A segurança de um website é uma preocupação diária de quem é proprietário, mas também de quem tem a responsabilidade de o desenvolver e gerir. É impossível dizer que existe um website 100% seguro, pois não se consegue eliminar todos os riscos. Logo, o foco na segurança de um website deve estar na redução dos mesmos. A plataforma WordPress, por ser a mais utilizada na elaboração de websites, é mais propensa a ataques. No entanto, com um conjunto de funcionalidades e boas práticas, ao nível do desenvolvimento e manutenção, é possível reduzir, e muito, os riscos de ataque a um website construído na plataforma mais utilizada em todo o mundo.
Começar no desenvolvimento…
A segurança de um website começa no momento do seu desenvolvimento. O erro de incluir medidas de segurança apenas quando se faz a gestão pode ser, em algumas situações, demasiado tarde.
Alojamento, a primeira grande decisão
É fundamental escolher um alojamento que ofereça medidas de segurança, com as últimas tecnologias e atualizações. O ideal é que tenha várias camadas de proteção, seja no hardware e software, firewalls e sistemas de deteção de invasão, protocolos de criptografia de rede e sistema de transferência de ficheiros seguros (SFTP, em vez do FTP), entre outras características. Por norma, escolhe-se o alojamento mais barato para poupar dinheiro, o que acaba por ser mais caro, porque muitos dos ataques começam por servidores sem as necessárias medidas de segurança.
Cuidado com o PHP
Esta é a linguagem que está por detrás da plataforma WordPress. Utilizar uma versão antiga do PHP é uma porta de entrada para hackers. Atualmente, a versão do PHP está na 8.0, lançada em novembro de 2020. Tal significa que muitos websites em WordPress estão agora a alterar as suas versões PHP, mas esta deve ser sempre a mais atualizada aquando do início do desenvolvimento de um website. Procure um alojamento que disponibilize sempre as versões mais atualizadas do PHP, pois todas as versões abaixo da 7.3 deixaram de ter suporte de segurança, o que significa que, se existir um problema, este não será corrigido, ficando o site vulnerável.
As passwords não devem ser fáceis!
Quando o WordPress é instalado, cria-se um utilizador e uma password. Não deve ter um utilizador chamado “admin”, e passwords como “123456” não devem ser usadas. São boas para memorizar, mas uma “dor de cabeça” ao nível da segurança. Felizmente, o WordPress já não permite a utilização de passwords fracas. O ideal será utilizar uma ferramenta, como o Strong Password Generator, para gerar uma. E uma regra fundamental: um website, uma password. Nunca a mesma para vários websites.
HTTPS não é opção, é obrigação
Pensar que um certificado de segurança SSL só é necessário para uma loja online é um erro. O HTTPS (Hyper Text Transfer Protocol Secure) permite que o browser utilize uma ligação segura para ligar-se a um website. A grande maioria dos alojamentos já oferece um Certificado de Segurança gratuito, como o Let’s Encrypt, antes de iniciar o desenvolvimento do website, o certificado deve ser instalado, de forma a escolher o URL do site já com o HTTPS. Por outro lado, o Certificado SSL oferece outras vantagens, como a credibilidade a quem visita o website; ser privilegiado nas pesquisas efetuadas na Google ou, sempre que um site não tem certificado SSL, o Google Chrome emite um aviso a informar que “não é seguro”.
Plugins de segurança são essenciais
Existe um conjunto de plugins que podem ser instalados, logo no início do desenvolvimento do website e que oferecem funcionalidades importantes, como alterar o URL de administração, limitar o número de tentativas de acesso ao website, fixar um intervalo de tempo em que é possível aceder ao backoffice do website ou monitorizar alterações suspeitas em ficheiros, entre outras.
Formulários seguros
Um dos grandes pontos de ataque a um website são os formulários. Como tal, utilizar CAPTCHAs, ou sistemas similares, é fundamental para evitar ataques, como envios de spam pelo formulário, envios em massa ou injeção de código malicioso. Hoje, a versão 3 do reCAPTCHA da Google, o CAPTCHA mais utilizado, já não necessita da interação do utilizador, protegendo de forma invisível ao olhar do utilizador.
… Continuar na manutenção
Atualizar é o mais importante
Depois de estar online, o website é como uma máquina: para funcionar bem, necessita de manutenção. A regra fundamental no WordPress é atualizar, atualizar, atualizar. Uma grande percentagem dos sites que sofre ataques podia ser evitado, pois a razão é a versão do WordPress desatualizada. Mas, só atualizar o WordPress não chega. Outra porta de entrada para piratas informáticos está nos plugins e temas desatualizados. Assim, uma manutenção completa engloba a atualização de todos os componentes. Só assim é possível reduzir riscos.
Os backups são importantes
Quantos sites estão num alojamento, sem um sistema de backups, e que no momento em que são atacados, não há forma de reverter? Muitos! Seja por problemas técnicos inerentes a qualquer site, seja por ataques informáticos, manter um sistema de backups diários é fundamental, então se for uma loja online, ainda mais. São eles que, no final do dia, podem salvar um investimento de milhares de euros que é um website.
Administrador só há um
Ao longo do tempo, há diferentes utilizadores que vão sendo adicionados a um website em WordPress. Este oferece um conjunto de papéis que um utilizador pode ter, que definem o nível de permissões. Assim, o Administrador é o único papel que tem permissão total. Como tal, deve existir apenas um por website. Quantos mais administradores existirem maior é o risco de a conta de utilizador ser pirateada e o acesso ao website ser total.
Se necessita de website em WordPress, com as funcionalidades mais recentes de segurança, alojado em servidores com as melhores práticas de segurança e com sistema de backups diários, a Belo Digital é a parceira ideal.
