fbpx

Segurança no WordPress

Segurança WordPress - o site da Casa Branca usa WordPress
O site da casa branca está a usar WordPress.

O WordPress publica a cada 3-4 meses actualizações do core do WordPress e no caso de incidentes críticos as correcções são disponibilizadas de imediato. Dado o uso crescente da utilização do WordPress tem havido cada vez mais especialistas a declarar o WordPress como um CMS capaz para se implementar os mais altos níveis de segurança.

Na WidgiLabs a segurança do seu site é um assunto que encaramos com extrema importância e que levamos muito a sério. Ao termos um site online estamos sempre sujeitos a um elevado número de possíveis ataques e ocorrências, sejam tentativas de intrusão no servidor, exploração de falhas de segurança na programação do site ou no WordPress, ataques de spammers, entre outros. 

Para proteger os sites contra estes ataques é preciso tomar várias medidas: desde fazer as actualizações ao WordPress (core + plugins + temas), instalação de todas as atualizações de segurança que sejam lançadas (normalmente automáticas), backups da base de dados, instalação de ferramentas de controlo e monitorização, e outras. Nesta página vou falar de algumas acções que podem ser tomadas e seguir estas recomendações irá aumentar o nível de protecção do seu site. A segurança é feita por camadas e cada acção adicional irá aumentar o nível de segurança.

Começemos no entanto por analisar a origem da maioria dos problemas de segurança em sites WordPress através desta imagem:

Segurança WordPress - a maior parte dos problemas ocorre em plugins, muitas vezes desactualizados.
Fonte: WPWhiteSecurity, Abril 2019

A maioria dos problemas ocorre em plugins (muitas vezes desactualizados) seguido do WordPress core (quando desatualizado) e por fim em temas (também muitas vezes desatualizados). Por esta razão a regra de ouro é manter sempre o core+plugins+temas atualizados. A segunda regra de ouro é escolher bem os plugins e temas com que trabalha. Veja como escolher temas e plugins aqui.

Segurança WordPress: Proteger antes de chegar ao servidor

Sempre que possível deve optar por proteger o seu site fora do WordPress! O que significa isto? Significa que não vai precisar instalar sequer nenhum plugin de segurança? Talvez não, mas pelo menos poderá poupar muitos ciclos de CPU ao seu servidor/alojamento.

Isto porque usando um serviço como a Cloudflare (ou em alternativa a Web Firewall da Sucuri) consegue-se bloquear os pedidos maliciosos mesmo antes de estes chegarem ao nosso servidor e serem processados pelo PHP e pelo WordPress. Desta forma o nosso servidor ficará mais leve e disponível para processar os pedidos que interessam (por parte de visitantes e clientes).

Segurança WordPress: Acções Recomendadas

Por forma a proteger os sites propomos então que tome as seguintes acções:

Como validar a segurança

Por forma a validar que o site segue os mais altos padrões de segurança que se pretende recomendo:

Atenção: O seu alojamento deverá implementar as melhoras práticas a nível de segurança. Senão todo o seu trabalho vai ser em vão.

Security headers de HTTP

Os Security headers de HTTP oferecem elevados níveis de proteção e é importante que os sites os implementem. Felizmente, existe um bom plugin gratuito aqui. Para configurar os Security headers de HTTP no site sugiro as seguintes configurações:

Para testar se está OK pode usar esta ferramenta gratuita para verificar, bastando colocar o endereço do seu site.

Segurança WordPress: XML-RPC sem partir o JetPack

Recomendo a utilização deste plugin.

Segurança WordPress: REST API só para utilizadores loggados

Recomendo a utilizações deste plugin.

Notas adicionais

A NSA considera o WordPress adequado para ser implementado em vários sites governamentais dos Estados Unidos, sites estes que requerem obviamente altos critérios de segurança. Inclusive o site da casa branca está a usar WordPress.
Ver também “WordPress in Goverment workshop” by WP VIP.

O WordPress está a ser usado inclusive em sites da Banca e de Hospitais/Instituições de Saúde onde os dados são igualmente muito críticos, ver:

Nuno Morgadinho

É diretor geral da WidgiLabs, agência digital especializada em WordPress e e-Commerce que constrói sites há mais de 15 anos. Trabalhou com marcas nacionais e internacionais, como Forbes e Vodafone, e trabalhou no lançamento das maiores instalações de mídia WordPress em Portugal, Observador e ECO, as quais ambas ganharam prémios. Trabalha com empresas dos mais variados sectores da industria e também com startups, como a Uniplaces, que é agora um caso de estudo internacional. Tem a experiência de sites com milhões de pageviews mensais e trabalha com designers e developers de topo. A sua paixão é a Web. Gosta de expandir o que é possível criar e ajuda as empresas a reduzir a lacuna entre onde estão e para onde querem ir, de uma maneira criativa e divertida. É formador na FLAG nas Academias de Marketing Digital e docente no IADE/Universidade Europeia, na Pós-Gradução em Web Design e nas licenciaturas de Marketing e Design. 

Atualizado a 9 de Novembro de 2022

Iniciar um projecto

Iniciar um projecto