João Assis
João Assis, Security Specialist na Umbler

Dicas de segurança para WordPress: cinco passos importantes

A cada dia que passa, ter um ambiente seguro na internet se torna mais e mais importante. Já não se trata de um diferencial, mas de uma necessidade: afinal, quem quer ter sua marca manchada por ataques, vazamentos de informação, pichação e afins?

As notícias são cada vez mais constantes: sites, e-mails e contas em redes sociais são constantemente hackeadas. Não precisamos ir muito longe. Há algumas semanas,tivemos o caso da HBO sendo atacada e tendo seus produtos (episódios de Game Of Thrones) vazados na internet.

E, quem não lembra do Wanna Cry, o vírus que atingiu em escala mundial diversas empresas, realizando um sequestro de dados? Este, por sinal foi matéria principal de grandes jornais, de diversas emissoras.

Hoje, com a disseminação de informações na internet, se tornou muito mais fácil realizar ataques a sites. Inclusive, existem diversos cursos de hacking e ferramentas gratuitas que ajudam a realizar essas ataques, ou até mesmo as executam para o usuário – sem que ele precise ter muito conhecimento técnico.

Hoje em dia até o nosso gato está sendo hackeado 😛

Vamos combinar: a preocupação é grande (e não é à toa)!

Quais são os ataques mais comuns?

O OWASP (Open Web Application Security Project), possui um TOP 10 dos maiores vetores de ataques atuais. Por incrível que pareça, os motivos são os mesmos já há alguns anos e os principais deles são ataques direcionados a páginas web.

É inevitável não pensarmos em WordPress dentro desse contexto, já que o CMS assume a ponta da tabela de plataformas de site – com cerca de 59.4% do número total de plataformas de gestão de conteúdo e 28.5% de toda a internet, segundo o W3Techs.

Mas, antes de entrarmos no universo WP, é interessante conhecermos um pouquinho mais sobre o mundo da Segurança da Informação, que vem ganhando bastante força.

Rapidamente, a Segurança da Informação tem o propósito de garantir três pilares nas organizações: confidencialidade, integridade e disponibilidade, o famoso CID. Para garantir esses tópicos, possui diversas técnicas e controles que são aplicados nas empresas.

Nesta linha, podemos considerar no contexto WordPress algumas ações simples, mas que mitigam boa parte dos principais vetores de ataques – ajudam a melhorar muito a segurança de nossos site e nossos clientes.

Então, chega de história e vamos às dicas! 🙂

#1 MFA (Multi-Factor Authentication)

O MFA (Multi-Factor Authentication) está presente em nosso dia a dia em diversas plataformas, como serviços e-mail, Facebook, aplicativos de bancos, entre outros. Já está, inclusive,se tornando natural para o usuário final.

A ideia do MFA é trabalhar com a verificação de dois pontos:

  1. O que você sabe?Normalmente, uma senha.
  2. O que você tem?Um dispositivo confiável, que apenas você tenha acesso (geralmente, o seu celular), com um aplicativo que fornecerá um código de autenticação.
Observação: Em algumas tecnologias novas, também é solicitado “algo seu” como um terceiro fator de autenticação (geralmente, biometria).

Partindo desta ideia, você autentica com um usuário e senha (1) e recebe mais um segundo código (2), seja ele um número, uma palavra ou até mesmo um QR Code.

Para trabalhar com o MFA, sugerimos alguns plugins gratuitos e bem simples de implementar:

Com esse tipo de tecnologia, temos a segurança da confidencialidade no acesso ao nosso site.

#2 CAPTCHA

Quem nunca errou uma senha em algum site e teve que comprovar que não era um robô por meio de um teste?

O CAPTCHA é exatamente isso: uma validação para evitar ataques do tipo Brute Force. Faz com que você comprove que não é um robô, ao tentar diversos usuários e senhas diferentes até ter sucesso no acesso.

Para CAPTCHA, temos alguns plugins legais e gratuitos também:

#3 Proteção dos nomes de usuários

Ainda na linha de proteção contra ataques voltados a acessos às contas de usuários, também precisamos nos preocupar com o tratamento dos usuários na hora do login. Existem diversas técnicas para se obter os nomes dos usuários de um site, desde um simples chute, até a tentativa de interceptação de uma sessão (falaremos detalhadamente sobre isso mais tarde).

Uma simples mensagem de erro inocente, pode nos trazer informações que um usuário existe e, a partir dele, podemos focar na descoberta de sua senha.

Veja no exemplo abaixo:


Neste caso, temos um simples erro de falha no login. Porém, ele informa que este usuário existe na base. Se o usuário não existisse, ele retornaria o erro abaixo:

Neste caso, vemos que o usuário realmente não existe.

Este é um exemplo muito simples. Existem diversas técnicas avançadas para tentar extrair usuários – o que nos traz a noção de que também precisamos desta proteção.

A solução é uma configuração de incríveis TRÊS LINHAS DE CÓDIGO no seu arquivo “htaccess”, que fazem com que os usuários sejam protegidos:

RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ http://exemplo-dominio.com/? [L,R=301]

Desta forma, você consegue proteger seu site de diversos métodos de extração de listas de usuários.

#4 Implementação de comunicação criptografada (HTTPS)

Hoje, a utilização de SSL na navegação é essencial, não só para proteção, mas também para reputação do seu site.

Aqui você pode ver mais detalhes e entender como implementar esta configuração na Umbler 🙂

Vale lembrar! Na Umbler, você conta com SSL grátis via Let’s Encrypt. Tudo direto no seu painel! Saiba mais 🙂

#5 Utilização de SFTP

Ainda na linha da utilização de criptografia, o serviço de FTP, também possui sua versão com SSL, se trata do SFTP.

Na mesma lógica do HTTPS, o SFTP funciona em uma comunicação criptografada, onde os arquivos não conseguem ser interceptados, tornando assim as publicações no site mais seguras. As configurações são semelhantes, você só precisa contratar um serviço de SFTP, ao invés de FTP. Aqui você consegue ver mais informações para fazer a publicação em seu site.

Além dessas dicas, é muito importante reforçar a importância de rever suas rotinas de backup e as permissões em seus diretórios de arquivos. Tenha uma senha forte e é claro, mantenha sempre atualizada a versão do seu WordPress e de seus plugins.

[Bonus track] Dicas imbatíveis para senhas seguras

Separamos algumas boas dicas para você preservar suas senhas. São três passos simples, mas podem fazer toda a diferença quando a questão é segurança de informações:

Pense em algo que você gosta

Podem ser palavras, frases, músicas, filmes, personagens, memes e etc. Só precisa ser algo relevante, que gere empatia para você.

      • Exemplo: “Umblerito” e “Internet”

Una essas expressões

Junte as palavras que você pensou para começar a montar sua senha.

      • Exemplo: “Umbleritointernet”

Agora substitua algumas letras, por números que sejam semelhantes às letras. Neste caso podemos usar o número 1 para substituir a letra “I” e o número 3 para substituir a letra “E”:

      • Exemplo: “Umbl3r1to1nt3rn3t”

Use caracteres especiais em pontos-chave de sua senha como no ínicio, fim ou até mesmo na intersecção das duas palavras, como por exemplo:

      • Exemplos: “#Umbl3r1to1nt3rn3t”, “Umbl3r1to#1nt3rn3t” ou “Umbl3r1to1nt3rn3t#”

Se ficar muito grande, encurte

Se sua senha ficar muito grande, você pode encurtá-la, mas lembre-se: uma senha segura possui, no mínimo, sete (7) caracteres, contendo letras maiúsculas e minúsculas, números e caracteres especiais 🙂

E aí, sua senha já está segura? Teste ela aqui!


Aplicando essas dicas básicas, você protege informações sensíveis e não expõe seu site a riscos desnecessários. Vale a pena investir, não é mesmo? 😉

João Assis
João Assis, Security Specialist na Umbler