fbpx

Segurança no WordPress

Segurança WordPress - o site da Casa Branca usa WordPress
O site da casa branca está a usar WordPress.

O WordPress publica a cada 3-4 meses actualizações do core do WordPress e no caso de incidentes críticos as correcções são disponibilizadas de imediato. Dado o uso crescente da utilização do WordPress tem havido cada vez mais especialistas a declarar o WordPress como um CMS capaz para se implementar os mais altos níveis de segurança.

Na WidgiLabs a segurança do seu site é um assunto que encaramos com extrema importância e que levamos muito a sério. Ao termos um site online estamos sempre sujeitos a um elevado número de possíveis ataques e ocorrências, sejam tentativas de intrusão no servidor, exploração de falhas de segurança na programação do site ou no WordPress, ataques de spammers, entre outros. 

Para proteger os sites contra estes ataques é preciso tomar várias medidas: desde fazer as actualizações ao WordPress (core + plugins + temas), instalação de todas as atualizações de segurança que sejam lançadas (normalmente automáticas), backups da base de dados, instalação de ferramentas de controlo e monitorização, e outras. Nesta página vou falar de algumas acções que podem ser tomadas e seguir estas recomendações irá aumentar o nível de protecção do seu site. A segurança é feita por camadas e cada acção adicional irá aumentar o nível de segurança.

Começemos no entanto por analisar a origem da maioria dos problemas de segurança em sites WordPress através desta imagem:

Segurança WordPress - a maior parte dos problemas ocorre em plugins, muitas vezes desactualizados.
Fonte: WPWhiteSecurity, Abril 2019

A maioria dos problemas ocorre em plugins (muitas vezes desactualizados) seguido do WordPress core (quando desatualizado) e por fim em temas (também muitas vezes desatualizados). Por esta razão a regra de ouro é manter sempre o core+plugins+temas atualizados. A segunda regra de ouro é escolher bem os plugins e temas com que trabalha. Veja como escolher temas e plugins aqui.

Segurança WordPress: Acções Recomendadas

Por forma a proteger os sites proponho que tome as seguintes acções:

Como validar a segurança

Por forma a validar que o site segue os mais altos padrões de segurança que se pretende recomendo:

Atenção: O seu alojamento deverá implementar as melhoras práticas a nível de segurança. Senão todo o seu trabalho vai ser em vão.

Security headers de HTTP

Os Security headers de HTTP oferecem elevados níveis de proteção e é importante que os sites os implementem. Felizmente, existe um bom plugin gratuito aqui. Para configurar os Security headers de HTTP no site sugiro as seguintes configurações:

Para testar se está OK pode usar esta ferramenta gratuita para verificar, bastando colocar o endereço do seu site.

Segurança WordPress: XML-RPC sem partir o JetPack

Recomendo a utilização deste plugin.

Segurança WordPress: REST API só para utilizadores loggados

Recomendo a utilizações deste plugin.

Notas adicionais

A NSA considera o WordPress adequado para ser implementado em vários sites governamentais dos Estados Unidos, sites estes que requerem obviamente altos critérios de segurança. Inclusive o site da casa branca está a usar WordPress.
Ver também http://vip.wordpress.com/2013/07/01/wordpress-in-government-workshop/

O WordPress está a ser usado inclusive em sites da Banca e de Hospitais/Instituições de Saúde onde os dados são igualmente muito críticos, ver:

Nuno Morgadinho

É diretor geral da WidgiLabs, agência digital especializada em WordPress e e-Commerce que constrói sites há mais de 15 anos. Trabalhou com marcas nacionais e internacionais, como Forbes e Vodafone, e trabalhou no lançamento das maiores instalações de mídia WordPress em Portugal, Observador e ECO, as quais ambas ganharam prémios. Trabalha com empresas dos mais variados sectores da industria e também com startups, como a Uniplaces, que é agora um caso de estudo internacional. Tem a experiência de sites com milhões de pageviews mensais e trabalha com designers e developers de topo. A sua paixão é a Web. Gosta de expandir o que é possível criar e ajuda as empresas a reduzir a lacuna entre onde estão e para onde querem ir, de uma maneira criativa e divertida. É formador na FLAG nas Academias de Marketing Digital e docente no IADE/Universidade Europeia, onde lecciona na Pós-Gradução em Web Design e nas licenciaturas de Marketing e Design. 

Atualizado a 5 de Maio 2022

Iniciar um projecto

Iniciar um projecto