Primeiramente, o que é segurança?
O princípio da segurança não é apenas possuir sistemas perfeitamente seguros, mas sim implementar um processo contínuo de melhorias, pois sistemas 100% seguros são bem improváveis de serem encontrados. Um servidor seguro é aquele que protege a privacidade, a integridade e a disponibilidade dos recursos que estão sob o controle de seu administrador.
Vale ressaltar que a segurança do seu site é sobre redução de riscos, não eliminação de riscos. Como sempre haverá riscos, segurança continuará sendo um processo contínuo, exigindo uma avaliação frequente. Então trata-se de empregar todos os controles apropriados disponíveis a você, que lhe permitem melhorar sua postura geral, reduzindo as chances de se tornar um alvo e subsequentemente, ser hackeado.
Como este modulo irá proteger o seu site?
- Mantendo os plugins e temas actualizados!
Os plugins e os temas podem ficar obsoletos, e com isto incluir bugs e vulnerabilidades que representam sérios riscos à segurança do seu site. Por isto o ideal é verificar regularmente se os plugins e temas estão actualizados. - Mantendo o core do CMS actualizado!
O motivo mais importante para manter o seu sítio web actualizado é segurança. O seu site contém um gestor de conteúdos sobre o conceito CMS e nunca está concluído e o seu melhoramento é contínuo. Cada actualização importante contém novas características e melhorias de desempenho. - Faça backup de seu site regularmente.
Não importa o quão seguro o seu site é, mesmo com muito esforço dos nossos clientes para fortalecer a segurança, sempre há margem para melhorias, já que mesmo os sites mais seguros sofrem ataques diariamente. No final das contas, manter um backup longe de seu servidor original talvez seja o melhor antídoto, não importa o que aconteça. - Alterando o URL de login.
Aqui vai uma dica muito fácil de ser feita, mas que passa despercebida. Quando os hackers conhecem a URL da sua página de login, eles podem tentar entrar na força bruta. Força bruta é uma actividade que envolve repetidas tentativas de utilizar várias combinações de senha para invadir qualquer sistema. Um ataque de força bruta é o método mais simples para obter acesso, tentando várias combinações de nomes de usuário e senhas repetidas vezes até conseguir. - Fuja de login e senhas comuns!
Se você utiliza admin como seu nome de utilizador, você está praticamente convidando pessoas mal-intencionadas para invadir o seu painel de controle com facilidade. É fortemente recomendado que altere o nome de utilizador admin para um outro nome ou crie uma nova conta de administrador com um nome diferente, apagando a conta anterior.Outra dica importante, senhas complexas executam um papel fundamental quando falamos de segurança na internet, e é muito mais difícil violar uma senha bem elaborada que consiste em números, maiúsculas e minúsculas e caracteres especiais. - Examinar seu site contra malware e falhas de segurança.
A maioria das invasões ocorrem devido a brechas na segurança do site. Por isso as mais comuns são vulnerabilidades nos temas e nos plugins. - Utilizar o .htaccess para aumentar a segurança
- Permitir acesso à área do administrador do site somente através de um IP específico
- Desabilitar a execução do PHP em pastas específicas.
Os hackers têm o costume de fazer upload de scripts backdoor nas pastas de uploads, e como padrão não deveria conter nenhum ficheiro PHP, pois normalmente é utilizada apenas para upload de ficheiros de Multimédia (imagens ou vídeos). Sendo assim, você pode desabilitar a execução de PHP na pasta da maneira acima, podendo aplicar isto para outras pastas que não executam arquivos PHP. - Proteger arquivo wp-config.php
O arquivo wp-config.php é o arquivo mais importante do WordPress por conter as principais configurações e os dados de acesso do banco de dados. Devido a isto é um arquivo muito visado por pessoas mal-intencionadas. - Proteger para que seu ficheiro .htaccess não obtenham acesso:
Podemos definir uma protecção extra a estes ficheiros para que nenhum ficheiro que começar com .htaccess obtenham acesso. - Prevenir pastas de include:
Includes são pastas que são muito utilizadas para adicionar arquivos maliciosos durante os ataques.
- Não se esqueça do seu amigo Certificado!
SSL é um protocolo de segurança projectado para fornecer segurança nas comunicações entre visitantes e servidores da web. - Plugins que vão ajudar na segurança do seu site.
Vamos citar alguns no decorrer desta documentação de apoio, outros poderão ser interessantes e dependendo da sua aplicação poderemos escolher os melhores para ser utilizado.
Ferramentas e processos são sempre bem vindos, mas de nada adiantam se a vulnerabilidade não foi encontrada. A maioria dos plugins de segurança para seu site agem directamente nessas vulnerabilidades impedindo invasões, notificando e localizando falhas, mas o site só estará seguro com bons hábitos. Ou seja, prevenir é melhor (e mais barato) que remediar.
Este modulo vem com os plugins de segurança que acreditamos ser os melhores e mais confiáveis.