Take my traffic quiz and get customized advice that will walk you throught how you can get more traffic and rank higher on Google in less than 30 days.
Start QuizO WordPress publica a cada 3-4 meses actualizações do core do WordPress e no caso de incidentes críticos as correcções são disponibilizadas de imediato. Dado o uso crescente da utilização do WordPress tem havido cada vez mais especialistas a declarar o WordPress como um CMS capaz para se implementar os mais altos níveis de segurança.
Na WidgiLabs a segurança do seu site é um assunto que encaramos com extrema importância e que levamos muito a sério. Ao termos um site online estamos sempre sujeitos a um elevado número de possíveis ataques e ocorrências, sejam tentativas de intrusão no servidor, exploração de falhas de segurança na programação do site ou no WordPress, ataques de spammers, entre outros.
Para proteger os sites contra estes ataques é preciso tomar várias medidas: desde fazer as actualizações ao WordPress (core + plugins + temas), instalação de todas as atualizações de segurança que sejam lançadas (normalmente automáticas), backups da base de dados, instalação de ferramentas de controlo e monitorização, e outras. Nesta página vou falar de algumas acções que podem ser tomadas e seguir estas recomendações irá aumentar o nível de protecção do seu site. A segurança é feita por camadas e cada acção adicional irá aumentar o nível de segurança.
Começemos no entanto por analisar a origem da maioria dos problemas de segurança em sites WordPress através desta imagem:
A maioria dos problemas ocorre em plugins (muitas vezes desactualizados) seguido do WordPress core (quando desatualizado) e por fim em temas (também muitas vezes desatualizados). Por esta razão a regra de ouro é manter sempre o core+plugins+temas atualizados. A segunda regra de ouro é escolher bem os plugins e temas com que trabalha. Veja como escolher temas e plugins aqui.
Sempre que possível deve optar por proteger o seu site fora do WordPress! O que significa isto? Significa que não vai precisar instalar sequer nenhum plugin de segurança? Talvez não, mas pelo menos poderá poupar muitos ciclos de CPU ao seu servidor/alojamento.
Isto porque usando um serviço como a Cloudflare (ou em alternativa a Web Firewall da Sucuri) consegue-se bloquear os pedidos maliciosos mesmo antes de estes chegarem ao nosso servidor e serem processados pelo PHP e pelo WordPress. Desta forma o nosso servidor ficará mais leve e disponível para processar os pedidos que interessam (por parte de visitantes e clientes).
Por forma a proteger os sites propomos então que tome as seguintes acções:
Por forma a validar que o site segue os mais altos padrões de segurança que se pretende recomendo:
Atenção: O seu alojamento deverá implementar as melhoras práticas a nível de segurança. Senão todo o seu trabalho vai ser em vão.
Os Security headers de HTTP oferecem elevados níveis de proteção e é importante que os sites os implementem. Felizmente, existe um bom plugin gratuito aqui. Para configurar os Security headers de HTTP no site sugiro as seguintes configurações:
Para testar se está OK pode usar esta ferramenta gratuita para verificar, bastando colocar o endereço do seu site.
Recomendo a utilização deste plugin.
Recomendo a utilizações deste plugin.
A NSA considera o WordPress adequado para ser implementado em vários sites governamentais dos Estados Unidos, sites estes que requerem obviamente altos critérios de segurança. Inclusive o site da casa branca está a usar WordPress.
Ver também “WordPress in Goverment workshop” by WP VIP.
O WordPress está a ser usado inclusive em sites da Banca e de Hospitais/Instituições de Saúde onde os dados são igualmente muito críticos, ver:
É diretor geral da WidgiLabs, agência digital especializada em WordPress e e-Commerce que constrói sites há mais de 15 anos. Trabalhou com marcas nacionais e internacionais, como Forbes e Vodafone, e trabalhou no lançamento das maiores instalações de mídia WordPress em Portugal, Observador e ECO, as quais ambas ganharam prémios. Trabalha com empresas dos mais variados sectores da industria e também com startups, como a Uniplaces, que é agora um caso de estudo internacional. Tem a experiência de sites com milhões de pageviews mensais e trabalha com designers e developers de topo. A sua paixão é a Web. Gosta de expandir o que é possível criar e ajuda as empresas a reduzir a lacuna entre onde estão e para onde querem ir, de uma maneira criativa e divertida. É formador na FLAG nas Academias de Marketing Digital e docente no IADE/Universidade Europeia, na Pós-Gradução em Web Design e nas licenciaturas de Marketing e Design.
Atualizado a 9 de Novembro de 2022