Costumo comparar o cuidado com a segurança do WordPress com os cuidados que temos com um carro que compramos. Assim que saímos da concessionária nos falam: você precisa fazer revisão a cada 6 meses. E lá vamos nós de 6 em 6 meses voltar na autorizada para checar se o funcionamento do carro está ok. Com nosso site devemos ter o mesmo cuidado.
Muitos donos de site as vezes se deparam com comportamentos estranhos do próprio site e mensagens de aviso do Google (ou da hospedagem). Esse último acho que é um bom motivo para cuidar da segurança do seu site, o Google não gosta de sites que podem trazer riscos ao visitante. Então, manter seu site seguro aumenta sua chance de receber visitas e manter o bom relacionamento com o buscador.
Segurança do WordPress: Por que precisamos nos proteger?
O WordPress é incrível, somos apaixonados por ele. Porém, o que é um grande benefício também é uma ameaça: ele é usado mundialmente. Em todo lugar existem as pessoas boas e as más. Muita gente investe seu tempo em tentar invadir um site em WordPress para:
- Roubar informações;
- Ganhar links apontando para o próprio site;
- Utilizar o servidor para envio de mensagens;
- Ou simplesmente para invadir e mostrar que consegue invadir o que quer.
Como o sistema é Open Source e tem seu código aberto, qualquer um pode encontrar brechas e invadir o site alheio.
Quais são os principais ameaças?
Para responder essa pergunta listo algumas possibilidades:
- fracos acessos (usuário e senha),
- servidores muito compartilhados,
- temas, plugins e o próprio WordPress desatualizados.
O acesso é fácil de resolver: você precisa conferir se existe algum usuário com nome “admin” (remova caso exista) e evite senhas muito simples (usar sempre letras maiúsculas, números e caracteres especiais).
Outro problema bem comum é com a empresa de hospedagem. Um site para funcionar precisa de um lar, esse é chamado aqui de hospedagem. Essas empresas compram computadores, os conectam com a internet e hospedam diversos domínios. Antigamente eu via diversos sites sendo invadidos porque um outro domínio tinha um site infectado e esse abria uma porta para invasão. A Hostgator (hospedagem que eu gosto) tem um Plano M de hospedagem que você pode hospedar muitos sites em um único pacote, esse é um dos favoritos dos maus intencionados.
Mas o principal motivo de longe é a falta de atualização.
De tempos em tempos você precisa checar as atualizações (como faz com seu veículo) e manter plugins, temas e o sistema em dia.
Antes de começar você precisa se previnir: faça um backup do site inteiro. Para isso, quando criamos um site instalamos o Duplicator (plugin de backup do WordPress), ele te permite fazer um backup dos arquivos e banco de dados. Faça um package no plugin e faça o download para seu computador. Feito isso, acesse as atualizações do seu site (será www.seudomínio.com.br/wp-admin/update-core.php) e atualize tudo tudo.
Tela de atualização do WordPress
Uma ação simples que precisa fazer é desinstalar todos os temas que não são utilizados, faça o mesmo com os plugins que seu site não precisa. A instalação inicial do WordPress acompanha 3 templates, muitas vezes seu desenvolvedor não os remove e abre-se uma porta para invasão (já que geralmente não atualizamos o que não estamos usando).
Esses dias estava navegando e encontrei notícia que dizia que o Brasil é o país com mais vítimas de phishing em 2017, vale a pena olhar!
Conclusão da segurança do wordpress: As ações são simples, sua tranquilidade vale muito e todos nós queremos estar de bem com o Google. Vale colocar na sua agenda um alerta para atualizar seu site a cada 2 ou 3 meses, o hábito é rápido e não requer muito trabalho; e os benefícios valem a pena!
