Como proteger o WordPress de invasões

Introdução

Proteger uma instalação do WordPress não é algo que deve ser ignorado. Por ser o
CMS mais utilizado ao redor do mundo, consequentemente, também é o mais
explorado por hackers. Afinal das contas, o uso crescente da ferramenta e os milhares
de plugins disponíveis, acabam facilitando essa busca por vulnerabilidades.

Neste tutorial, colocamos tópicos sobre configurações de alguns plugins, além de dicas
que podem ajudá-lo a manter o WordPress seguro. Mas lembre-se, antes de qualquer
alteração, procure realizar sempre o backup do seu WordPress para evitar surpresas.

Pré-requisitos

 Ser cliente de um plano de hospedagem de sites, revenda de hospedagem,

hospedagem WordPress, servidor VPS ou Dedicado;

 Uma instalação WordPress em sua hospedagem;

 Acesso ao cPanel e também ao administrador (wp-admin) do WordPress;

 Estar com o site publicado na Internet, já com o certificado SSL grátis instalado;

 Possuir pelo menos um backup da instalação em sua máquina.

Utilizando plugins de segurança

1º. Acesse diretamente o administrador do WordPress, pela URL do mesmo,

normalmente:
 dominio.com.br/wp-admin

* Troque dominio.com.br pelo endereço do seu site.

2º. Em Plugins, no menu lateral esquerdo, clique em “Adicionar Novo”.

3º. Procure pelo plugin de segurança que deseja instalar em sua conta. Você pode
pesquisar pela palavra-chave “Security” no campo de busca ou utilizar um dos plugins
que nós recomendamos, no caso, busque utilizar um ou dois com propósitos
 diferentes. Ex.: um anti-malware e um anti-spam (se os comentários ficam ativos em
seu site ou se você utiliza formulários de contato, etc.).

Seguem algumas sugestões:

 iThemes Security

 Login LockDown

 Wordfence Security

 All In One WP Security & Firewall

 Akismet Anti-Spam

4º. Escolha o(s) plugins que deseja instalar, clique em “Instalar Agora”. Aguarde a
instalação, após a mesma finalizar, clique em “Ativar”. Em alguns casos, uma tela será
aberta fornecendo mais informações sobre o plugin, ou solicitando mais informações
para começar o processo de assegurar seu site.

Limitar tentativas de login por força bruta (brute force)

1º. Novamente no administrador de seu WordPress, navegue novamente até Plugins,

no menu lateral esquerdo e escolha “Adicionar Novo”.

2º. No campo de busca, procure por “Loginizer” ou “Login”. Nós recomendamos à

instalação de um desses plugins para essa função (lembrando que, nesse caso,
apenas um dos plugins deve cumprir a função. Evite utilizar dois com a mesma função
para não ocorrer conflitos):

 Loginizer

 WP Limit Login Attempts

3º. Escolha um dos plugins informados que deseja instalar e clique em “Instalar
Agora”. Aguarde a instalação; após finalização da mesma, clique em “Ativar” para
começar a utilizá-lo e configurá-lo.

Configurar autenticação de dois fatores

1º. Acesse novamente à página de administrador do WordPress, e em “Plugins”, clique

em “Adicionar Novo”

2º. Busque por “Two Factor Authentication”. O plugin deve aparecer da seguinte forma:
Clique em “Instalar Agora”. Aguarde a instalação; após a finalização da mesma, clique
em “Ativar” para começar a utilizá-lo e configurá-lo.

3º. Na tela referente ao plugin, escaneie o QR Code no aplicativo de dupla

autenticação de sua preferência (recomendamos o Google Authenticator) ou copie a
chave privada e insira no aplicativo no celular, e o mesmo já deve configurar
automaticamente para que você verifique o código através de seu aparelho celular

4º. Após configurar o QR Code/Chave Privada com o aplicativo de sua preferência,

selecione “Enabled” para ativar a utilização da autenticação em dois fatores em seu
WordPress e, em seguida, salve as alterações.
 Desativar o xml-rpc e wp-cron

1º. Acesse o cPanel da conta com um dos links a seguir:

 https://www.dominio.com.br/cpanel

 http://www.dominio.com.br:2082 (sem ssl)

 https://www.dominio.com.br:2083 (com ssl)

* Troque dominio.com.br pelo endereço do seu site.

2º. Dentro de seu cPanel, procure por Gerenciador de Arquivos.

3º. Na lista de pastas que será exibida, navegue até a pasta em que se encontra a sua
instalação do WordPress.

4º. Nos arquivos principais, procure pelo arquivo xml-rpc.php e pelo wp-cron.php. Nas
permissões do arquivo, dê um duplo clique e mude para “0000”. Depois salve as
mudanças.

Pronto! O arquivo xml-rpc e o arquivo wp-cron estarão bloqueados para acesso de

todos, evitando que sejam usados como brechas na segurança de sua instalação.

Bloqueio e liberação de IPs via .htaccess

1º. Ainda dentro do seu cPanel, conforme demonstrado no tópico anterior, navegue até
“Gerenciador de Arquivos” e entre na pasta public_html
2º. Selecione com o botão direito do mouse o arquivo “.htaccess” e selecione a opção
“Edit”. (se o mesmo não aparece em seu diretório, clique no botão “Configurações”, no
canto superior direito e marque “Mostrar arquivos ocultos”). Na tela de pop-up,
selecione Edit novamente, no canto inferior.

3º. Cole um dos seguintes códigos no começo do arquivo, de acordo com sua
necessidade:

Código para restringir o acesso ao WP-Admin a um único endereço IP:

 order deny,allow
deny from all
allow from 111.111.1.1

Código para restringir o acesso ao WP-Admin à mais do que um endereço IP:

order deny,allow
deny from all
allow from 111.111.1.1
allow from 000.000.0.0

* Troque o endereço 111.111.1.1 e 000.000.0.0 pelo de seu endereço IP. Para

adicionar mais IPs permitidos, basta adicionar “allow from (insira o número do IP)” no
código.

4º. Salve as alterações no botão “Salvar Alterações”, no menu superior direito.

Boas práticas de segurança para o WordPress

1. Mantenha sempre os plugins e temas atualizados.

2. Realize backups com frequência e antes de novas instalações. Dessa forma, você
poderá retornar o WordPress ao estado de funcionamento, caso tenha algum
problema.

3. Procure desativar ou desinstalar plugins e temas que não utiliza e mantenha-se longe
de temas/plugins crackeados.

4. Utilize senhas fortes, com mistura de maiúsculas, minúsculas, números e caracteres

especiais (*@#$). Se necessário, utilize o geradores de senha, como o fornecido pela
HostMídia.

5. Se possui uma instalação com muitos usuários, solicite aos mesmos que também
utilizem senhas fortes e realizem varreduras com antivírus e antimalwares com
frequência.

6. Evite utilizar o login “admin” para registrar o administrador do WordPress, pois facilitará
o trabalho de hackers, será necessário apenas que os mesmos descubram sua senha,
já que o login é previsível. O plugin iThemes pode auxiliar nesse caso, permitindo a
utilização do e-mail do administrador ao in’ves de um nome de usuário.

7. Se você não utiliza comentários em seu site, considere desativar a utilização dos
mesmos ou, caso utilize, considere inserir um reCaptcha.

8. Você pode utilizar plugins para auxiliá-lo a otimizar seu site, como, por exemplo:

9. O P3 (Plugin Performance Profiler) analisa diversas páginas do WordPress para

verificar quantos recursos estão sendo consumidos, além disso, cria um relatório em
gráficos de requisições feitas ao banco de dados.

10. O uso do LiteSpeed Cache, possui diversas funções de otimização para sua
instalação e para outros plugins, como o WooCommerce, bbPress e Yoast SEO, etc.
Conclusão

Assim como tudo o que envolve a segurança de produtos na Internet, sejam eles CMS,
lojas virtuais ou até mesmo sites mais simples e desenvolvidos por conta própria,
independente das ações, jamais será possível garantir que esteja 100% de segurança.
Porém, ao reduzir as chances do invasor se beneficiar de erros básicos, já é um bom
começo.