Como proteger um site WordPress?

Sumário

O WordPress é um dos sistemas de gestão de conteúdos (ou CMS para Content Management System) mais utilizados para criar um website. No entanto, a sua exposição (mais de 40% de todos os websites), bem como o seu ecossistema de extensões e temas gratuitos ou pagos estão na origem de falhas. Estas últimas podem ser exploradas, com consequências tais como o roubo de dados, defaces (alteração do aspeto do website) ou mesmo a simples paragem do seu funcionamento.

Este tutorial demonstra-lhe uma série de ações que podem ser rapidamente implementadas para proteger o seu site WordPress.

Requisitos

•     Ter um alojamento web.
•     Ter instalado
•     Ter acesso à interface de administração (através do identificador e da palavra-passe fornecidos aquando da instalação).

Instruções
 

Quando devem ser lançadas as atualizações WordPress?

Em primeiro lugar, é essencial utilizar sempre as últimas versões do seu CMS, do seu tema e da sua ou das suas extensões. De facto, as atualizações permitem corrigir eventuais falhas de segurança. Para proceder a uma atualização, pode seguir as informações fornecidas na versão portuguesa do site do CMS e consultar as bases de dados que identificam as falhas de segurança encontradas em ferramentas como o Exploit Database.

A regra a seguir é simples: assim que aparecer uma atualização no seu WordPress, efetue-a. Sabia que... Pode igualmente ativar a atualização automática dos seus temas e extensões!

Ponto importante: verifique se beneficia de espaço de armazenamento suficiente no seu servidor antes de efetuar as atualizações (é necessário pelo menos 1 GB). Efetivamente, se o seu armazenamento estiver a ficar cheio e, mesmo assim, efetuar atualizações, o seu CMS poderá não as finalizar na íntegra, o que poderá causar a indisponibilidade do seu site.

Embora as atualizações dos seus temas e extensões estejam automatizadas, deve no entanto prestar atenção à data da sua última atualização. De facto, para além dos riscos de incompatibilidade com uma nova versão do WordPress, um componente que não foi atualizado há vários meses pode deixar de ser suportado e, por conseguinte, apresentar falhas de segurança.

Como configurar a atualização automática do seu tema WordPress?

A automatização da atualização de um tema é uma ação simples a efetuar. Na coluna da esquerda do painel de controlo WordPress, clique em «Apresentação» e, a seguir, em «Temas». Selecione o seu tema e clique em «Ativar as atualizações automáticas».

Como ativar a atualização automática das suas extensões WordPress?

Na coluna da esquerda do painel de controlo WordPress, pode configurar a atualização automática das suas extensões a partir da secção «Extensões»:

Porquê atualizar a versão PHP do seu alojamento?

Também é importante utilizar a última versão de PHP disponível (desde que os seus temas e extensões instaladas a suportem). Em cada atualização são fornecidos numerosos corretivos de desempenho e de segurança. Pode verificar as versões ainda suportadas de PHP aqui: https://www.php.net/supported-versions.php

Encontrará abaixo a configuração recomendada para o seu alojamento OVHcloud:

• Ambiente de execução: Stable64
• Versão de PHP: 8.1
• Motor: PHP
• Modo: Produção
• Firewall da aplicação: Desativado

Se o WordPress foi instalado e configurado numa versão de PHP que já não está atualizada, certifique-se de que as extensões que utiliza são compatíveis com a nova versão da linguagem que pretende configurar. Caso contrário, poderá ser necessário alterar a extensão.

Como atualizar o PHP no seu alojamento OVHcloud?

Pode realizar esta ação diretamente a partir da sua Área de Cliente OVHcloud. Veja abaixo uma captura de ecrã do último passo para esta ação, durante o qual poderá selecionar a versão PHP que deseja utilizar:

Ponto importante: o seu WordPress, os seus temas e as suas extensões devem estar atualizados antes de efetuar esta modificação.

Para mais informações, consulte o nosso manual: https://docs.ovh.com/pt/hosting/modificar_o_ambiente_de_execucao_do_meu_alojamento_web/
 

Existem extensões para proteger o WordPress?

As extensões WordPress apresentadas neste tutorial fazem parte das mais populares. São regularmente atualizadas e já deram provas suficientes. No entanto, tenha em conta que existem outras extensões, igualmente interessantes e de alto desempenho, não mencionadas nos exemplos citados.
 

Como configurar o seu WordPress inteiramente em HTTPS?

O «Really Simple SSL» deteta automaticamente as suas definições e configura o seu website para que funcione com o protocolo HTTPS (protocolo privilegiado pelos motores de busca).

Ponto importante: é necessário instalar e ativar previamente um certificado SSL no alojamento. Não possui um certificado SSL?  Consulte o nosso manual para saber como proceder:https://docs.ovh.com/pt/hosting/os-certificados-ssl-nos-alojamentos-web/

A partir do painel de controlo WordPress, clique em «Extensões» e, a seguir, em «Adicionar». Escreva «Really Simple SSL» na barra de pesquisa e clique em «Instalar agora». Aguarde alguns segundos e clique em «Ativar».

Só lhe resta ativar o seu certificado SSL! Para isso, nada mais simples. Basta clicar no botão «Ativar o SSL» que surge:

O certificado SSL está agora ativo por predefinição no seu website. Só precisa de efetuar algumas configurações, como ativar o reencaminhamento 301 através de .htaccess:

De seguida, instale os cabeçalhos de segurança recomendados para a ligação HTTPS, alterando o .htaccess através do FileZilla.

Tenha em conta que também é possível fazê-lo a partir do FTP Explorer: https://docs.ovh.com/pt/hosting/aceder-espaco-de-armazenamento-ftp-alojamento-web/#1-ligacao-atraves-de-ftp-explorer

Uma vez a ligação efetuada, clique com o botão direito do rato no ficheiro .htaccess e clique em «Mostrar/Editar»:

Depois de abrir o ficheiro num editor de texto, basta copiar e colar as seguintes linhas de texto no final:

# Security Headers
Header always set Strict-Transport-Security: "max-age=31536000" env=HTTPS
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header always set X-Content-Type-Options "nosniff"
Header always set X-XSS-Protection "1; mode=block"
Header always set Expect-CT "max-age=7776000, enforce"
Header always set Referrer-Policy: "no-referrer-when-downgrade"
Header always set X-Frame-Options: "SAMEORIGIN"
Header always set Permissions-Policy "geolocation=(); midi=();notifications=();push=();sync-xhr=();accelerometer=(); gyroscope=(); magnetometer=(); payment=(); camera=(); microphone=();usb=(); xr=();speaker=(self);vibrate=();fullscreen=(self);"
# End Security Headers

Assim, no ficheiro «.htaccess» situado na raiz do seu website, irá obter o seguinte resultado:

Ponto importante: uma vez copiadas estas linhas, tenha cuidado para não se esquecer de gravar ao clicar em «Ficheiro» e depois em «Gravar». De seguida, volte para o FileZilla para validar o pop-up no qual lhe solicitam que envie o ficheiro de volta para o servidor. Caso contrário, as alterações não serão tidas em conta.
 

Como implementar um segundo fator de autenticação?

A utilização convencional de um identificador e de uma palavra-passe pode revelar-se insuficiente em matéria de segurança. As falhas são bem conhecidas: palavra-passe simplista, por vezes idêntica a várias contas, renovação pouco frequente ou inexistente ou ainda armazenamento num suporte não seguro. Apesar da complexidade da sua palavra-passe, é sempre possível sofrer um ataque malicioso que permitiria a um pirata alcançar os seus objetivos.

A implementação de um processo de autenticação de dois fatores (2FA ou Two Factor Authentication) irá reforçar a segurança de acesso à sua interface de administração. O funcionamento é simples: além da utilização convencional de um identificador e de uma palavra-passe, ser-lhe-á igualmente pedido uma autenticação com um fator suplementar (código temporário, autenticação em smartphone, SMS, passphrase). Desta forma, irá proteger e salvaguardar os seus acessos de administrador e evitar comprometer a segurança do seu site.
De facto, mesmo que um utilizador malicioso consiga descobrir a sua palavra-passe de alguma forma, a segurança dos seus acessos não ficará comprometida.

Entre estes fatores 2FA, pode utilizar a aplicação Google Authenticator (ou qualquer aplicação equivalente).
Ao criar a sua conta, aparecerá um código QR no ecrã. Basta que o leia com o seu smartphone através da aplicação Google Authenticator. Uma nova entrada aparecerá na sua aplicação gerando um código (por defeito com 6 dígitos) que mudará a cada 30 segundos. Deverá fornecer este código aquando da sua autenticação na interface de administração.

Uma extensão completa permitir-lhe-á gerir vários modos de autenticação no seu site, para os administradores mas também para os utilizadores que detenham uma conta. A extensão miniOrange do Google Authenticator está disponível neste endereço: https://pt.wordpress.org/plugins/miniorange-2-factor-authentication/

Saiba como ativar a autenticação de dois fatores para a conta de administrador (acessível através de uma conta não paga).

• Ligue-se à interface dedicada com a conta de administrador.
• Clique no plugin «miniOrange 2-Factor».

• Clique em «Configurar» com o método de autenticação «Google Authenticator».

• Na primeira etapa do processo de configuração, selecione a aplicação que irá utilizar no seu smartphone para gerar a série de números. Depois de selecionar o método, leia o código QR com o seu smartphone através da aplicação Google Authenticator.
• Atribua um nome e passe à etapa 2 da verificação introduzindo o código gerado na sua aplicação móvel.
• Se a operação for concluída com sucesso, irá surgir uma janela com a confirmação de que o acesso à sua conta é doravante feito através de 2FA.

Como medir a saúde do seu website?

Na coluna da esquerda do painel de controlo WordPress, selecione «Ferramentas» e, em seguida, clique em «Saúde do site». Esta secção não é uma extensão. Está integrada no WordPress por predefinição. Pode alertar-lhe para um problema de desempenho ou de segurança no seu website.

Para além disso, pode também testar os seus cabeçalhos de segurança aqui: https://securityheaders.com/

Como configurar o Wordfence para o seu WordPress?

O Wordfence inclui uma firewall e um scanner de programas maliciosos, ambos concebidos desde logo para proteger o WordPress.

Ao clicar em «Ativar», deverá registar a sua extensão. Se não possui uma conta Wordfence, clique em «Get Your Wordfence Licence». Será então redirecionado para o site do editor da extensão para criar a sua conta:

No website do editor, selecione a versão «Free». A seguir, clique em «Get a Free Licence». Quando uma janela modal abrir, clique em «I’m OK waiting 30 days for protection from new threats»:

De seguida, irá aparecer uma nova janela modal com o URL do seu site WordPress. Introduza o seu endereço de e-mail e marque a opção relativa à aceitação das Condições gerais de utilização:

Uma mensagem informa-o de que lhe foi enviado um e-mail:

Abra esse e-mail e clique na ligação para finalizar a criação da sua conta (será diretamente redirecionado para a interface de administração do WordPress). Aí, poderá validar a chave da licença indicada nos formulários:

Esta operação pode também ser realizada manualmente copiando a chave indicada no e-mail de registo.

A firewall, também conhecida como WAF (Web Application Firewall), entra em modo de aprendizagem. Esta etapa pode durar várias dezenas de minutos.

Entretanto, clique em «Clicar aqui para configurar».

Faça o download do backup do seu ficheiro .htaccess para o seu computador e, em seguida, clique em «Continuar».

Como otimizar as suas configurações para a proteção contra ataques de força bruta?

Na secção «Firewall» da coluna da esquerda do painel de controlo, clique em «Manage firewall».

A seguir, clique em «Manage Firewall» e, a seguir, em «Brute Force Protection» (na parte inferior da nova página).

Aqui estão as configurações a privilegiar:

• Lock out after how many login failures (número máximo de falhas de ligação antes de banir o utilizador): 2.
  Recomenda-se a utilização de um gestor de palavras-passe.
• Lock out after how many forgot password attempts (número máximo de tentativas de reinicialização da palavra-passe antes de banir o utilizador): 2.
• Amount of time a user is locked out (tempo durante o qual o utilizador esteve banido): 2 months (2 meses).
• Immediately lock out invalid usernames (bloqueio imediato dos utilizadores que acedem com um nome de utilizador WordPress inexistente).

Se, por descuido, acontecer de se banir a si próprio quando estiver a aceder ao seu painel de controlo, um e-mail será enviado para o endereço que introduziu no Wordfence. Este e-mail irá permitir-lhe remover o bloqueio e tentar aceder novamente.

Se precisar de uma proteção equivalente para os seus websites (que não sejam WordPress), existe uma ligação que trata das funcionalidades da nossa opção «CDN Security».

Para concluir, eis as boas práticas a ter em mente

• Mantenha o seu CMS, assim como as suas extensões e temas, atualizados.
• Configure o WordPress para automatizar estas atualizações.
• Assegure-se de que todas as páginas estão acessíveis em TLS/SSL e que o seu certificado é válido.
• Implemente a autenticação de dois fatores para as contas críticas.
• Verifique regularmente a saúde do seu site.