Continuação da nossa resposta às dúvidas da Ana.
Como te dizia, Ana, a segurança do WordPress tem muito mais a ver com os utilizadores do que com eventuais problemas que o software tenha. Aliás, o ‘core’ do WordPress é bastante seguro.
Os riscos advêem da forma como é utilizado e de potenciais bugs presentes em plugins ou temas. E bugs haverá sempre, porque a programação é feita por humanos e, já se sabe, se há algo que é humano é o erro.
Por isso deixamos alguns passos simples que podem ajudar a ampliar a segurança do teu website.
Ainda usas o “admin” como nome de utilizador? Muda já
Há mais de uma forma de fazer esta alteração. Uma envolve mexer na base de dados, a outra passa por criar um novo utilizador com permissões de administrador. Podes ainda faze-lo via plugin. Mas não há necessidade de seguires esta via. Se não te sentes confortável com o primeiro método, o segundo é simples o suficiente.
Não há nenhum ataque de força bruta (em que são utilizados softwares específicos) que não vise websites que têm “admin” como nome de administrador. Não facilites a vida aos bandidos.
Cria uma senha difícil, muito difícil
Uma palavra-passe muito difícil de adivinhar é fundamental para um website seguro. Esquece os nomes dos animais de estimação, a data de nascimento de quem quer que seja, palavras de dicionário, entre outras coisas que um humano ou um computador possa decifrar em pouco tempo.
Cria e protege uma senha difícil, com um mínimo de oito caracteres, constituída por letras maiúsculas e minúsculas, números e símbolos. De preferência muda-a com frequência.
É muito difícil de decorar? Claro que sim, o objectivo é esse. Mas podes evitar decorar. Passa a usar um gestor de senhas. Não vais querer outra coisa.
Actualiza o WordPress, os temas e plugins sempre que houver uma nova versão
É outra condição fundamental para um website WordPress seguro. Mantém todas as peças de software actualizadas. Desde o WordPress, passando pelos temas e, sobretudo, os plugins. Sobretudo porque estes são, por norma, actualizados com maior frequência.
Elimina plugins e temas que não são usados
É possível que tenhas instalados temas e plugins que não usas. Seja porque carregaste o WordPress através de um script de instalação, que inseriu mais uns quantos elementos, ou porque tu própria os instalaste, activaste, desactivaste e foste deixando ficar.
Faz um favor ao teu website e elimina os temas e plugins que não estás a usar. Não há nenhuma razão para os conservares e há todas para os apagares. É mais uma forma de minimizares os riscos de segurança.
Instala um plugin de segurança
É verdade que não resolvem tudo, nem impedem que um site seja atacado se os utilizadores forem descuidados mas há plugins que acrescentam mais uma camada de segurança.
Há diversos disponíveis e, como em tudo, uns melhores que outros. Nós usamos o iThemes Security nalguns projectos e o Wordfence noutros. Como cada caso é um caso, deves analisar as melhores opções e escolher aquele que melhor se adequa ao teu website.