mantido a instalação do WordPress em si segura.

Essas são apenas quatro formas de ataques, de uma lista grande de possibilidades.

Porém, isso não quer dizer que você tenha que abandonar o WordPress. O mais importante é manter-se bem informado e proteger-se aplicando as dicas abaixo.

6 passos para manter um site seguro no WordPress

1. Segurança de dois fatores no login

Todos trabalhamos com muitas contas online, sejam elas ferramentas de comunicação, gerenciamento de projetos ou organizações. A probabilidade de utilizarmos a mesma senha em vários ambientes é grande.

Mesmo que não seja o caso, como vimos, ataques de força bruta são os mais comuns no WordPress. Por isso, dificultar o acesso não autorizado à página é uma ótima forma de se proteger.

A verificação de dois passos envolve verificar seu login a partir de outro elemento, utilizando o seu celular por exemplo, além do seu password.

Idealmente, essa autenticação é feita por meio de um aplicativo instalado no seu smartphone, ou algum outro dispositivo extra ao que está sendo utilizado para fazer o login. Esse fator de autenticação adiciona uma camada extra de proteção, evitando o acesso à conta por hackers ou bots.

Uma dica é instalar o plugin Google Authenticator – Two Factor Authentication e utilizar o acesso seguro de dois fatores no seu site WordPress.

2. Atualização sempre em dia da instalação core, plugins e tema

Essa é uma dica muito simples: basta manter seu site sempre atualizado, com tudo, absolutamente tudo, em dia.

Tanto plugins e temas como a instalação core do WordPress não devem ficar desatualizados, pois nessa situação eles se tornam um dos principais fatores de vulnerabilidade a ataques de hackers.

No painel de controle do CMS você encontrará alertas que avisam da necessidade de atualizações. Dessa forma, com um simples clique, é possível manter a “casa em dia”.

3. Segurança do host

Ao escolher a sua hospedagem, leve em consideração o cuidado que o host demonstra em relação à segurança.

Um exemplo de cuidado da parte do host, que pode evitar muita dor de cabeça ao cliente, é o  bloqueio do acesso à área administrativa do WordPress (/wp-admin) a partir de IPs internacionais. Esse bloqueio acaba sendo muito útil porque diversos ataques a sites WordPress são iniciados de IPs internacionais.

Outros benefícios de segurança que o seu provedor de hospedagem deve oferecer são: antivírus, antispam, monitoramento, proteção contra ataques, backups diários e atualizações automáticas.

4. Senha forte: especialmente importante para o ambiente de hospedagem

Essa dica é válida principalmente para quem hospeda seus sites em ambiente compartilhado. Ao utilizar uma senha fraca para o servidor, coloca-se em risco não apenas o próprio site, mas também o de outros usuários.

Visando a segurança, a composição das senhas de acesso ao FTP deve manter o seguinte padrão:

  • Conter no mínimo 6 caracteres;
  • Conter ao menos uma letra;
  • Conter ao menos um número;
  • Não poderá começar ou terminar com caracteres especiais;
  • Não poderá conter nome de usuário ou de domínio;
  • Não poderá constar em listas de senhas conhecidas disponíveis na internet, já que são consideradas senhas fracas/mais utilizadas;
  • Deve preferencialmente possuir caracteres especiais disponibilizados: @ ^ ? ~ , * . # $ ! – = & ( ) _.

5. Instalação do Google Search Console

O Google Search Console é uma ferramenta do Google que pode ajudar em diversos aspectos. Um deles é o da prevenção aos ataques de hackers.

Para garantir seu acesso, faça uma conta com um endereço de email que não pertence ao domínio do seu site. O motivo é muito simples: se o seu acesso for hackeado e caso o email seja o mesmo do domínio associado à conta os cibercriminosos podem desabilitar o alerta enviado via email.

Preste atenção aos alertas por email que você recebe do Google Search Console e confira regularmente no painel a situação das suas páginas.

6. Instalação de plugins de segurança

No WordPress você encontra basicamente 4 classes de plugins de segurança:

  • auditoria;
  • hardening (endurecimento);
  • varredura;
  • recuperação.

Plugins de auditoria fornecem logs e alertas para qualquer rotina e comportamento irregular no acesso ao seu site ou arquivos.

Enquanto isso, plugins de hardening fornecem dicas e ferramentas automatizadas que bloqueiam suas instâncias do WordPress contra ataques.

A verificação de malware (varredura) é como um antivírus: ela oferece a capacidade de encontrar hacks e vulnerabilidades antes que eles causem algum dano ao seu site.

Já os plugins de reparo ou recuperação fornecem scripts que removem ou revertem os resultados de invasões. Vale a pena instalar pelo menos um plugin de cada uma dessas classes.

Abaixo indicamos quatro plugins de segurança para WordPress:

  • Sucuri Security: protege o seu site contra ataques do tipo DOS, vulnerabilidade de dia zero, ataques de força bruta e outros tipos de tentativas. Ele também guarda o log de todas as atividades, mantendo esses registros seguros na nuvem. Assim, se um invasor for capaz de ignorar os controles de segurança, seus logs de segurança estarão disponíveis no site da Sucuri;
  • iThemes Security: varre todo o site e tenta encontrar vulnerabilidades em potencial. Também evita ataques de força bruta e proíbe o acesso que venha de endereços IP já conhecidos por tentarem a força bruta. Ele força os usuários a utilizarem senhas seguras. Além disso, integra o Google reCAPTCHA para evitar spam de comentários;
  • Wordfence: bloqueia o ataque de força bruta e pode adicionar autenticação de dois fatores via SMS. Através dele, é possível bloquear o tráfego a partir de um país específico. Ele também inclui um firewall para bloquear tráfego falso, botnet e scanners, além de varrer sua hospedagem, evitando ataques de malwares. Se o plugin encontra algo estranho, envia imediatamente uma notificação para o email cadastrado. Ele também verifica posts e comentários para encontrar códigos maliciosos. Para completar, integra o Google reCAPTCHA para evitar spam de comentários no seu site.
  • BulletProof Security: esse plugin limita as tentativas de login, bloqueando bots que se beneficiam do uso de senhas fracas, por exemplo. Ele verifica o código WordPress de arquivos core, temas e plugins. Caso aconteça qualquer infecção, ele notifica imediatamente o usuário administrador. Além de aumentar a segurança, otimiza o desempenho de seu site adicionando cache à navegação.

Para beneficiar o seu site, é muito importante manter os plugins atualizados. Novas vulnerabilidades são descobertas a cada dia pelos desenvolvedores responsáveis pelos plugins e a única forma de se beneficiar dessas descobertas é realizando o update do plugin.

Conclusão

Recapitulando, aqui estão algumas regras importantes que devem ser observadas para manter seu site seguro:

  • Use senhas fortes para todas as contas de usuário, tanto para o acesso ao painel da sua hospedagem quanto para o painel de acesso ao WordPress;
  • Instale a autenticação de dois fatores no seu painel do WordPress;
  • Instale o Google Search Console e o verifique periodicamente;
  • Instale plugins de segurança;
  • Mantenha a instalação core do WordPress, seus temas e plugins sempre atualizados;
  • Use um sistema de detecção e prevenção de interferência, como o Wordfence, para ter uma camada adicional de segurança;
  • Remova todos os aplicativos da web que não estão sendo utilizados e que, portanto, não estão sendo mantidos;
  • Tenha o SSL ativado no domínio.

Pela popularidade que esse CMS possui, uma rotina de segurança acaba sendo muito importante para o WordPress.

Apesar da necessidade de cuidados especiais, esse software entrega tanta praticidade no dia a dia de quem precisa de um ambiente flexível que acaba valendo cada esforço. O uso de serviços próprios, como uma hospedagem especializada em WordPress, agilizam e facilitam esse cuidado com a segurança.

Esperamos que esse artigo tenha servido como uma introdução para iniciar a rotina de segurança que é indispensável aos usuários WordPress.

Os Benefícios do Marketing Digital para Pequenas e Médias Empresas

A Internet tem mudado radicalmente a forma com que as empresas podem encontrar e se comunicar com os seus clientes. Para fazer isso anteriormente, as empresas eram obrigadas a gastar grandes verbas para fazer propaganda através dos meios tradicionais, tais como TV, rádio, jornais, revistas, outdoors e panfletos, já que essas eram praticamente as únicas formas de alguém descobrir sobre a oferta de um produto ou serviço.

No entanto, as pessoas hoje estão expostas a muito mais opções de mídia, produtos e canais de informação, e ao mesmo tempo estão cada vez mais eficientes em ignorar propagandas invasivas ou irrelevantes. Além disso, quando querem comprar algo, os consumidores têm confiado na Internet como forma de ajuda na tomada de decisão, buscando mais informações sobre o produto ou empresa, comparando preços, consultando opiniões de outros usuários e aceitando recomendações de amigos nas redes sociais.

planejamento-marketing-digital

Isso tem feito com que qualquer propaganda só seja realmente efetiva quando gera valor real para o seu público, sendo relevante, precisa e baseada na permissão. O Marketing Digital tem algumas características que auxiliam nesta tarefa, permitindo que tenhamos alto retorno sobre o investimento de tempo e dinheiro na comunicação via Internet.

O Marketing Digital:

  • É mensurável: Conseguimos medir em detalhes os resultados de cada campanha e saber o que funciona e o que não funciona, e então continuar investindo nas coisas que dão melhor retorno;
  • É segmentável: Podemos promover ações com um foco muito maior, assim comunicamos e interagimos apenas com o público que tem interesse no que temos a oferecer;
  • Permite atração gratuita: Seja por meio de busca orgânica no Google ou de forma viral via email e redes sociais, é possível atrair potenciais clientes de forma gratuita e crescente para o seu site;
  • Permite a construção de uma audiência: Através da produção de conteúdo relevante, o Marketing Digital possibilita a construção de uma base (ex: emails cadastrados, assinantes de blog, seguidores no Twitter, etc.) que ao longo do tempo se torna um ativo de marketing fundamental para a empresa;
  • Tem ótimo custo-benefício: A combinação das quatro características acima faz com que o Marketing Digital permita que se atinja bons resultados mesmo a partir de baixos investimentos. Combinando a boa aplicação de recursos com ideias inteligentes e ajuda de boas ferramentas, o investimento na Internet tem muito mais retorno se comparado às mídias tradicionais.

Por todas essas características, diversas empresas têm experimentado excelentes resultados e, por consequência, têm investido cada vez mais no Marketing Digital. No Brasil, o investimento nesse meio cresce a mais de 30% anualmente (fonte: IAB).

Para as Pequenas e Médias Empresas (PMEs), esses benefícios do Marketing Digital são ainda mais evidentes, já que em geral elas dispõem de poucos recursos para promover os seus produtos e serviços. A Internet é o meio onde boas ideias (simples e objetivas) e uma boa execução têm muito mais valor do que o dinheiro. No entanto, muito empreendedores e responsáveis pelo marketing das empresas ainda não tiram proveito desse potencial, seja por desconhecerem as técnicas e ferramentas ou mesmo por terem receio da complexidade do meio.

Por conta disso, nosso objetivo aqui é desmitificar o Marketing Digital, mostrando como ele pode ser Simples, Acessível e Efetivo. Criaremos e compartilharemos conteúdos com conceitos, dicas e práticas para utilização eficiente da Internet como canal de comunicação e promoção da sua empresa e produto. Além disso, ao longo do tempo, também desenvolveremos ferramentas que auxiliarão em algumas das principais tarefas do Marketing Digital que discutiremos aqui no blog.

Quer acompanhar? Então basta assinar o blog para receber as novidades via email, preenchendo e enviando o seu endereço no campo abaixo.