O WordPress é seguro mesmo?

Conclusão no inicio ?

Nenhum sistema é 100% seguro, mas a comunidade é muito ativa e todas as falhas encontradas são resolvidas de forma bem rápida. Eis a grande vantagem do OpenSource.

Nos meus 7 anos de experiencia posso te afirmar, sim é seguro.

Então por que o seu site está sendo hackeado ?

Embora o WordPress seja uma plataforma segura, a segurança final de um site depende de como ele é usado e mantido. Os principais problemas dos sites hackeados são:

• Plugins e temas desatualizados ou inseguros
• Senhas fracas
• Configurações de servidor inseguras
• Não atualizar o WordPress

Que tal fazer um check-up ?

Existem alguns plugins que podem te ajudar nessa etapa e deixo aqui minha sugestões:

Wordfence: É um dos melhores plugins de segurança para o WordPress. Ele oferece uma variedade de recursos de segurança, como um firewall, verificação de saúde, controles de acesso e notificações. Esses recursos ajudam a evitar que vírus e outros malwares que podem comprometer seu site. A verificação de segurança do Wordfence analisa filas de milhares de arquivos para detectar vulnerabilidades e testa seu site para detecção de malware. Ferramenta sensacional!!

Sucuri SiteCheck scanner: Verifica o site em busca de malware conhecido, vírus, status de lista proibida, erros de site, software desatualizado e código malicioso.

WPScan: É um scanner de segurança WordPress de código aberto. Você pode usá-lo para verificar o seu site WordPress em busca de vulnerabilidades conhecidas no núcleo do WordPress, bem como plug-ins e temas populares do WordPress.

Checklist de segurança WordPress

Atualizações e Manutenção

• Manter o core do WordPress atualizado
• Suporte para a versão mais recente do PHP
• Atualizar temas e plugins
• Remover temas e plugins não utilizados
• Substituir plugins desatualizados sempre que possível

Hospedagem e Servidor

• Adotar um serviço de hospedagem seguro
• Criar lista permitida de IP’s para acessos SSH e SFTP seguros
• Instalar certificado SSL para HTTPS
• Acessar o servidor apenas por SFTP ou SSH
• Configurar as permissões das pastas para 755 e arquivos para 644

Usuários e Acesso

• Fortalecer usuários e senhas
• Gerenciar usuários para acesso controlado ao WordPress
• Estabelecer limite de tentativas de login
• Utilizar a autenticação de dois fatores para o login
• Usar um e-mail para fazer login ao invés de um nome de usuário
• Alterar a senha periodicamente

Banco de dados

• Alterar o prefixo das tabelas no banco de dados
• Configurar backups semanais do banco de dados
• Usar senhas fortes no usuário do banco de dados

Segurança do Site

• Utilizar o captchas em nos formulários
• Fazer backup
• Alterar as chaves de segurança no wp-config
• Bloquear várias tentativas de login (Wordfence)
• Ativar autenticação de 2 etapas (Google Authenticator)
• Alterar o endereço da página de login (Wordfence)
• Remover links para a página de login
• Tornar a mensagem de erro de login genérica
• Desabilitar a API REST do WP caso não esteja utilizando
• Proteger a pasta wp-admin com senha
• Instalar algum plugin para verificar se algum arquivo foi editado (Wordfence)
• Agendar escaneamento semanal no site à procura de vírus, malwares e falhas de segurança
• Apenas instalar temas e plugins de fontes confiáveis
• Remover a versão do WordPress no tema
• Certificar-se que o arquivo wp-config.php não possa ser acessado por outras pessoas
• Desabilitar o editor pelo wp-config.php
• Prevenir a pesquisa de diretórios via .htaccess
• Remover ou bloquear via .htaccess os arquivos license.txt, wp-config-sample.php e readme.html

Faltou algum item ? Adicione nos comentários e me ajude a manter o wordpress cada vez mais seguro!