7 dicas para um WordPress mais seguro

• Tweet

A segurança dos nossos sites é fundamental, no entanto é frequentemente deixada para segundo plano. Passamos o tempo todo a produzir conteúdo, ajustar o design, explorar novos métodos para ganhar dinheiro e criar mais projectos e só damos a devida importância à segurança quando as coisas correm mal.

Digo isto em nome de muitos webmasters e também por experiência própria, mas estou a tentar melhorar os meus hábitos e vou dar-te algumas dicas que também deves utilizar.

Os 7 conselhos que vou dar aplicam-se ao WordPress, um dos CMS mais populares do momento, mas também podem ser adaptados a muitos outros sistemas.

Actualiza o software

O WordPress é actualizado frequentemente, assim como os seus plugins. Muitas vezes estas actualizações são relacionadas com questões de segurança. Se ainda usas versões antigas do software, podes ter portas abertas para os hackers entrarem no teu site.

Esconde a versão do software

Apesar de actualizares sempre o software, não há necessidade nenhuma de mostrar ao mundo inteiro qual é a versão que estás a usar. Remove qualquer exibição pública da versão do WordPress e dos plugins, é menos uma pista para os potenciais hackers. O plugin Secure WordPress trata deste assunto.

Usa passwords seguras

Se a tua password é uma sequência de caracteres previsível, uma palavra do dicionário, ou quem sabe, o nome do teu clube de futebol, qualquer hacker amador terá facilidade em descobri-la. Para teres uma password à prova de bala, usa mais de 8 caracteres, alternando entre letras minúsculas, letras maiúsculas e números (e até caracteres especiais, se for permitido). Esta regra é válida para a tua password de FTP, da base de dados e do painel de administração. Todas devem ser complexas e únicas.

Muda o nome de utilizador

O teu nome de utilizador no WordPress é admin, certo? Se acertei, já só me falta adivinhar a password para controlar o teu blog. Uma maneira simples de dificultar a vida aos hackers é mudar o nome de utilizador, de admin para outra coisa qualquer. O plugin WP-Optimize oferece essa função (entre outras).

Altera a base de dados

Por defeito, as tabelas da base de dados do WordPress usam o prefixo “wp-”. Em vez disso, podes optar por um prefixo diferente e único para cada site.

Protege a pasta wp-admin

Já tens um nome de utilizador e uma password virtualmente impossíveis de descobrir, mas ainda podes aplicar uma protecção extra ao painel de administração. Com um ficheiro .htaccess ou através do painel de controlo do teu servidor, podes proteger o acesso à pasta wp-admin com um nome de utilizador e password extra. O plugin Ask Apache faz isso mesmo.

Esconde o login

Toda a gente sabe qual é o url para fazer login e para aceder ao painel de administração do WordPress. Se és mesmo paranóico, podes alterar esses endereços no teu blog de forma a que sejas o único a saber onde estão. Para esse efeito temos o plugin Stealth Login.

Ninguém pode dizer que tem um sistema completamente à prova de hackers, mas se tiveres estes cuidados, ficas protegido dos ataques mais simples (que são a grande maioria). Não esperes que a casa seja roubada para trancar a porta!