Na era digital, o domínio exerce o mesmo papel que um endereço físico em uma avenida movimentada: ele é o primeiro ponto de contato com o público, a base da sua credibilidade online e um ativo intangível que tende a se valorizar ao longo do tempo.

Na ATMUN Host, é recorrente atendermos empresas que enfrentam obstáculos técnicos, perdas de oportunidade e até problemas jurídicos em razão de decisões precipitadas tomadas no momento do registro do domínio. Um domínio mal escolhido pode causar falhas na entrega de e-mails, baixo desempenho nos mecanismos de busca e conflitos legais evitáveis.

Para ajudar você a iniciar sua presença digital de forma sólida e estratégica, reunimos os erros mais críticos no registro de domínios — e, principalmente, como evitá-los.

1. Quando o domínio falha na simplicidade verbal

Muitos empreendedores avaliam apenas a estética do nome escrito e ignoram um fator decisivo: como ele soa ao ser falado. O teste é simples: imagine dizer o nome do seu site em uma ligação com ruído ou pelo rádio. A outra pessoa conseguiria digitá-lo corretamente sem pedir que você soletre?

O erro mais comum
Uso de hífens (ex.: minha-empresa-top.com), substituição de letras por números (4dvogados.com) ou grafias estrangeiras complexas para um público majoritariamente local.

O impacto direto
Cada dúvida — “é com S ou com Z?”, “tem hífen?” — aumenta drasticamente a chance de o usuário desistir e procurar um concorrente.

A abordagem correta
Priorize fluidez fonética e simplicidade. Nomes fáceis de pronunciar e memorizar transmitem confiança. Caso o nome ideal não esteja disponível, optar por um sinônimo curto e claro é sempre melhor do que recorrer a caracteres especiais.

2. SEO antigo 🆚 branding moderno

Houve um tempo em que domínios extremamente descritivos, como melhores-tenis-corrida-baratos.com.br, favoreciam o ranqueamento no Google. Esse cenário mudou.

O erro estratégico
Apostar em nomes excessivamente descritivos que limitam a expansão do negócio. Um domínio como ConsultoriaDeTI.com pode se tornar um obstáculo quando a empresa decide ampliar seu portfólio para hardware, software ou outros serviços.

O risco oculto
Você cria uma âncora que prende sua marca a um único nicho.

A solução orientada ao futuro
Invista em branding. Marcas consolidadas utilizam nomes flexíveis, que permitem crescimento e diversificação ao longo dos anos. O domínio deve sustentar o seu ecossistema de produtos e serviços pelos próximos 5, 10 ou 15 anos.

3. Proteção de marca e o peso estratégico do .com.br

A extensão do domínio também comunica confiança. No Brasil, o consumidor associa o .com.br a empresas estabelecidas e legítimas.

O erro recorrente
Registrar apenas o .com ou extensões alternativas (.biz, .info, entre outras) por serem mais baratas, deixando o .com.br disponível para terceiros.

A estratégia recomendada
Sempre que possível, faça a proteção de marca. Registre o domínio principal (.com.br) diretamente no Registro.BR (órgão responsável por registrar e manter todos os nomes de domínios que terminam com “.br” no Brasil) e suas variações relevantes (.com, .net). Todas podem ser redirecionadas para o site oficial, evitando confusão, concorrência desleal e diluição da autoridade da sua marca.

4. Domínio disponível não significa marca disponível

O registro de domínio segue a lógica de “quem chega primeiro registra”. Já o registro de marca é um processo jurídico.

O erro crítico
Comprar o domínio, investir em identidade visual e site, e só depois descobrir que o nome já está registrado no INPI ou que os principais perfis nas redes sociais estão indisponíveis.

A abordagem correta
Antes de registrar seu domínio, faça uma validação completa:

• Verifique a disponibilidade do domínio.

• Consulte o banco de dados do INPI para evitar conflitos legais.

• Cheque a disponibilidade do nome de usuário nas principais redes sociais.

Consistência de identidade em todos os canais reforça profissionalismo, facilita a memorização e fortalece a marca.

5. O ciclo de vida do domínio: renovação e dados de contato

O domínio não é uma compra definitiva, mas um serviço recorrente. Perder um domínio por descuido é um dos problemas mais comuns — e mais caros — na área de tecnologia.

O erro operacional
Registrar o domínio com um e-mail pouco utilizado ou ignorar a renovação automática.

O risco real
Com o domínio expirado, o site sai do ar, os e-mails deixam de funcionar e, após o período de carência, o nome pode ser adquirido por terceiros, muitas vezes para revenda a valores elevados.

A boa prática
Mantenha seus dados de contato sempre atualizados e ative a renovação automática. Avalie também a contratação da privacidade de domínio (ID Protection), evitando a exposição pública de informações pessoais em consultas WHOIS.

Comece sua jornada digital com a base certa 🤝💙

Escolher o domínio correto é apenas o primeiro passo. O próximo é garantir que ele esteja apoiado em uma infraestrutura rápida, segura e estável.

Na ATMUN Host, sabemos que por trás de cada domínio existe um projeto, uma empresa ou um objetivo de longo prazo. Por isso, oferecemos mais do que o registro: entregamos orientação estratégica e soluções completas de Hospedagem de Sites para que sua presença na internet esteja sempre disponível e protegida.

Não adie sua ideia. O nome que você procura pode ser registrado por outra pessoa a qualquer momento.

👉 Verifique agora a disponibilidade do seu domínio com a ATMUN Host

O ambiente digital evolui rapidamente e, junto com ele, crescem também as tentativas de ataques cibernéticos. Vazamentos de dados, senhas expostas e golpes de engenharia social se tornaram cada vez mais comuns, exigindo medidas de proteção cada vez mais robustas.
Pensando nisso, a ATMUN Host reforça seu compromisso com a segurança: proteger as contas de nossos clientes é prioridade absoluta.

Para elevar ainda mais esse nível de proteção, implementamos uma nova camada obrigatória de validação de acesso por e-mail, já ativada para todos que não utilizam a autenticação em dois fatores (2FA) por token ou WhatsApp.
Essa verificação adicional não pode ser desativada e garante que apenas o verdadeiro proprietário da conta consiga acessá-la, mesmo que a senha seja descoberta por terceiros.

Essa decisão se torna ainda mais importante diante do recente megavazamento conhecido como Data Troll, um dos maiores compilados de credenciais já identificados na internet.

Por que tomamos essa decisão?

Em junho de 2025, foi revelado um dos maiores conjuntos de credenciais vazadas da história, conhecido como Data Troll.
De acordo com o pesquisador de segurança Troy Hunt, criador do site Have I Been Pwned, o Data Troll reúne mais de 16 bilhões de e-mails e senhas coletados ao longo de anos a partir de diversos incidentes em sites de todo o mundo.

O que é o Data Troll?

Diferente de um único ataque a um serviço específico, o Data Troll é um imenso agregador de vazamentos anteriores.
Ele não resulta de uma invasão única, mas sim de compilações de senhas e e-mails expostos em diversos incidentes ao longo de anos.
Ou seja, criminosos reuniram bases de dados roubadas de centenas de sites, fóruns e serviços on-line, criando um gigantesco “megaarquivo” de credenciais.

• Como os dados foram obtidos: a partir de inúmeros vazamentos independentes, somados e organizados por cibercriminosos.

• O risco real: se você repete a mesma senha em diferentes sites, basta que um deles tenha sido comprometido para que a sua senha seja conhecida e possa ser testada em outros serviços.

⚠️ Vale ressaltar que não houve nenhum vazamento ou falha de segurança em nossa infraestrutura.
O Data Troll não tem qualquer ligação com os sistemas da ATMUN Host.

O que devo fazer agora?

1. Ativar a autenticação por token ou WhatsApp: é ainda mais segura que a verificação por e-mail.

2. Trocar sua senha da ATMUN Host imediatamente se você já a utilizou em outro site ou serviço.

   • Crie senhas exclusivas e fortes para cada conta.

   • Use um gerenciador de senhas para facilitar a organização.

   • Evite usar informações pessoais óbvias (datas de aniversário, nomes de familiares) e prefira combinações de letras maiúsculas, minúsculas, números e símbolos.

3. Verificar se seus dados já vazaram: acesse Have I Been Pwned e informe seu e-mail para saber se ele aparece em vazamentos conhecidos.

O papel da autenticação em dois fatores 🛡️

A autenticação em dois fatores é hoje uma das defesas mais eficazes contra invasões.
Mesmo que alguém descubra sua senha, será necessário confirmar o código presente no seu app de token ou WhatsApp para concluir o login.

Essa simples etapa bloqueia a maioria das tentativas de acesso indevido, especialmente diante de megavazamentos como o Data Troll.

A ATMUN Host mantém políticas rígidas de segurança, monitoramento constante e atualizações regulares.
Ainda assim, a proteção final depende de práticas seguras de cada usuário.

Com a autenticação obrigatória por e-mail, damos mais um passo para garantir que sua conta permaneça protegida e confiável, independentemente de incidentes em outros serviços. Assim, garantimos juntos uma experiência mais segura, confiável e livre de surpresas.

Vivemos em um cenário digital onde ataques cibernéticos são constantes e, muitas vezes, imprevisíveis. Em poucos segundos, uma senha comprometida pode significar o acesso indevido à sua conta, ao seu site e até à sua infraestrutura hospedada. Pensando nisso, a ATMUN Host reforça o compromisso com a segurança dos nossos clientes oferecendo recursos de proteção cada vez mais acessíveis e eficazes.

E temos uma grande novidade:
Agora você pode ativar a autenticação em dois fatores via WhatsApp!

📲 O que muda com a autenticação via WhatsApp?

Com esta nova opção, você irá receber um código de autenticação de 6 (seis) dígitos diretamente na sua conta de WhatsApp cadastrada. Isso significa:

• Maior agilidade: o código chega onde você já está — no WhatsApp — sem precisar abrir outro aplicativo.

• Maior acessibilidade: ideal para quem não utiliza apps autenticadores como o Google Authenticator (Android | iOS) ou prefere um processo mais integrado ao seu dia a dia.

• Segurança contínua: cada código é único, válido por tempo limitado (5 minutos) e só pode ser utilizado uma única vez.

Este método combina conveniência com proteção de alto nível, mantendo a segurança sem atrapalhar sua rotina.

🔐 Mas afinal, o que é autenticação em dois fatores?

A autenticação em dois fatores (2FA) é uma medida de segurança que exige duas formas diferentes de verificação para acessar sua conta. Na prática, mesmo que alguém descubra sua senha, não conseguirá acessar seu painel sem o segundo código de verificação.

Na ATMUN Host, você pode escolher entre:

1. Tokens baseados em tempo – Gera códigos temporários a cada 30 segundos, diretamente no seu celular, mesmo sem internet.

2. WhatsApp (NOVIDADE) – Códigos enviados instantaneamente para o número de telefone vinculado à sua conta, via mensagem no WhatsApp.

Ambas as opções oferecem segurança adicional, mas agora, com o WhatsApp, o processo ficou ainda mais simples e direto.

⚙️ Como ativar a autenticação em dois fatores via WhatsApp?

Ativar esta nova opção em sua conta é bem fácil:

1. Acesse sua Central do Cliente;

2. Em “Olá, <SEU NOME>” vá até a opção Configurações de Segurança;

3. Clique no botão “Ativar autenticação”.

4. Escolha WhatsApp como método de verificação.

5. Cadastre o número de telefone com acesso ao WhatsApp e confirme com o código enviado.

Prontinho! Sua conta já está mais protegida.

Ao ativar este processo de autenticação — e agora com a opção via WhatsApp —, você protege seus sites, e-mails, bancos de dados e toda a sua estrutura hospedada com um escudo digital adicional.

Na ATMUN Host, sua segurança é prioridade. Por isso, continuamos investindo em soluções que unem tecnologia de ponta e facilidade de uso.
A autenticação via WhatsApp já está disponível: ative agora mesmo e dê um passo definitivo rumo a uma conta mais protegida.

Se precisar de ajuda durante o processo, nossa equipe de suporte está pronta para lhe auxiliar. 😉

Você já se perguntou como proteger sua privacidade online em um mundo cada vez mais conectado? Bem, uma Rede Privada Virtual (VPN, sigla em inglês) é a resposta! Uma VPN é uma poderosa ferramenta que permite você navegar na internet com segurança e anonimato, enquanto desfruta de uma série de benefícios adicionais.

📓 Aqui estão algumas razões para você utilizar uma VPN:

1. Segurança de Alto Nível: Ao usar uma VPN, seus dados são criptografados e protegidos contra hackers, governos e outros invasores indesejados. Suas informações pessoais, como senhas, dados bancários e histórico de navegação, ficam ocultas, garantindo que apenas você tenha acesso a elas.
2. Privacidade Absoluta: Uma VPN oculta sua localização e endereço IP real, mascarando sua identidade online. Isso significa que você pode navegar na internet de forma anônima, sem que sua atividade online seja rastreada por anunciantes, provedores de serviços de internet (ISPs) ou agências governamentais.
3. Acesso a Conteúdos Restritos: Com uma VPN, você pode contornar bloqueios geográficos e acessar conteúdos que normalmente seriam restritos na sua região. Quer assistir a um filme ou série disponível apenas em outro país? Com uma VPN, isso se torna possível, permitindo que você aproveite uma variedade maior de entretenimento.
4. Segurança em Redes Wi-Fi Públicas: Ao se conectar a uma rede Wi-Fi pública, como a de um restaurante, aeroporto ou hotel, você corre o risco de ter seus dados interceptados. Com uma VPN, você pode navegar com tranquilidade, pois seus dados estão protegidos por uma camada adicional de criptografia, garantindo que ninguém possa espionar suas atividades.
5. Economia em Compras Online: Algumas lojas e serviços online oferecem preços diferentes com base na localização geográfica do usuário. Com uma VPN, você pode simular sua localização em outro país e aproveitar ofertas exclusivas e preços mais baixos ao fazer compras online.
6. Trabalho Remoto com Segurança: Se você trabalha em casa ou precisa acessar a rede corporativa fora do escritório, uma VPN garante que sua conexão seja segura e protegida. Suas comunicações e dados confidenciais permanecem criptografados, permitindo que você trabalhe de forma segura e produtiva em qualquer lugar.

Agora que você conhece alguns dos benefícios de se ter um serviço de VPN em seu computador (ou outro dispositivo), está na hora de proteger sua privacidade e aproveitar a internet de forma segura.

👉 A ATMUN Host, em parceria com a NordVPN, acaba de trazer mais esta novidade para vocês. Nossa VPN oferece todos os benefícios citados acima e muito mais. Além disto, com uma única conta você consegue proteger até 6 (seis) dispositivos diferentes. E o melhor de tudo: não há nenhum limite de tráfego mensal! 😱

📣 Aproveite hoje mesmo nossa promoção de lançamento e receba 20% de desconto nas 3 (três) primeiras mensalidades.

Não deixe suas informações pessoais nas mãos erradas. Invista em uma solução VPN hoje mesmo e desfrute de uma experiência online livre de preocupações!

O SSL (Secure Sockets Layer) é um protocolo de segurança criado pela Netscape que se tornou padrão internacional para troca de informações e tráfego seguro na internet. Esta tecnologia foi incorporada em todos os navegadores posteriormente.

E como sei se meu site tem este certificado e qual é a sua importância? Neste post, explicaremos isto e muito mais para você. Então vamos lá!

Como saber se meu site está com certificado SSL?

A tecnologia SSL funciona de forma automática quando os servidores estão habilitados para o protocolo. Portanto, fica fácil saber se seu site possui o certificado SSL em funcionamento, pois a URL iniciará com https. O “s” vem de Secure, e indica que as informações são criptografadas por tal protocolo e garantem que seu site seja seguro.

Qual a importância do certificado SSL para o meu site?

O certificado SSL permite oferecer segurança aos visitantes de qualquer página da internet que o tenha instalado. É uma maneira de verificar se é um site autêntico e confiável no qual os dados podem ser inseridos, já que a transmissão das informações entre o servidor e os usuários são feitas de forma criptografadas.

Quando os dados viajam criptografados, eles foram submetidos a algoritmos matemáticos e sistemas de chave, que somente o servidor e o usuário que está navegando tem acesso. Então, podemos perceber o tanto que um site com certificado SSL fica muito mais seguro, não é mesmo?

Para piorar, em agosto de 2018, o Google passou a penalizar sites que não estão hospedados em servidores com o certificado SSL habilitados. Sabe o que isto significa? Os sites sem certificado SSL que são classificados como não seguro passam a perder ranqueamento no índice do Google, podendo trazer graves consequências para o seu negócio. 

Portanto, seja esperto(a) e contrate uma hospedagem segura. Nós da ATMUN Host trabalhamos com planos que oferecem de forma gratuita, certificado SSL, emitidos pela Let’s Encrypt.

Veja abaixo, como é fácil ativar o certificado SSL em sua Hospedagem ou Revenda de Hospedagem da ATMUN Host, através do melhor e mais simples painel de gerenciamento, o DirectAdmin:

1 – Acesse o painel DirectAdmin da conta que deseja ativar o Certificado SSL (se possui com a gente uma Revenda de Hospedagem, atente-se a estar acessando com o nível de usuário no menu superior);

2 – Procure pela opção Certificados SSL e clique sobre ela;

3 – Clique na opção Certificado gratuito da Let’s Encrypt;

4 – Marque as entradas que deseja ativar o Certificado SSL (de preferência apenas as entradas www.seudominio.com.br, seudominio.com.br e mail.seudominio.com.br);

5 – Clique no botão Salvar e aguarde a ativação, que pode demorar até 10 minutos.

Pronto! Lembre-se que seu domínio deve estar, obrigatoriamente, apontando para nossos servidores para conseguir a ativação do Certificado SSL.

Esperamos que este post tenha sido útil para você. Então bora colocar seu site acessível via HTTPS agora mesmo! Juntos, podemos contribuir para uma internet mais confiável, segura e profissional para todos. 🙂

Os desenvolvedores do WordPress levam a segurança muito a sério, mas como em qualquer outro sistema, existem potenciais problemas de segurança que podem surgir se algumas precauções básicas de segurança não forem tomadas. Este artigo irá listar algumas formas comuns de vulnerabilidades, e as providências que você pode tomar para manter sua instalação do WordPress segura.

Este artigo não é o guia rápido e definitivo para resolver suas preocupações com a segurança. Se você tem preocupações específicas ou dúvidas, discuta-as com usuários em quem você confie que tenham conhecimento suficiente de segurança em computadores e WordPress

O que é segurança?

Fundamentalmente, a segurança não é apenas possuir sistemas perfeitamente seguros, que poderiam muito bem ser impossíveis de encontrar e/ou manter. Um servidor seguro protege a privacidade, integridade e disponibilidade dos recursos que estão sob o controle do seu administrador.

Entre as qualidades de um provedor de hospedagem confiável estão:

• Discutir prontamente as suas preocupações e quais processos e funcionalidades de segurança ele oferece com o serviço de hospedagem.
• Oferecer as versões mais recentes e estáveis de todos os softwares no servidor.
• Oferecer métodos confiáveis para backup e recuperação.

Decida qual abordagem de segurança utilizar no seu servidor pensando primeiro no software e nos dados que precisam ser assegurados. O restante desse guia vai ajuda-lo a fazer isso.

Temas sobre Segurança

Tenha em mente algumas diretrizes gerais enquanto pensa sobre cada aspecto de segurança do seu sistema:

Limitar o acesso

Faça escolhas seguras que reduzirão os pontos passíveis de invasão por pessoas mal-intencionadas.

Contenção

Sua instalação deve estar configurada para minimizar o tamanho do estrago que pode ser causado caso o sistema venha a ser comprometido ou invadido.

Preparação e conhecimento

Mantenha backups e confira o estado da sua instalação do WordPress regularmente. Traçar um plano de backup e recuperação da instalação no caso de uma catástrofe pode ajudar a estar novamente online muito mais rápido caso haja um problema.

Vulnerabilidades no seu computador

Tenha certeza que os computadores que você usa para postar no WordPress estão livres de spyware, malware e outros tipos de infecções e vírus. Toda a segurança do mundo no WordPress e no seu servidor web não farão a menor diferença se houver um keylogger instalado no seu computador.

Mantenha sempre atualizados o seu sistema operacional e os softwares instalados, principalmente o seu navegador, para garantir sua proteção contra vulnerabilidades.

Vulnerabilidades no WordPress

Como muitos dos mais modernos pacotes de software, o WordPress é atualizado regularmente para evitar e resolver novas ameaças que possam surgir. Melhorar a segurança do software é uma preocupação constante, e por isso é importante manter a sua instalação sempre atualizada com a versão mais recente do WordPress. As versões antigas do WordPress não recebem atualizações de segurança.

Atualizando o WordPress

A versão mais recente do WordPress está sempre disponível no site principal em http://wordpress.org e a versão em Português Brasileiro em http://br.wordpress.org. Não existem versões oficiais disponíveis em outros sites – nunca baixe ou instale o WordPress de qualquer outro endereço que não o http://wordpress.org.

O WordPress conta com atualizações automáticas desde a versão 2.7. Use esta funcionalidade para facilitar o processo de atualização constante. Você também pode usar o Painel de Administração para se manter informado dos updates. Leia o artigo indicado no Painel de Administração ou no WordPress Developer Blog para saber quais passos tomar para se atualizar e manter o sistema seguro.

Se uma vulnerabilidade é descoberta no WordPress e uma nova versão é lançada para resolver o problema, a informação necessária para explorar a falha já estará certamente em domínio público. Isto faz com que as versões antigas estejam mais propensas a sofrerem ataques, e é um dos principais motivos pra que você mantenha seu WordPress atualizado.

Se você é um administrador e mantém vários sites com WordPress, considere usar o Subversion para gerenciá-los de forma mais simples.

Reportar Problemas de Segurança

Se você encontrou uma falha de segurança no WordPress, você pode ajudar a soluciona-la reportando o que encontrou. Veja a página Security_FAQ para mais informações sobre como proceder nesse caso.

Se você encontrou um bug, também reporte. Veja como fazer isso na página Submitting_Bugs. Você pode ter descoberto uma vulnerabilidade, ou um bug que pode levar a uma falha.

Vulnerabilidades no Servidor Web

O servidor rodando WordPress, e os outros softwares nele, podem ter falhas de segurança. Por isso, tenha certeza que está rodando versões estáveis e seguras do seu servidor e dos outros softwares instalados, ou contrate um provedor de hospedagem confiável e que cuide desses assuntos para você.

Se você está em um servidor compartilhado (que hospeda mais sites, além do seu) e um outro site no mesmo servidor está comprometido, o seu site também pode, potencialmente, ser atingido, mesmo que você siga todas as dicas deste guia. Pergunte ao seu provedor sobre as medidas de segurança que eles tomam para protegê-lo.

Vulnerabilidades na Rede

Os dois lados da rede — o lado do servidor WordPress e o lado da rede do cliente — devem ser confiáveis. Isso significa atualizar as regras do firewall do seu roteador em casa e também tomar cuidado com quais redes você usa para trabalhar. Uma lan-house movimentada onde você está enviando senhas em uma conexão não-criptografada, wireless ou não, não é uma rede confiável.

O seu provedor de hospedagem deve garantir que a rede dele não seja comprometida por ataques, e você deve fazer o mesmo. Falhas de segurança em redes podem permitir que senhas e outras informações sensíveis sejam interceptadas.

Senhas

Muitas ameaças potenciais podem ser evitadas com bons hábitos de segurança. Uma senha forte é um aspecto muito importante disso.

O objetivo da sua senha é dificultar que outras pessoas possam adivinhar e também para evitar que ataques de força bruta sejam bem-sucedidos. Existem diversos geradores automáticos de senhas que podem ser usados para criar senhas seguras.

O WordPress também tem um medidor de segurança das senhas, que é exibido sempre que você está definindo ou alterando uma senha no WordPress. Use sempre esta ferramenta para garantir que está usando senhas adequadas.

Quando estiver escolhendo uma senha, evite:

• Usar pequenas alterações no seu nome real, nome de usuário, nome da sua empresa ou nome do seu site.
• Usar apenas uma palavra do dicionário, em qualquer idioma.
• Usar senhas curtas
• Usar senhas que tenham somente letras ou somente números (uma combinação dos dois é o ideal).

Uma senha forte não serve só para proteger o seu conteúdo. Um hacker que tenha acesso à sua conta de administração terá poderes para instalar scripts maliciosos que inclusive poderão comprometer todo o servidor.

FTP

Se o seu provedor de hospedagem permitir, prefira sempre usar conexões criptografadas SFTP para acessar o seu servidor. Se você não ter certeza se este serviço está disponível, pergunte à empresa de hospedagem.

Usar o SFTP funciona da mesma forma que o FTP, exceto que a sua senha e outras informações são transmitidas de forma criptografada entre o seu computador e o site. Isso significa que a sua senha nunca é enviada em aberto e então não pode ser interceptada por um hacker.

Permissões de Arquivo

Algumas das funcionalidades mais legais do WordPress precisam da permissão para que alguns arquivos sejam alterados no servidor. No entanto, permitir acesso à alteração de arquivos é um risco em potencial, principalmente em servidores compartilhados.

O melhor a fazer é restringir ao máximo as permissões dos seus arquivos e liberar apenas nos casos em que você precise permitir a escrita, ou criar pastas específicas com menos restrições para algumas atividades, com o upload de arquivos.

Este é um dos esquemas possíveis de permissões:

A sua conta de usuário deve ser a dona de todos os arquivos, e deve ter acesso à escrita em todos eles. Os arquivos que necessitam de escrita pelo WordPress devem estar em um grupo, também pertencente à sua conta de usuário utilizada no servidor.

/

O diretório raiz do WordPress: todos os arquivos devem ter permissão de escrita somente pelo seu usuário, exceto o .htaccessse você quiser que o WordPress gere automaticamente as regras de reescrita para você.

/wp-admin/

A área de administração do WordPress: todos os arquivos devem ter permissão de escrita somente pelo seu usuário.

/wp-includes/

A maior parte da lógica de sistema do WordPress: todos os arquivos devem ter permissão de escrita somente pelo seu usuário.

/wp-content/

Conteúdo inserido pelos usuários: estes arquivos devem ter permissão de escrita por todos os usuários (proprietário/usuário, grupos e público).

Dentro de /wp-content/ você vai encontrar:

/wp-content/themes/

Arquivos de temas/templates. Se você quiser utilizar o editor de temas do painel de administração, todos os arquivos devem ter permissão de escrita. Se não, todos podem ser escritos somente pela sua conta de usuário.

/wp-content/plugins/

Arquivos de plugins: todos os arquivos devem ter permissão de escrita somente pelo seu usuário.

Outras pastas que podem existir em /wp-content/ devem estar documentadas pelos temas ou plugins que as necessitam. As permissões podem variar.

Modificando as permissões de arquivos

Se você tem acesso ao seu servidor, poderá alterar as permissões de arquivos recursivamente utilizando os comandos a seguir:

Para diretórios:

find /caminho/para/a/pasta/do/wordpress/ -type d -exec chmod 755 {} \;

Para arquivos:

find /caminho/para/a/pasta/do/wordpress/ -type f -exec chmod 644 {} \;

Sobre as atualizações automáticas

Quando você faz uma atualização automática do WordPress, todas as operações são feitas pelo usuário proprietário dos arquivos, não pelo usuário do servidor web. Todos os arquivos são configurados como 0644 e todos os diretórios como 0755, com permissão de escrita somente pelo usuário e de leitura para todos, inclusive o servidor.

Segurança do Banco de Dados

Se você tem vários sites no mesmo servidor, é importante considerar mantê-los em bancos de dados diferentes, cada um gerenciado por um usuários isolado. A melhor hora para fazer isso é na Instalação. Isto é uma estratégia de contenção: se um invasor conseguir quebrar uma das suas instalações do WordPress, essa medida dificultará muito que ele consiga alterar os outros sites.

Se você mesmo administra o MySQL, tenha certeza que compreende bem a configuração do MySQL e desabilite algumas funcionalidades desnecessárias (como aceitar conexões TCP remotas). Leia o artigo Secure MySQL Database Design para uma boa introdução a este assunto.

Blindando o wp-admin

Colocar uma proteção de senha ao /wp-admin/ no lado do servidor adiciona uma 2ª camada de proteção ao redor do seu Painel de Administração, login e arquivos. Isso exige que um invasor ou bot ataque esta segunda camada de proteção, ao invés dos seus arquivos. Muitos dos ataques ao WordPress são feitos de forma autônoma, por softwares e bots maliciosos.

Mas simplesmente bloquear o diretório /wp-admin/ pode desabilitar algumas funcionalidades do WordPress, como o handler de AJAX em /wp-admin/admin-ajax.php. Veja a seção #Recursos para mais documentação sobre a forma correta de proteger seu /wp-admin/ com uma senha.

Os ataques mais comuns a uma instalação WordPress geralmente caem em duas categorias:

1. Enviam pedidos HTTP para o servidor, especialmente programados para explorar a carga útil procurando vulnerabilidades específicas. Estes incluem plugins e softwares antigos ou desatualizados.
2. Tentam ganhar acesso ao seu site usando ataques de “força bruta”, para adivinhar a sua senha.

A melhor implementação dessa segunda camada de segurança por senha é exigir uma conexão criptografada HTTP SSL para a administração do site, de forma que toda a comunicação e dados sensíveis seja criptografada. Veja Administration Over SSL

Blindando o wp-includes

Uma segunda camada de proteção pode ser adicionada nas partes onde os scripts geralmente não devem ser acessados por nenhum usuário. Uma forma de fazer isso é usar mod_rewrite para bloquear os scripts no arquivo .htaccess.

# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
# BEGIN WordPress

Note que isto não deve funcionar bem em instalações MultiSite, já que RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]evitaria que o arquivo ms-files.php gere imagens. Retirar esta linha permitirá o funcionamento, oferecendo um pouco menos de segurança.

Blindando o wp-config.php

Você pode mover o arquivo wp-config.php para o diretório logo acima da sua instalação do WordPress. Assim, para sites instalados na raiz do servidor, o arquivo wp-config.php podera ficar for da área acessível.

Note que o wp-config.php poderá ficar apenas UM nível acima da instalação do WordPress (onde está a pasta wp-includes). Permita também que somente o seu usuário (e o do servidor) possam acessar este arquivo (geralmente isso significa uma permissão 0400 ou 0440).

Se você usa .htaccess no seu servidor, você pode também inserir o código abaixo no arquivo, para negar acesso a qualquer um que esteja navegando atrás dele:

<files wp-config.php>
order allow,deny
deny from all
</files>

Criptografia SSL

Artigo principal: Administration Over SSL.

Plugins

Em primeiro lugar, mantenha sempre todos os seus plugins atualizados. Se você não está mais usando algum plugin, delete os arquivos do servidor.

Plugins de Firewall

Alguns plugins prometem eliminar pedidos suspeitos baseados em listas de regras de bancos de dados e/ ou whitelists.BlogSecurity’s WPIDS plugin instala o PHPIDS, uma camada de segurança genérica para aplicações PHP, enquanto o WordPress Firewall usa algumas regras pré-configuradas, criadas para o WordPress, além de uma whitelist para eliminar ataques sem muitas configurações.

Plugins que necessitam de acesso para escrita

Se um plugin exige permissão de escrita para os arquivos e ou pastas do WordPress, pesquise o código para saber se ele é bem-intencionado, ou confira com algum usuário mais experiente em quem você confie. Se tiver dúvidas, pergunte nos Fóruns de Suporte e/ou no Canal IRC.

Plugins de execução de código

Como dissemos, uma parte do objetivo de blindar o WordPress é conter o estrago causado quando um ataque tiver sucesso. Plugins que permitem a execução de códigos PHP arbitrários ou outros códigos a partir de entradas no banco de dados aumentam a possibilidade de danos em caso de ataques bem sucedidos.

Uma forma de evitar o uso destes plugins é usar custom page templates que executem as funções. Uma parte da segurança que essa medida garante só é efetiva quando você proíbe a edição de arquivos por dentro do WordPress.

Segurança por obscuridade

Segurança por obscuridade é comumente tida como uma estratégia primária pouco segura. No entanto, existem algumas áreas do WordPress em que obscurescer algumas informações pode ajudar na segurança:

1. Renomeie a conta de administração: Em novas instalações, você pode simplesmente criar uma nova conta de administrador e excluir a conta admin padrão. Em uma instalação já existente, você pode renomear a conta atual pela linha de comando do MySQL usando UPDATE wp_users SET user_login = 'newuser' WHERE user_login = 'admin';, ou usando um front-end como o phpMyAdmin.
2. Altere o table_prefix: Muitos dos ataques conhecidos que visam invadir sites em WordPress assumem que o table_prefix é o padrão: "wp_". Modificar isto pode bloquear pelo menos alguns ataques de injeção SQL.

Backup dos dados

Faça backup dos seus dados regularmente, incluindo seus bancos de dados MySQL. Veja o artigo principal: Backing Up Your Database).

A integridade dos dados é crítica para se ter downloads confiáveis. Criptografar o backup, manter registros independentes dos hashes MD5 de cada arquivo de backup e/ou colocar os backups em mídias de somente-leitura aumenta a confiança de que seus dados não foram adulterados.

Uma estratégia segura de backup pode incluir manter um set regular de imagens temporais de toda a sua instalação do WordPress (inclusive os arquivos do core e o banco de dados) em um local seguro e confiável. Pense em um site que faz imagens semanalmente. Uma estratégia como essa significa que se o site for comprometido no dia 1º de Maio mas o dano só for percebido no dia 12, o proprietário terá backups anteriores à data da invasão, que poderão ajudar na re-construção do site e também backups posteriores, que podem ajudar a determinar como a invasão aconteceu.

Guardando registros (Logging)

É possível registar vários pedidos enviados ao WordPress. Os logs padrão do Apache não oferecem muita ajuda para lidar com investigações de segurança. Veja: Mod_Security – Logs and Prevents using Apache

Monitorando

Em alguns casos a prevenção não é suficiente e você pode mesmo assim ser hackeado. É por isso que a detecção/monitoramento de invasões é muito importante. Ela permite que você reaja mais rápido, descubra o que aconteceu e recupere seu site.

Monitorando seus logs

Se você está em um servidor privado (onde você tem acesso de administração), você deve monitorar os logs para descobrir tentativas de quebrar senhas, ataques virtuais e etc. Uma boa solução de código aberto para monitorar os seus logs em tempo real e bloquear os atacantes é a OSSEC.

Monitorando alterações nos seus arquivos

Quando um ataque acontece, ele sempre deixa rastros, seja nos logs ou no sistema de arquivos (novos arquivos, arquivos modificados, etc). Se você está usando OSSEC por exemplo, seus arquivos serão monitorados e você será alertado quando eles forem modificados.

Monitorando seu servidor externamente

Se o invasor tentar desfigurar o seu site, ou enviar malware, você também pode detectar estas alteranções usando uma ferramenta online para o monitoramento de integridade.

Fonte: WordPress.org

O WordPress é uma das ferramentas de criação e edição de sites e blogs mais populares da internet, e isso faz com que, quem tem sites criados com o WordPress tornam-se alvos frequentes de ataques em seus sites e bancos de dados.

Esse post tem a finalidade de fornecer algumas dicas que possam aumentar a segurança do seu site em WordPress.

Dicas de segurança do WordPress:

1 Mantenha o seu WordPress e plugins sempre atualizados
2 Em hipótese alguma coloque como nome de usuário “admin”
3 Use sempre senhas fortes, com números e simbolos, ex. xx00**??
4 Garanta que o seu computador esteja seguro antes de entrar no admin do WordPress

É muito importante manter as versões do Wordpres, assim como plugins, sempre atualizados, pois sempre tem novos pacotes de segurança que deixam o seu site menos vulnerável.

Pode também limitar uma quantidade de tentativas de login inválidos para o seu site para que o IP seja bloqueado. Para isso, pode usar o plugin de limites de tentativas de login. Chama-se Limit Login Attempts.

Um outro plugin indispensável para uma maior segurança é o Wordfence.