Sou um apaixonado pelo WordPress, uso ele desde 2006 e não pretendo abandoná-lo. Mas a segurança no WordPress não é lá muito boa. Ele tem problemas brutais e que não parecem que serão corrigidos tão cedo.
Na minha experiências, os principais motivos para um site em WordPress ser invadido são:
- WordPress e Plugins desatualizados
- Senhas fracas (ou usar sempre a mesma para todos os sites)
- SQL Injection em uma hospedagem ruim
Uma de suas principais forças é também a principal fraqueza: ele tem o código aberto, o que torna descobrir falhas algo muito mais fácil. Só que com isso corrigi-las também é muito rápido! Se você for uma pessoa que mantém ele atualizado, junto com seus plugins.
Para resolver dois dos problemas de segurança (manter sempre atualizado, evitar sql injection e bruteforce) existe um plugin muito simples e gratuito: Wordfence Security.
Segurança no WordPress em 5 minutos: Wordfence Security
Para instalar e começar a proteger seu site, é só buscar por ele e ativá-lo após instalar. É simples mesmo!
Existem alguns customizações que você pode brincar depois, mas apenas por ter o Wordfence Security instalado e com seu email configurado para receber notificações, sua vida já está tranquila.
Sempre que receber um email do Wordfence Security falando que tem algo de errado, você entra no seu site e corrige o problema que ele apontou. Pronto. Mais fácil que isso só se pagar alguém para cuidar disso para você.
Sempre que algum plugin tiver uma atualização, ele irá notificar por email. Além disso, por padrão ele bloqueia as tentativas de invasão mais comuns ao seu site (bruteforce e sql injection), monitorando também modificações de arquivos.
Pronto, resolvemos a questão de segurança inicial. Ninguém vai conseguir, de forma fácil, invadir seu site.
Agora vem a segunda parte:
Autenticação em 2 Fatores (2fa) no WordPress
A autenticação em dois fatores é uma das melhores formas para evitar que um site seja invadido em caso de vazamento de senhas.
Basicamente a autenticação em dois fatores coloca uma segunda camada de segurança no seu site: você digita sua senha e em seguida digita um código que foi gerado naquele momento em outro dispositivo (eu uso o celular). O funcionamento é igual ao token do seu banco.
Aproveitando, dê uma olhada no Have I Been Pwned. Você só precisa digitar seu email e o site te mostra quais serviços tiveram dados vazados vinculados ao seu email (o meu foram 16 Oo).
Claro que para ativar isso no WordPress o caminho mais rápido e simples é com um plugin: Two-Factor.
Depois de buscar, instalar e ativar o plugin, você só precisa ir até sua tela de usuário e ativá-lo, marcando a caixinha “Time Based One-Time Password (Google Authenticator)”.
Eu uso o Authy para gerenciar minhas autenticações em dois fatores, ele é gratuito e sincroniza com a nuvem. Posso usá-lo no meu celular e computadores ao mesmo tempo.
O Google Authenticator é muito bom e grátis também, mas tem o problema de só funcionar em um celular. Se ele for roubado, quebrar ou algo do tipo, você perde o acesso aos seus tokens.
Existem também a opção de receber o token por email. Essa opção é simples e prática, especialmente para quem não quer criar uma nova conta em um novo aplicativo (mas você deveria realmente usar o Authy em tudo que puder, ok?).
Um aviso importante: Use sempre uma senha diferente em cada site que você tem cadastro. Dessa forma, se um site vazar as informações, não vão conseguir invadir suas outras contas usando aquela senha vazada.
Próximos passos para segurança
Pronto, em menos de 10 minutos você conseguiu aumentar consideravelmente a segurança do seu blog sem gastar nem um centavo.
Existem várias outras coisas que você pode fazer, como usar o Cloudflare para evitar ataques DDOS ou DNS Hijacking. Ou o Amazon Cloudfront para distribuir seu site pelo mundo todo sem risco de ficar offline.
Não quis focar nesses outros dois pois oferecem diversas outras utilidades, e um nível de complexidade bem maior, e que valem um novo post.
Você faz alguma outra coisa muito rápida e fácil para aumentar a segurança do seu site? Conta aí!