Academia WordPress

Dicas de Segurança para Lojas WooCommerce

Rodar um negócio on-line, seja ele qual for, envolve um monte de trabalho. Você está sempre está criando novos conteúdos, adicionando produtos a sua loja, corrigindo bugs no código da sua plataforma ou fazendo atividades de marketing. Além de se esquentar com tudo isso, você ainda precisa se preocupar com a segurança do seu portal, já que crimes digitais são uma realidade em nossas vidas e não aparecem mais apenas nos filmes.

Para muitos dos nossos leitores e empreendedores digitais, o WooCommerce é usado para criar lojas online desde as mais simples até grandes plataformas de e-commerce. Uma estatística recente apontou que mais de 20% das lojas virtuais online são construídas com essa tecnologia e situações como essas geram acabam caindo na regra: quanto maior for a quota de mercado, maiores serão as chances de ser hackeado. Por ser algo comum, os hackers estudam e compartilham mais informações sobre falhas de segurança e novos hacks do que aquelas tecnologias menos usadas.

Neste pequeno tutorial nós iremos falar de medidas de segurança a serem tomadas na sua loja WooCommerce que poderão evitar muitos problemas no futuro.

Mantenha tudo atualizado e atualize com cuidado.

Em média o código base do WordPress recebe uma grande atualização a cada 4 meses e também recebe correções de segurança regulares a medida que vulnerabilidades são detectadas.

As atualizações referentes a segurança, caso você não tenha desabilitado a função, são atualizadas automaticamente no seu WordPress e não causam uma grande diferença visível na plataforma. Porém, as atualizações que mudam a versão – como por exemplo passar da versão 4.4 para a 4.5 – devem ser feitas manualmente e com muito cuidado.

Com uma nova atualização grande, o WordPress adiciona e retira diversas ferramentas com o objetivo de melhorar a plataforma. Isso significa que existem grandes chances de plugins antigos ou que não acompanhem as atualizações oficiais parem de funcionar ou seu tema fique inteiro quebrado. Por isso antes de executar uma grande atualização na sua plataforma, crie um backup.

Além de atualizar o WordPress, você também deve manter seus temas e plugins atualizados para corrigir eventuais vulnerabilidades neles. No ano de 2015 existiram grandes falhas em plugins que derrubaram grandes portais, então fique atento.

Use Plugins de Segurança

Existem muitos plugins WordPress disponíveis que ajudam muito a melhorar a segurança do seu site. Recomenda-se usar apenas um deles em seu site, já que usando vários plugins de segurança as consequências podem ser desastrosas.

wordfence-wordpress

Entre os plugins de segurança que eu já testei, recomendo:

Também é importante cuidar com a configuração desse tipo de plugin, já que ele possui ferramentas para usuários avançados liberadas por padrão. Instale e gerencie com cuidado.

Use uma senha forte e não obvia, por favor!

Grande parte dos sites são hackeado graças a falta de criatividade dos seus donos que usam senhas obvias demais. Senhas como “password”, “helloworld”, “myname”, “nomedaminhafilha”, “123456” e mesmo combinações alfanuméricas simples são consideradas fracas quando se trata do uso de Força Bruta – uma técnica hacker para forçar a entrada no seu site – torna-se fácil descobrir usuário e senha.

Para encorajar senhas mais fortes, o WordPress 4.3 vem com um sistema integrado de “Senhas Melhores” que gera uma senha forte para seus usuários.

chrome_2016-03-27_15-41-17

Se você tem dificuldade em memorizar senhas longas e mais difíceis, eu recomendo que conheça o Last Pass. É um sistema seguro online que armazena todas as suas senhas, logo você só precisará lembrar da Chave Mestre que permite o acesso ao seu cofre de senhas.

Não seja o usuário “admin”.

Assim como senhas, usar um nome de usuário muito fácil, como “admin” ou o nome da sua loja, é uma péssima ideia. Combinando uma senha forte com um nome de usuário difícil de se encontrar te dá um bom reforço na segurança contra o acesso forçado.

Para mudar seu usuário “admin”, você precisa criar um novo usuário administrador e logra-lo, pra então deletar o usuário “admin”.

Para fazer isso, navegue para Usuário -> Adicionar Novo e crie uma nova conta de administrador. Depois disso, desfaça login e entre novamente usando a conta nova para deletar a anterior e associar todos os posts anteriores com o novo login administrador.

Esconda “author” da URL

Cada vez que você cria um usuário você recebe uma URL do tipo nomedosite.com/author/nome. Encontrar o nome de usuário do autor facilita e muito a vida dos hackers. Depois disso ele só precisa achar a senha.

É recomendado mudar a URL dos arquivos de autor para não identificar o nome de usuário. Se você utilizar o plugin SEO by Yoast, existe uma função dentro das configurações gerais que desabilita a indexação dessa URL. Para desabilita-la completamente você precisará alterar o código do seu WordPress.

Segurança da sua Hospedagem

Além de fazer seu aplicativo WordPress seguro, é fundamental proteger o servidor de hospedagem. Se você tem seus próprios servidores, acrescentando firewalls, usando forte usuário/senha SSH e alterar permissões em arquivos críticos entre outras coisas.

Se você está hospedando sua loja de comércio eletrônico em um provedor de hospedagem, certifique-se de que o host está usando segurança em nível respeitável.

Um ambiente de hospedagem compartilhada é barato, mas não é a opção mais segura para o seu negócio de comércio eletrônico. Qualquer outro site ficando comprometido nesse servidor pode colocar ele todo em risco.

Adicionando Certificados SSL

Adicionar SSL em sua loja WooCommerce é essencial, especialmente na finalização da compra e durante login. Enquanto informações sensíveis estão sendo trocadas entre o usuário e o servidor, é vital que essa informação esteja sendo trafegada por um canal encriptado.

Você pode fazer a aquisição de um certificado SSL a partir de $ 9.90 na NameCheap. Depois disso, vincule o seu certificado a sua hospedagem – caso não saiba como proceder entre em contato com o seu suporte – e ative a segurança.

certificado-ssl-barato

Depois do SSL instalado, navegue para WooCommerce -> Opções e habilite “Forçar Checkout Seguro”

Sempre Mantenha Múltiplos Backups

Manter backups do seu site deve estar entre suas maiores prioridades. Deve-se manter sempre múltiplas copias. Isso te dá um pouco de tranquilidade, já que você pode simplesmente restaurar uma versão anterior ao ser hackeado ou caso alguma atualização de plataforma danifique a sua loja.

Existem diversos plugins de backup para WordPress e WooCommerce, porém o método mais indicado ainda é pela sua hospedagem ou cloud. Faça uma cópia sempre dos seus arquivos e da base de dados.

Serviços como a Digital Ocean – hospedagem cloud de alto desempenho – fornecem backups diários, semanais e mensais por cerca de $1 a mais na sua fatura. O custo benefício é muito alto, com certeza vale a pena.

Procure temas premium com suporte

Se você está realmente levando a sério sua loja online, então é melhor investir em um tema Premium que possua suporte técnico e atualizações frequentes. Você pode encontrar os melhores temas WooCommerce no ThemeForest.

Uma grande recomendação que faço é o tema FlatSome. Ele foi eleito o melhor tema premium para WooCommerce e o atendimento do suporte deles é fantástico.

flatsome-wordpress

Desabilite Edição de Arquivos do admin

Outra medida de segurança muito importante é desabilitar a edição de arquivos de código do seu WordPress, Temas e Plugins. Se um hacker obtém acesso à sua administração do WordPress, você não quer que ele possa editar os arquivos livremente a partir do painel.

Para que essa função de edição seja bloqueada na sua plataforma, basta você acessar os arquivos do seu WordPress e adicionar a linha de código abaixo no arquivo wp-config.php:

define( ‘DISALLOW_FILE_EDIT’, true );

Limitar Tentativas de Login

Limitar o número de tentativas de login para seu painel de administração irá bloquear atacantes e é uma primeira linha de defesa contra ataques de força bruta.

Os plugins de segurança que foram mencionados, em sua maioria, já possuem essa ferramenta de limitação.

Desabilitar Pingback e Trackbacks

Você realmente não precisa disso para uma loja WooCommerce. É melhor simplesmente desativar, já que podem ser usados para tentativas de ataques DDoS ou enviar spam de notificações para o seu site.

Para desabilita-los, basta adicionar a seguinte linha ao arquivo – lembre-se que esse arquivo pode ficar oculto, ative a visualização completa para encontra-lohtaccess.

# START XML RPC BLOCKING

Order Deny,Allow

Deny from all

# FINISH XML RPC BLOCKING

Mude a senha e o prefixo da sua base de dados

Assim como o caso do login e senha do WordPress, é necessário tomar cuidados com a segurança da database MySQL.

É recomendado mudar o prefixo padrão “wp_” do WordPress para databases. Mudar isso é um detalhe pequeno e parece que não faz tanta diferença, porém qualquer melhoria que dificulte a vida dos hackers deve ser levada em consideração.

Se você tem alguma dica para melhorar a segurança de Lojas WooCommerce ou alguma experiência que passou com a sua, deixe um comentário!

BLING
Daniel Leal

Daniel Leal

Eu escrevo para facilitar o aprendizado de outros daquilo que eu tivesse dificuldade em aprender. WordPress, WooCommerce e desenvolvimento de novas tecnologias são meus focos principais, mas marketing de conteúdo, negócios digitais e (mais recentemente) fintechs também ocupam uma parcela das minhas ideias e projetos.

1 comentário

Digital Ocean

Send this to a friend