Uma das maiores preocupações de quem possui um negócio online é a questão da segurança. Muitos dados pessoais são inseridos, e uma falha na segurança poderia expô-los e colocar empresa e clientes em risco.

Então, vem a dúvida: é seguro utilizar o WordPress?

Nesse artigo, falaremos sobre estratégias, técnicas e medidas de segurança, que ampliam o poder de blindagem do seu site.

E, se precisar de ajuda, conte com a Farnesi Digital! Utilizamos diversas ferramentas do WordPress para aumentar a segurança do seu site.


O que faz do WordPress uma opção segura?

Atualmente, o WordPress é a plataforma de Gerenciamento de Sucesso do Cliente (CSM) mais usada no mundo todo! São mais de 3,5 milhões de sites cadastrados nela.

Para garantir a segurança de todos os usuários da plataforma, a equipe de segurança do WordPress possui cerca de 50 especialistas em segurança da web, incluindo pesquisadores de desenvolvedores líderes, cujos papéis são identificar, testar e corrigir erros e problemas de segurança.

Os problemas menos complexos são informados no próprio painel do WordPress, pela equipe de segurança. Já os mais graves, são avisados através da página de notícias do WordPress.org.

Diante de todas essas informações, é possível afirmar que, sim, o WordPress é uma plataforma segura e confiável, e possui uma equipe de segurança dedicada a protegê-la, diariamente.

Em relação à outras plataformas, o WordPress é mais seguro?

A WordPress Project, equipe de segurança do WordPress, dedica-se inteiramente às questões de segurança relacionadas à plataforma, trabalhando junto aos desenvolvedores, para impedir que o sistema seja invadido ao sofrer ataques.

Ou seja, utilizar o WordPress significa que há profissionais especializados cuidando de toda a segurança do site.


Então, o que diferencia o WordPress, em termos de segurança?
 

• Atualizações e melhoria constantes na plataforma
• Equipe especializada em segurança da web
• Está entre os principais integrantes do “Open Web Application Security Project” (OWASP), entidade internacional, sem fins lucrativos, que atua na cooperação para o fortalecimento da segurança de softwares mundialmente
• Criação de ferramentas de códigos de segurança (criptografia)
• Possui a confiança de empresas em todo o mundo

 

E, como o WordPress protege os dados da minha empresa e clientes?

Há diversos recursos disponíveis para aumentar a segurança do seu site, como funções específicas para manipulação de banco de dados, arquivos, sistemas, etc.

Como citado no tópico anterior, além de todos esses recursos de segurança, o WordPress ainda é integrante do OWASP, projeto de criação de metodologias e ferramentas de segurança na web, reconhecido internacionalmente.


WordPress Nonces

O WordPress Nonces é uma das ferramentas de segurança mais utilizada pela plataforma, sendo um recurso parecido com as numerações de Token que usamos ao acessar sistemas bancários. Esse é um tipo de criptografia utilizada para prevenir ataques e proteger contra quaisquer outros tipos de usos maliciosos. É um mecanismo aplicado para evitar ataques CSRF e proteger informações e dados.


LGPD, como a Lei Geral de Proteção de Dados é utilizada no WordPress?
 

A Lei Geral de Proteção de Dados (LGPD), é uma norma estabelecida em todos os países da União Européia, que protege informações de identificação pessoal (IIP).

Ainda que essa lei não vigore no Brasil, caso seu e-commerce precise encaminhar produtos para algum cliente da União Européia, isso só será possível se seu site estiver dentro dessas regras, do contrário, estará infringindo a lei. Desde a criação da LGPD, em 2018, todas as versões do WordPress seguem à essas regras.

De quais vulnerabilidades o WordPress protege meu site?

O WordPress trabalha para proteger, ao máximo, o seu site. Confira, a seguir, quais são os ataque mais comuns na web, e de qual forma o WordPress pode proteger sua página.


Acesso ilegal aos dados de usuários
 

Muitos invasores atacam utilizando dados coletados no site. Para proteger esses dados, é fundamental usar sempre a versão mais atualizada do WordPress, uma vez que softwares desatualizados são mais propensos a receberem ataques de hackers.


Acesso ilegal de dados institucionais 

Os ataques aos dados institucionais também são bem comuns na web. Dentre eles, o Backdoors, que são arquivos que se escondem em algum lugar. Para evitá-lo, é indicado escanear o site com ferramentas que detectem a presença de backdoors, como, por exemplo, o SiteCheck.

Existe, também, o brute-force, que ataca os sistemas por meio de tentativas de login com senhas fracas, através de scripts automatizados. Justamente por esse motivo é tão importante criar senhas de, pelo menos, 8 caracteres, incluindo letras maiúsculas e minúsculas e caracteres especiais.

O Supply Chain Attack (Ataque de Cadeia de Suprimentos), apesar de não ser tão comum, também pode ocorrer, sendo mais difícil de prevenir. Ele age por meio de um provedor externo, que possui acesso ao seu sistema e dados pessoais. A dica aqui é sempre checar o Wordfence, pois, quando acontece algum ataque nos plugins, o WordPress avisa que ele foi removido do repositório WordPress.org.


Redirecionamentos para sites maliciosos
 

Para que esse tipo de ataque aconteça, o invasor insere um código no site para que o visitante seja redirecionado para outro. O mais comum é o Pharma Hacks, um tipo de ataque que utiliza os dados do SEO para adiconar conteúdo como spam.

Geralmente, esses redirecionamentos são utilizados para gerar impressões de publicidade. Porém, alguns podem ser mais maliciosos e deixar o visitante mais vulnerável.


DoS (Denial of Service) e Ddos (Distributed Denial of Service) 

Esses tipos de ataques são mais aprimorados e podem causar vários prejuízos. Eles geram uma sobrecarga em um computador ou serviço, fazendo, assim, com que fique indisponível para os usuários.

Para prevenir este tipo de ataque, o ideal é contratar uma agência especializada em desenvolvimento de sites que fará todas as configurações necessárias para manter a segurança, tanto para sua empresa, quanto para os visitantes do site.

 

Verificação de vulnerabilidade a ataques

Uma das formas de verificar se seu site está suscetível a ataques, é fazendo revisão e checagem, para identificar se ele está ou não vulnerável a possíveis ataques.

Neste post aqui, falamos sobre a importância da sua empresa possuir um contrato de manutenção do site WordPress. Neste caso, o contrato de manutenção garante que essa verificação seja realizada constantemente.

A equipe da Farnesi Digital faz constantes atualizações nos sites de seus clientes, para garantir a segurança e o bom funcionamento de cada um deles. Veja, a seguir, alguns dos itens de checagem que a Farnesi Digital executa:


Checagem de plugins vulneráveis
 

Utilizando sites como o Hacker Target, para checar a vulnerabilidade de plugins, e o Sucuri, para verificar URLs infectadas.

Também utilizamos o site WP SCANS, que possui uma base de dados de vulnerabilidades para verificar se o plugin ou tema está infectado.

O WP Neuron faz a checagem do WordPress, inclusive nos plugins já instalados.


Atualização do WordPress

Para evitar e prevenir possíveis ataques, é essencial que o WordPress esteja sempre atualizado, em sua versão mais recente, já que, quando desatualizado, pode facilitar a invasão de hackers. Devemos lembrar que o WordPress é seguro, sim, porém, é necessário que o usuário realize as atualizações necessárias.


Temas ou plugins desatualizados
 

Da mesma forma que é fundamental atualizar o WordPress, assim também é com os temas e plugins. Ao utilizar, sempre, suas versões atualizadas, evita-se problemas de segurança e também permite-se a correção de erros (bugs) no sistema, tornando a experiência do usuário muito melhor.


Instalação de plugins e temas “duvidosos” 

Dentre as coisas mais prejudiciais ao se utilizar o WordPress, está a instalação de plugins de origem desconhecida/duvidosa, que é feita por muitos usuários. Acontece que, dependendo da extensão dos arquivos baixados, eles podem vir carregados de vírus, e, consequentemente, criar uma vulnerabilidade maior em seu site. Portanto, é muito importante que a instalação seja feita por profissionais especializados, que saberão, por meio de medidas de segurança, quais plugins e temas são confiáveis e seguros ou não.

 

Como deixar o seu WordPress mais seguro?

Como vimos até aqui, podemos concluir que o WordPress é uma plataforma segura, certo?! Mas, é possível deixar seu site ainda mais seguro!

A Farnesi Digital é especialista em WordPress, há dez anos, e pode te ajudar com a segurança do seu site, utilizando todos os recursos disponíveis na plataforma, além de:

• Proteção ao diretório wp-admin: criamos senhas fortes para o acesso à área administrativa do seu site
• Criptografia de dados: utilizamos certificados de segurança, como o SSL, por exemplo, dificultando a invasão de hackers e/ou falsificação de dados
• Backups regulares e proteção ao banco de dados: periodicamente, fazemos os backups para um local seguro
• Segurança na hospedagem: utilizamos hospedagem dedicada e contamos com uma rede de dados própria, para conter ataques em massa
• Aplicação de filtro Firewall: utilizamos um filtro WAF (Web Application Firewall), para proteger os sites de ataques como XSS e DDos
• Proteção do arquivo wp-config.php: com a proteção desse tipo de arquivo, é mais difícil a invasão ao seu site
• Desativamos a listagem de diretórios com .htaccess: sempre incluímos arquivos index.html nos diretórios, assim, que estiver navegando pelo site não consegue ter acesso à listagem completa
• Instalação de plugins de segurança, alerta de vulnerabilidade, antivírus e anti-malwares


Então, posso confiar na segurança do WordPress?

Sim! Na maioria das vezes, os ataques ocorrem devido ao fato do usuário não atualizar as versões do WordPress, seus plugins e temas. Se você fizer as atualizações necessárias, e utilizar os mecanismos de segurança citados no artigo, pode ficar tranquilo, pois seu site estará seguro!


Conte com a Farnesi Digital para criar o seu site WordPress!

A Farnesi Digital nasceu há 10 anos, com o objetivo de trazer ao mercado de Campinas, as melhores soluções em Marketing Digital.

A nossa equipe gosta de fazer diferente e, por pensar assim, busca através das necessidades do cliente, a melhor maneira de atendê-lo. Não se trata apenas de atingir as expectativas como também trazer o mundo digital para a sua realidade, além de proporcionar os resultados solicitados e atingir os seus objetivos.

Atendemos toda a Região Metropolitana de Campinas (RMC), além das grandes capitais brasileiras. Produzindo sites com todas as estratégias de Marketing Digital, a Agência Digital em Campinas está preparada para cumprir com as exigências técnicas recomendadas do Google, além de toda identidade visual da marca.

Dentre os principais serviços da Farnesi Digital, destacamos o desenvolvimento de sites (Somos feras em WordPress), Campanhas de Marketing Digital (e-mail marketing, anúncios no Google AdWords, administração de campanhas no Facebook e Instagram), Otimização e performance nos resultados de buscas (SEO), lojas virtuais (WooCommerce), consultoria digital, e todo o tema de registro de domínio, migração de sites, remoção de vírus e hospedagem de sites e contas de e-mail.

Esperamos que esse artigo tenha esclarecido suas dúvidas sobre a segurança do WordPress! Mas, se ainda estiver em dúvida, entre em contato conosco!

Siga a Farnesi Digital no YouTube, Facebook e Instagram!

Até mais!