Kaksi Media

6 práticas regulares para reforçares a segurança do teu site

segurança WordPress

Tony Hawk, o mais famoso skater do mundo, está hoje retirado da competição. Tem 47 anos e sempre cumpriu as regras de segurança da modalidade. Apesar dos cuidados, sofreu diversas lesões ao longo da carreira. A pior foi em 2010.

O dia estava solarengo em Anaheim, Califórnia, EUA. Era um sábado como tantos outros e Hawk estava numa prova. Ao tentar fazer um ‘rollercoaster’ de 360 graus, calculou mal a velocidade, caiu e fracturou a bacia. Foi, aos 42 anos, o sinal de que a sua vida como skater profissional estava a chegar ao fim.

Não foi um problema de falta de segurança. Foi um erro de cálculo que pode acontecer a todos.

Tal como na gestão de um website. Todos sabemos as regras de segurança (sabemos, não sabemos?), os cuidados a ter mas, por vezes, há pequenos deslizes que acabamos por pagar caro.

Uma das formas que usamos para prevenir situações desagradáveis é usar uma lista de procedimentos que percorremos todas as semanas, nuns casos, com regularidade, noutros.

Actualizar tudo. Sempre

Software desactualizado é uma das principais causas de infecções em websites. Seja o sistema de gestão de conteúdos que usas (WordPress, Joomla, Drupal ou outro), sejam os plugins ou temas (templates), deves actualizar sempre que há uma nova versão.

A maior parte dos ataques a sites é feito de forma automática, por ‘bots’ que estão a percorrer toda a Internet em busca de vulnerabilidades. Por norma, fazem uso das falhas de segurança no software instalado. Muitas dessas falhas foram já resolvidas mas se o site não tiver sido actualizado, vai abrir portas para os atacantes.

É importante acompanhar o lançamento de novas versões do software que utilizas.

No caso do WordPress, podes seguir as actualizações existentes no painel. Podes ainda instalar o plugin WP Updates Notifier, que envia um email sempre que há uma actualização do WordPress ou de plugins.

Se preferires evitar estas preocupações, podes optar por contratar um serviço de suporte. Há diversas empresas a oferecer planos de manutenção, incluindo a Kaksi Media.

Passwords

Apesar de todos os alertas, há ainda quem insista em garantir aos crackers uma grande facilidade em aceder ao website alheio, ao usar senhas de acesso básicas. Se a password que usas costuma aparecer na lista das mais comuns, fica a saber que o teu site é um forte candidato a intrusões.

Uma password decente incorpora três características: complexa, longa e única.

Complexa significa que deve ter letras maiúsculas e minúsculas, números e símbolos. Longa porque deve ter, pelo menos, 12 caracteres. Única porque cada site ou serviço deve ter uma senha específica.

No nossa caso, optamos por mudar as senhas de acesso aos sites com alguma regularidade. E usamos o LastPass como gestor de senhas.

Permissões adequadas a cada utilizador

Se o teu site tem diversos utilizadores registados mas apenas um efectua as operações de manutenção, porque é que todos têm o perfil de “administrador”?

É importante que cada utilizador tenha as permissões apropriadas para aquilo que precisa de fazer. Não se trata de haver questões de falta de confiança. Os erros acontecem e se alguém tiver um descuido no local e hora errados, o site pode ficar comprometido.

Nós optamos por conferir com regularidade a lista de utilizadores dos sites que gerimos, para verificar se não há permissões atribuídas erradamente.

Selecciona os plugins com cuidado

Uma das grandes vantagens dos sistemas de gestão de conteúdos modernos, como o WordPress, é a possibilidade de estender as suas funções iniciais através da instalação de plugins. Mas cada um deles pode representar um risco de segurança se não tiverem a qualidade necessária.
E qual escolher, se houver (e por norma, há) vários a fazer o mesmo?

O que nós fazemos é verificar quando ocorreu a última actualização, qual a frequência de actualizações, se o autor responde aos pedidos de suporte e as opiniões de outros utilizadores. O número de instalações activas também é relevante. Sem esquecer a experiência dos autores do plugin.

Outra prática da qual não deves prescindir é a de transferir os ficheiros de temas e plugins de fontes legítimas.

alguns sites que oferecem, com o rótulo de “gratuitos”, temas e plugins ‘premium’. É importante que conheças os riscos. Trata-se de software pirateado, para o qual não vais ter suporte, e é muito provável que esteja contaminado com malware.

Cópias de segurança

Deve ser sempre o teu plano A. Os acidentes acontecem, tal como os cataclismos naturais, que podem destruir servidores. A realização de cópias de segurança com a regularidade adequada a cada site é uma obrigação de quem está no mundo online.

Todos ou quase todos os serviços de alojamento oferecem a realização de cópias de segurança.

Aproveita. Mas não fiques por aqui. Trata de fazer o teu próprio sistema de backup e guarda as tuas cópias noutro local que não o servidor onde tens o site alojado.

Nós usamos duas soluções de cópias de segurança próprias e enviamos os ficheiros para outros locais, bem distantes do servidor.

Permissões dos ficheiros

As permissões dos ficheiros definem quem pode fazer o quê num ficheiro ou pasta.
A maior parte dos sistemas de gestão de conteúdos, como o WordPress, instala uma configuração adequada por omissão. No entanto, se quiseres reforçar um pouco mais as regras de segurança, podes ajustar os seus parâmetros.

Desde já fica o alerta de nunca usares 777 nas pastas, digam o que disserem.
Por norma, fazemos pontualmente uma verificação de segurança às permissões.

José Freitas

José Freitas

Ajudo pequenas e médias empresas e empreendedores a criar estratégias online para conseguirem melhores clientes, através da comunicação relacional. Na minha vida passada fui jornalista durante 25 anos. A comunicação é a minha praia. Viciado em café intenso e aromático.

Queres receber as nossas mensagens semanais o teu email?

As nossas mensagens são compostas por pequenos textos escritos a pensar em ti (sim a sério, a pensar em ti).

Não enviamos SPAM porque também não gostamos de o receber.