fbpx

Checklist de Segurança WordPress

Em um relatório recente da Patchstack, uma das empresas líderes no segmento de segurança de softwares abertos (como o WordPress), foi identificado que em 2021 foi registrado um acréscimo de 150% nas vulnerabilidades da ferramenta.

Um problema com malware ou vírus no WordPress pode atrapalhar completamente a experiência dos visitantes do seu site bem como campanhas de anúncios que estejam ativas no seu negócio.

Com este objetivo preparei este checklist para que todos possam se prevenir de problemas como estes.

WP-Config

 

Banco de Dados

  • Altere o prefixo das tabelas
  • Configure uma rotina de backup (diário para banco de dados e semanal para arquivos)
  • Mantenha os arquivos de backup fora do site (UpdraftPlus)
  • Use senhas fortes no banco de dados

 

Login e Autenticação

  • Bloquear várias tentativas de login sem sucesso (SiteGround Security)
  • Ative a autenticação em duas etapas (Microsoft Authenticator)
  • Utilize senhas fortes (sugeridas pelo próprio WordPress ou com um gerador de senhas)
  • Desabilite a API REST caso não esteja usando (SiteGround Security)

 

Painel Administrativo

  • Atualize o WordPress para sua versão mais recente
  • Não utilize usuários com nome “admin”. Se existir, apague e crie um novo
  • Use uma conta de Editor para gerenciar o conteúdo (posts e páginas)
  • Force as requisições para HTTPS (verificar na hospedagem)
  • Faça um scan do site para buscar arquivos maliciosos (VirusDie)

 

Temas

  • Atualize o tema para a versão mais ativa
  • Apague os temas que não está usando
  • Utilize apenas temas confiáveis (com boas avaliações)
  • Remova a versão do WordPress do tema

 

Plugins

  • Atualize todos os plugins para a versão mais recente
  • Apague (apagar mesmo!) os plugins inativos
  • Utilize apenas plugins confiáveis
  • Se um plugin estiver defasado substitua por outro plugin mais novo

 

Hospedagem

  • Utilize sempre uma hospedagem de confiança (Recomendação: Nuvem Hospedagem)
  • Se for acessar o servidor use SFTP e SSH
  • Configure as permissões corretamente: 755 (pastas) e 644 (arquivos)
  • Remova o arquivo readme.html
  • Evite usar plugins de pastas como WP Directory
  • Desabilite a edição pelo editor no wp-config.php com define(‘DISALLOW_FILE_EDIT’,true);