Segurança em WordPress: como evitar que o teu site seja pirateado
O WordPress move uma fatia enorme da web e, em Portugal, é a base de boa parte dos sites institucionais e lojas online. Essa popularidade tem um reverso: é também o alvo preferido de quem procura sites vulneráveis para injetar publicidade, roubar dados ou usar o teu servidor para enviar spam. A boa notícia é que a esmagadora maioria dos ataques explora falhas básicas e evitáveis. Não precisas de ser engenheiro de segurança para fechar as portas mais óbvias.
Neste guia explicamos porque é que os sites WordPress são pirateados e o que fazer, na prática, para que o teu não seja o próximo.
Porque é que o WordPress é tão atacado
Há uma ideia errada de que "o WordPress é inseguro". Não é verdade. O núcleo do WordPress é mantido por uma equipa de segurança dedicada e recebe correções com frequência. O problema raramente está no núcleo, está à volta dele:
- Plugins e temas desatualizados. É de longe a causa nº 1. Um plugin abandonado há dois anos é uma porta aberta.
- Palavras-passe fracas. "admin / 123456" continua a ser explorado por ataques automáticos todos os dias.
- Alojamento partilhado mal configurado. Um site comprometido no mesmo servidor pode contaminar os outros.
- Falta de atualizações. Adiar atualizações por "medo de partir o site" é o erro que mais cara sai.
A grande maioria das invasões não é dirigida a ti pessoalmente. São robôs que varrem a web à procura de versões vulneráveis conhecidas. Manteres tudo atualizado já te tira da lista da maioria deles.
As medidas essenciais (faz isto primeiro)
Se só tiveres tempo para o básico, começa por aqui. São as ações com maior retorno por minuto investido.
1. Manter núcleo, temas e plugins atualizados
Quase todas as atualizações incluem correções de segurança. Atualiza com regularidade e remove tudo o que não usas, cada plugin extra é mais superfície de ataque.
2. Palavras-passe fortes e autenticação em dois passos
Usa palavras-passe longas e únicas para cada acesso (WordPress, alojamento, base de dados). Ativa autenticação em dois passos (2FA) na área de administração. Evita o utilizador "admin".
3. Limitar tentativas de login
Bloquear o IP após várias tentativas falhadas trava os ataques de força bruta, que tentam adivinhar a palavra-passe milhares de vezes por hora.
4. HTTPS em todo o site
Um certificado SSL cifra a ligação entre o visitante e o servidor. Hoje é obrigatório, o Google penaliza sites sem ele e os navegadores marcam-nos como "não seguro". Vemos isto em detalhe em Certificado SSL e HTTPS: o que é e porque o teu site precisa.
5. Cópias de segurança automáticas
Não é prevenção, é o teu seguro. Se o pior acontecer, uma cópia recente devolve o site ao ar em minutos. Tratamos do tema em Cópias de segurança do site: porque salvam o teu negócio.
Camadas adicionais de proteção
Resolvido o básico, estas medidas elevam o nível e fazem sentido sobretudo para lojas online e sites com dados de clientes:
- Firewall de aplicação web (WAF). Filtra tráfego malicioso antes de chegar ao site. Muitos alojamentos de qualidade já incluem um.
- Monitorização de ficheiros. Alerta quando algo é alterado sem autorização, sinal claro de invasão.
- Esconder a versão do WordPress e remover informação técnica que ajuda os atacantes a saber o que explorar.
- Permissões de ficheiros corretas no servidor, para que código malicioso não consiga escrever onde não deve.
- Acesso por funções. Quem só precisa de editar conteúdo não deve ter privilégios de administrador.
Em Portugal, o Centro Nacional de Cibersegurança (CNCS) publica recomendações e alertas úteis para PME que queiram aprofundar boas práticas de segurança digital.
RGPD: um site pirateado pode ser uma violação de dados
Se o teu site recolhe dados pessoais, formulários de contacto, clientes de uma loja, subscritores de newsletter, uma invasão pode constituir uma violação de dados pessoais ao abrigo do RGPD. Nesse caso, podes ser obrigado a notificar a CNPD e, em certos casos, os próprios titulares dos dados, normalmente no prazo de 72 horas após teres conhecimento. A segurança deixa de ser só uma questão técnica e passa a ser também legal.
O que fazer se o site já foi pirateado
Se desconfias que o site está comprometido, redirecionamentos estranhos, publicidade que não puseste, avisos do Google, não entres em pânico:
- Põe o site em modo manutenção para não expor os visitantes.
- Restaura uma cópia de segurança limpa, anterior à invasão.
- Muda todas as palavras-passe: WordPress, alojamento, base de dados, FTP.
- Atualiza tudo e remove plugins/temas suspeitos.
- Verifica e limpa o conteúdo antes de voltar a publicar.
Se não tens conhecimentos técnicos para isto, recorre a quem os tenha. Tentar limpar à mão um site infetado, sem saber o que procurar, costuma deixar portas abertas para reinfeção.
A segurança é manutenção contínua, não um produto
Não existe "instalar segurança e esquecer". Um site protegido hoje fica vulnerável daqui a três meses se ninguém atualizar nada. É por isso que a segurança faz parte da manutenção do site, não é um extra opcional. Falamos disso em Porque é que um site precisa de manutenção.
No sitesfixe.pt construímos sites institucionais e lojas online com segurança pensada desde o início, websites desde 1.500€, lojas desde 3.500€, e oferecemos planos de manutenção que mantêm o teu site atualizado, com cópias de segurança e monitorização. Pede um orçamento sem compromisso.
Lê também:
- Cópias de segurança do site: porque salvam o teu negócio
- Certificado SSL e HTTPS: o que é e porque o teu site precisa
- Porque é que um site precisa de manutenção
Fontes
Precisas de um site ou loja online?
Agência digital em Portugal. Sites e lojas online rápidos, otimizados para o Google e feitos para destacar a tua empresa e vender mais.
Pedir orçamento