Contexto

O WordPress é a plataforma de seu site. Ela é a plataforma mais usada no mundo, com uma grande quantidade de sites funcionando com ela. Além disso, ela é código aberto, o que significa que você não precisa pagar nada para ter acesso a ela e existe uma grande comunidade empenhada em desenvolver novas funcionalidades que podem ser adicionadas no formato de plugins.

Mas isso tem um lado negativo: essa plataforma é bastante visada por pessoas mal intencionadas.É relativamente comum que sites sejam invadidos (muitas vezes por sistemas automatizados) e com isso, sejam instalados códigos maliciosos (que chamaremos de malwares). Esses códigos podem fazer várias coisas como roubar dados dos usuários, usar seu servidor para atividades irregulares (como ataques DDOS), exibir anúncios intrusivos para os visitantes de seu site ou até mesmo permitir a instalação de outros códigos piores.

Entretanto, você não precisa se preocupar. Para poder invadir um site, é necessário usar alguma brecha de segurança e é completamente possível e simples se proteger.

Frequentemente são lançadas atualizações tanto para o WordPress quanto para plugins. Essas atualizações corrigem falhas no código que poderiam ser exploradas por alguém mal intencionado. É comum, no mercado, ver sites que não são atualizados provavelmente por descaso dos administradores. Esses sites são facilmente comprometidos, o que gera uma má fama para a plataforma. Também existem plugins que ajudam a monitorar a segurança do site. Por fim, com algumas boas práticas de segurança por parte dos administradores do site, as chances de seu site ser comprometido são baixas.

Medidas de segurança já adotadas

Sempre que criamos um site, automaticamente implementamos as seguintes medidas de segurança:

• shield Exigência interna de uso de senhas fortes: 18 caracteres com símbolos, números e letras maiúsculas e minúsculas, sempre aleatório;
• shield Criação de uma senha única e exclusiva para cada banco de dados, usuário de FTP e usuário do WordPress;
• shield Ativação das atualizações automáticas do WordPress;
• shield Ativação das atualizações automáticas de plugins;
• shield Atualização periódica gratuita do tema;
• shield Instalação de plugins de controle de alterações e registro de IP dos usuários;
• shield Instalação do Wordfence Security, plugin de segurança para o site;
• shield Remoção de temas e plugins não utilizados;
• shield Criação de usuários no WordPress dedicados para cada pessoa que terá acesso ao site, com funções e restrições específicas;
• shield Sempre entramos em contato com o responsável principal do site antes de fornecer novas credenciais de acesso.

Além disso, organizamos uma série de recomendações que os administradores do site devem seguir:

password Segurança da senha

• Nunca utilize a mesma senha em serviços diferentes (por exemplo, usar a senha do seu Facebook para acessar o WordPress);
• Sempre dê preferências a senhas fortes: 18 caracteres com símbolos, números e letras maiúsculas e minúsculas, sempre aleatório;
• Use serviços como o Have I Been Pwned? que te avisa caso haja algum vazamento de dados que comprometa a segurança de sua conta (e caso haja um vazamento, troque suas senhas)
• Considere o uso de gerenciadores de senha, como o 1Password
• Também remova usuários que não precisam ter acesso ao site

engineering Manutenção do site

• Tenha cuidado com a instalação de plugins. Além de poder fazer com que algumas coisas no site parem de funcionar, isso pode criar novas brechas de segurança. Se você precisa instalar um plugin específico, venha conversar com a gente!
• Nunca altere o tema do site. Seu site usa um tema próprio, que é um framework completo e que permite muitas personalizações. Não há necessidade de instalar novos temas.
• Cuidado com a instalação de scripts e códigos no site. Se você precisa adicionar códigos customizados, recomendamos que você use as opções disponíveis em Administração > Opções do Tema > Código personalizado;
• Verifique se esses códigos realmente são necessários e sempre remova os códigos que não estiver usando.

cloud_upload FTP

FTP é um protocolo de transmissão de dados usado para enviar e baixar arquivos de sua hospedagem. Tendo acesso FTP, um usuário consegue fazer várias coisas na sua hospedagem, como ter acesso ao banco de dados (e roubar dados de seus clientes) ou instalar malwares.

Algumas dicas de segurança:

• Não compartilhe a mesma senha de FTP para usuários diferentes. Considere criar um usuário dedicado para cada usuário e ative restrições para limitar abusos;
• Remova usuários que não são utilizados.