Devido a sua popularidade, o WordPress é um dos softwares mais visados para tentativas de ataques e invasões por hackers. As ações são muitas realizadas por programas automatizados (robôs) com o objetivo de descobrir a senha de acesso a área administrativa da ferramenta via “tentativa e erro”. A ação dos “robôs” costuma deixar o site sobrecarregado, provocando lentidão de acessos. Além disso, há o risco de segurança: se a senha do administrador for fraca, o robô pode conseguir quebrá-la e dar acesso administrativo ao invasor, resultando em vazamento ou perda de dados.

Recomendações

Para evitar problemas desse tipo, fazemos as seguintes recomendações:

  • Sempre use uma senha forte para acesso à administração do site. A senha deve conter no mínimo 12 caracteres, misturando números, letras maiúsculas/minúsculas e símbolos.
  • Faça uso de plugins de segurança do WordPress, como:
    • WPS Hide Login: substitui a URL da tela de login para um novo padrão que fica escondido dos robôs que tentam invadir o WordPress.
    • WP 2FA: implanta a autenticação de dois fatores, criando uma camada extra de proteção para o login administrativo.

    • WP fail2ban: permite criar filtros para banir endereços IPs de usuários (ou programas) que violem regras de segurança, como: excesso de falhas de login, spam de comentários e pingbacks.
    • reCaptcha: valida os dados do formulário, garantindo que seja preenchido por uma pessoa e não por um programa.
  • Configure o servidor web para limitar o acesso aos scripts das pastas wp-login e wp-admin aos IPs usados pelo administrador do site (ou IPs da VPN).
  • Remova ou renomeie o arquivo readme.html criado por padrão na instalação do WordPress contendo links e informações que permitem identificar a versão instalada do WordPress.
  • Use um painel como o Plesk ou o CloudPanel que facilita a instalação do WordPress e a instalação regular de correções de segurança do sistema operacional Linux.
  • Mantenha os componentes do WordPress, como temas e plugins, nas versões mais recentes liberadas pela comunidade.
  • Escolha um provedor de cloud bem estabelecido e que ofereça suporte à segurança da informação, como a CentralServer.

AVISO LEGAL: Os procedimentos descritos neste documento devem ser executados de acordo com o contexto de cada sistema, de forma a evitar impactos negativos à segurança, disponibilidade, integridade e privacidade de dados. A CentralServer se reserva o direito de modificar a qualquer tempo e sem aviso prévio as informações aqui apresentadas a fim de refletir o lançamento de novos serviços, atualizações físicas e operacionais, e evolução do estado-da-arte da tecnologia.