1. Backups Automáticos
O primeiro ponto que quero abordar em relação à segurança de um site WordPress são os backups automáticos — acredite, isso salva vidas.
Um sistema de backups automáticos para WordPress, quando bem configurado, torna sua estrutura online muito mais sustentável a longo prazo. E isso está diretamente ligado à segurança: afinal, se houver algum problema de perda de dados ou se o seu site for invadido ou infectado por algum tipo de vírus ou malware, basta restaurar o backup com a versão limpa do seu site, sem nenhum problema.
Agora, como você pode fazer isso?
Bom, existem várias formas de configurar backups automáticos para o seu site WordPress. Você pode fazer isso diretamente na linha de código, mas, para nossa sorte, o WordPress tem plugins para tudo quanto é coisa — e, é claro, nessa enorme biblioteca de plugins também existem aqueles que configuram backups automáticos de forma muito mais simples!
Um dos plugins que eu mais gosto e que uso em praticamente todas as minhas instalações WordPress é o UpdraftPlus.
Ele é um dos plugins da empresa TeamUpdraft, que também é dona do All In One WP Security — falaremos sobre ele logo mais. O plugin UpdraftPlus possui uma versão paga, mas também uma versão gratuita. A versão gratuita já oferece todos os recursos mais importantes do plugin e, sinceramente, você não precisa da versão paga, apesar de ela ter ótimos recursos.
Com o UpdraftPlus você consegue fazer backups de forma manual com apenas 1 clique:
Você consegue fazer restaurações de backups, excluir backups salvos e, caso queira, pode baixar para o seu computador os arquivos desses backups, selecionando exatamente quais deseja baixar (banco de dados, plugins, temas etc.) além de também permitir que você “trave” Backups para que eles não sejam excluídos automaticamente:
Além disso, você também pode configurar backups automáticos para o seu WordPress de forma rápida e visual. É possível definir o período em que o plugin fará esses backups — diário, semanal, quinzenal, mensal etc. — e também configurar quantos backups ficarão salvos no seu servidor:
E um recurso muito legal desse plugin é a possibilidade de configurar para que todos os backups realizados sejam salvos automaticamente em um serviço de armazenamento em nuvem, como o Google Drive:
Só esse detalhe torna seu site muito mais Seguro e Sustentável a Longo prazo.
2. Sempre use a CloudFlare
A Cloudflare é um serviço gratuito de proteção e aceleração de sites e sistemas na internet. Só pelo fato de ser gratuita, você já não tem motivos para não usá-la.
Mas, além de gratuita, ela é uma das ferramentas mais poderosas e simples que você pode adicionar ao seu site WordPress.
A Cloudflare funciona como uma camada intermediária entre o visitante e o servidor do seu site, filtrando ameaças, bloqueando ataques, acelerando o carregamento das páginas e garantindo que tudo continue funcionando mesmo em momentos de pico.
Funciona assim: um usuário digita seu domínio no navegador e solicita acesso ao seu site. Essa solicitação é enviada para a Cloudflare, que então pede ao seu servidor uma cópia atualizada do site. Em seguida, essa cópia é entregue ao usuário final — simples assim.
Perceba que, em nenhum momento, o visitante acessa diretamente o seu servidor; pelo contrário, tudo é intermediado pela Cloudflare.
Isso faz com que bots, hackers e robôs da internet não possam acessar diretamente o seu servidor, mas apenas uma cópia do site, reduzindo muito os riscos de ataques conhecidos, como DDoS, ataques de força bruta e outros.
Além disso, a Cloudflare ajuda na performance do seu site armazenando uma cópia dele em cache. Funciona assim: o usuário solicita acesso ao seu site, a Cloudflare recebe essa solicitação e imediatamente envia de volta uma cópia do site que já está guardada em cache. Dessa forma, a Cloudflare não precisa solicitar ao servidor uma nova cópia do site toda vez que alguém o acessa. Isso reduz o trabalho do servidor e também diminui o “percurso” que o usuário precisa percorrer até receber os arquivos do seu site.
Leia mais sobre como melhorar a performance e velocidade do seu site WordPress nesse artigo
Como colocar o seu site na CloudFlare?
Para colocar o seu site na Cloudflare é bem simples. Primeiro, acesse o Site da CloudFlare “cloudflare.com” e crie sua Conta.
Após isso você entrará em uma tele semelhante a essa:
Você irá colocar o seu Domínio puro (seudominio.com), sem http ou https. Caso você já tenha conhecimento sobre DNS selecione uma das Opções abaixa, isso irá te dar mais controle, caso não, mantenha a primeira opção. não mexa em mais nada a não ser que saiba oque está fazendo e aperte no botão de Continuar no fim da pagina.
Após isso você será redirecionado para a pagina de escolha de Planos:
Escolha o Plano Gratuito e continue para as Configurações finais.
Por fim, você precisa substituir seus servidores DNS pelos servidores da Cloudflare. basta você ir na sua Hospedagem ou servidor de nomes e trocar pelos nameservers da Cloudflare. Não vou explicar todas as formas porque para cada hospedagem existe uma maneira de fazer isso.
Mas caso você esteja utilizando a Hostinger, no momento em que escrevo esse artigo você precisa seguir esse caminho: Meus domínios – seudominio.com – DNS / Nameservers.
Após fazer essa troca de nameservers seu site pode ficar fora do ar, e você deve esperar até 42 horas para que os novos nameservers sejam propagados e o seu site volte a funcionar passando pela Cloudflare.
3. Use Plugins de Segurança
Uma boa prática no desenvolvimento de sites em WordPress é usar o mínimo possível de plugins. Porém, alguns plugins são essenciais e precisam estar presentes nos seus sites.
Ter um plugin de segurança é imprescindível, e entre todas as opções, o All in One WP Security é, sem dúvidas, o melhor do mercado. Digo isso pelos meus anos de experiência — sempre utilizei esse plugin em todas as minhas instalações WordPress.
Além dele, um plugin de segurança muito conhecido é o Wordfence. Eu já utilizei ambos e, segundo meus testes, o AIOS é superior ao Wordfence.
O All in One WP Security (AIOS) possui versão paga e também versão gratuita. A gratuita já oferece todos os recursos que você precisa para deixar seu site muito bem protegido.
A versão paga tem alguns recursos interessantes, mas não são indispensáveis — a menos que você seja uma agência e queira fornecer aos seus clientes um serviço completo de segurança e monitoramento.
Não vou me aprofundar muito nas funcionalidades do plugin porque são muitas, mas alguns dos recursos mais importantes que ele oferece são: firewall, proteção contra cópia e iframe, conexão com reCAPTCHA (tanto do Google quanto da Cloudflare), autenticação em dois fatores, prevenção contra spam, scanner e muito mais.
4. WordPress Atualizado
Parece ser uma dica simples, mas faz toda a diferença.
Manter seu WordPress e tudo o que há nele atualizado (plugins, temas, arquivos etc.) impede que hackers aproveitem vulnerabilidades de versões antigas do WordPress, plugins ou temas para invadir o seu site.
Manter tudo atualizado é especialmente importante para sites maiores, como e-commerces e sistemas de imobiliária. Dessa forma, garantimos que tudo continue funcionando corretamente.
Caso você seja um prestador de serviço de desenvolvimento, você pode cobrar um valor fixo mensal para o seu Cliente para você manter o site dele atualizado e funcional.
5. Configurações Essenciais
E, para finalizar, aqui vão algumas configurações que você precisa fazer em todos os seus projetos antes de começar, de fato, a desenvolver em WordPress.
Sempre crie nomes de usuário e senhas difíceis de adivinhar. Não deixe seu nome de usuário igual ao seu apelido no WordPress.
Se possível, mantenha o mínimo de usuários dentro do WordPress e ative a aprovação manual de novos usuários (você consegue fazer isso no AIOS).
Altere a URL de login do WordPress. Exemplo: mude a URL de /wp-admin/ para /jorginhomaromba123/. Escolha um nome difícil, mas que você consiga lembrar — ou anote em algum lugar.
Essas são configurações básicas que você pode fazer sem problemas. Algumas delas podem ser feitas até mesmo sem nenhum plugin instalado.
Além disso, mantenha uma política de cache eficiente — tanto na sua instalação WordPress quanto na Cloudflare e no servidor. E mantenha o mínimo possível de Plugins.
Extra – Não Instale Plugins de qualquer lugar
Acho que todos sabemos que não existe isso de “plugin pirata”, mas isso não significa que podemos instalar plugins de qualquer lugar no nosso site. Pelo contrário, eu recomendo que, se você tem condições de comprar o plugin diretamente da empresa oficial, compre! Mas, caso não possa ou não queira, existem iniciativas confiáveis e seguras onde você pode adquirir esses plugins.
Uma dessas iniciativas é o UltraPack, uma plataforma brasileira que fornece aos desenvolvedores e web designers uma imensa biblioteca de plugins premium por um valor justo. Você investe um valor anual e pode baixar quantos plugins quiser — e são milhares!
Alguns dos plugins mais conhecidos disponíveis por lá: Elementor Pro, UpdraftPlus Pro, extensões premium para WooCommerce, toda a coletânea de plugins da Crocoblock, WP Rocket, FlyingPress, CartFlows, plugins da Bit Integrations e muito, muito mais!
Além disso, eles também fornecem centenas de temas e templates. A biblioteca é constantemente atualizada, com novos plugins sendo adicionados regularmente. E os que já estão lá são frequentemente atualizados.
Eu recomendo que você compre os plugins diretamente dos sites oficiais e, se possível, opte pelos planos vitalícios, para ter acesso ao suporte das empresas. Porém, caso isso não seja prioridade para você, o UltraPack vai te atender muito bem!
Entre no Site do UltraPack por aqui!