Aprimore a segurança do seu site WordPress com estas 10 dicas essenciais

Introdução

O WordPress é a ferramenta mais popular para criação de sites. Porém, essa popularidade também o torna alvo de ataques e injeção de códigos maliciosos. Relatórios da Sucuri comprovam essa vulnerabilidade, e minha experiência com inúmeros serviços de remoção de malware reforça essa realidade.

Mas isso não significa que o WordPress seja ruim. A questão é que sua flexibilidade exige cuidados que muitos negligenciam. Muitos usuários contratam uma VPS barata, instalam o WordPress com um auto-installer e deixam o site sem manutenção.

Vamos mudar isso. Quero compartilhar algumas medidas eficazes que tenho aplicado com sucesso para meus clientes. Mesmo que você não seja técnico, você deve ler esse post pois algumas medidas não necessitam de aplicações técnicas e você pode enviar este post para quem cuida do seu site.

1 - Use a Cloudflare

Quando o assunto é segurança, a Cloudflare é uma das melhores opções. Ela combina diversas ferramentas de infraestrutura e segurança, como o Fail2Ban por exemplo, e será extremamente útil para proteger seu site.

2 - Invista em manutenção

Se for usar uma VPS, contrate alguém qualificado para fazer as configurações iniciais ou use a ferramenta que criei: SetupNewVPSWithAnsible. Também é importante contratar periodicamente um profissional para a manutenção da máquina, garantindo as atualizações de segurança do sistema operacional. Esse serviço é acessível e evitará custos maiores com remoção de malware no futuro.

3 - Evite painéis de controle como Cpanel ou Aapanel

Entendo que você está acostumado com esse tipo de ferramenta e talvez não saiba como o Linux funciona sem ela. O problema é que esses painéis são apenas interfaces gráficas para o sistema, ao serem instalados no servidor, adicionam muitas coisas desnecessárias. Se não forem atualizados, podem causar problemas de segurança. Se for indispensável usá-los, prefira uma opção remota.

Esse tipo de ferramenta pode incentivar tanto a negligência com a devida manutenção do sistema quanto a realização de alterações desnecessárias ou arriscadas. Embora ofereça uma interface clicável, ela não substitui o conhecimento necessário para lidar com o Linux de forma adequada. Se você não tem experiência com o sistema, o ideal é não mexer em configurações que você não entende, mesmo com a aparente facilidade do painel.

4 - Use criptografia na transferência de dados (SFTP e não FTP)

O File Transfer Protocol (FTP) é muito popular, especialmente com o uso do FileZilla, mas é inseguro. Ele transfere arquivos em texto simples, o que permite que um atacante intercepte a transferência. Por exemplo, no WordPress, a senha do banco de dados é armazenada no arquivo wp-config.php e isso é um puta risco nesse caso. Com SFTP (Secure File Transfer Protocol), a transferência é encriptada, protegendo as informações. Além disso, a maioria das distribuições Linux não vem com FTP instalado, enquanto o SFTP usa o protocolo SSH, e quase todas as distros vêm com o OpenSSH instalado por padrão. Portanto, SFTP só tem vantagens.

5 - Faça o bloqueio de execução de scripts dentro da pasta de uploads

Essa dica é muito importante pois na maioria dos casos de infecção por malware em sites Wordpress, os scripts maliciosos são camuflados entre os arquivos de imagens que ficam dentro da pasta wp-content/uploads eu falo mais sobre isso e te ensino como fazer esse bloqueio no post:
As imagens do seu site WordPress pode ter um malware! Aprenda como remover e prevenir.

6 - Desative o XML-RPC

Esse arquivinho do core do WordPress permite a interação remota com o site e faz a ponte para aplicativos de terceiros. Hoje em dia, a API REST do WordPress já cobre muitas funções do XML-RPC, então, se você tem certeza de que não usa, desativar ele pode dar uma camada extra de segurança.

Existem 3 formas bem simples de desativar esse arquivo:

1. Desativar no functions.php

Adicione este código no arquivo functions.php do seu tema:

add_filter('xmlrpc_enabled', '__return_false')

2. Bloquear o acesso via .htaccess Se estiver usando um servidor Apache, você pode bloquear diretamente o acesso adicionando esta regra ao arquivo .htaccess

<Files xmlrpc.php>
    Order Deny,Allow
    Deny from all
</Files>

3. E também é possível bloquear pelo Cloudflare e na minha opinião é a forma mais simples. Vá até Security → WAF → Custom rules e adiciona a regra como na imagem abaixo clicando em Deploy para finalizar:

7 - Desative o WP-Cron

O wp-cron é o carinha que cuida das tarefas agendadas no WordPress, como postagens programadas e atualizações automáticas. Ele é acionado pelas visitas, já que não usa o sistema de agendamento do SO, o que pode sobrecarregar o site com muito tráfego ou atrasar os agendamentos em casos de pouco acesso.

Se o seu WordPress está em uma VPS com SSH, recomendo trocar o wp-cron pelo cronjob real do sistema. É simples de fazer, olha só:

1. Desative o wp-cron adicionando a linha abaixo no arquivo wp-config.php:

define('DISABLE_WP_CRON', true);

2. Crie um cron job no sistema para acessar o wp-cron em intervalos regulares (exemplo, a cada 5 minutos):

*/5 * * * * curl -s https://seusite.com/wp-cron.php?doing_wp_cron > /dev/null 2>&1

8 - Plugins são perigosos!

Eu sempre passo uma regrinha básica pros meus clientes: “se você não sabe ao certo o que o plugin faz, desinstale”.

Os plugins são os maiores vilões quando se fala em invasão de sites WordPress. Ter muitos plugins aumenta as chances de problemas nas atualizações, o que leva muita gente a não atualizar. E quando esses plugins ficam sem atualização, as falhas de segurança descobertas não são corrigidas, deixando o site vulnerável.

Outro ponto importante é que muitos plugins registram dados no banco, e se o desenvolvedor não cuidou bem disso, seu site pode sofrer com problemas de performance.

Por isso, o ideal é manter o mínimo de plugins possível.

9 - Desative o endpoint /user

Como mencionado anteriormente, o WordPress conta com a REST API, que permite diversas integrações e recursos. No entanto, muita gente acaba não aproveitando essa ferramenta, o que pode deixá-la esquecida.

Um dos métodos mais comuns de ataque em sites WordPress é o de força bruta, que consiste em inúmeras tentativas de adivinhar combinações de usuário e senha para invadir o painel de controle.

Para reforçar a segurança do seu site, é uma boa ideia desativar o endpoint /wp-json/wp/v2/users. Esse recurso pode expor informações como o ID dos usuários, facilitando ataques. Caso você não precise dele, desativá-lo é uma forma simples de reduzir vulnerabilidades.

Você pode bloquear esse endpoint aplicando as configurações mencionadas anteriormente, como ajustar o arquivo .htaccess ou usar ferramentas como a Cloudflare.

10 - Faça backups

Esse ponto não pode ser ignorado. É impressionante como a negligência em relação aos backups ainda é tão comum entre donos de sites WordPress. Embora isso muitas vezes acabe gerando trabalho para desenvolvedores como eu, é triste ver pessoas perderem anos de esforço simplesmente por não terem tomado precauções básicas.

Não transfira essa responsabilidade para terceiros. Assim que o seu site estiver no ar, implemente uma solução de backup confiável. Isso pode ser feito contratando um desenvolvedor para automatizar o processo ou investindo em um bom plugin especializado. Mas lembre-se: nunca dependa apenas do backup da sua hospedagem.

Uma estratégia eficiente de backup precisa ser confiável, automática e redundante. Isso significa garantir que seus dados sejam salvos regularmente, em mais de um local, para que estejam acessíveis em caso de qualquer imprevisto.

Evite aprender essa lição da pior forma.

Conclusão

Reconheço que algumas partes deste post podem ter soado um pouco duras demais, mas minha intenção é ajudar. Trabalhando há anos com WordPress, já vi de tudo e, na maioria das vezes, os problemas surgem por negligência ou falta de atenção dos próprios usuários.

Existem muitas outras dicas que poderiam ser incluídas aqui, mas acredito que estas são as mais importantes para quem está começando a trabalhar com o WordPress. São práticas simples, mas que podem evitar grandes dores de cabeça no futuro.

O que achou das sugestões? Caso tenha dúvidas ou queira que eu explore algum dos tópicos mais a fundo, sinta-se à vontade para me enviar uma mensagem no LinkedIn ou me segue no Threads, eu estou bastante ativo por lá.