Início » Institucional » O WordPress é seguro. Inseguro é você.
Institucional

O WordPress é seguro. Inseguro é você.

Os desenvolvedores por trás do WordPress realizam um grande esforço constantemente para garantir uma aplicação segurança e inovadora. As empresas especializadas em WP e de hospedagem também cumprem seu papel. Mas nós, usuários, somos falhos, teimosos e acreditamos que ataques acontecerão sempre no site ao lado. Considere melhorar seus processos para que assim possamos afirmar: O WordPress é seguro. E você também.
junho de 2015 /6 min de leitura
Conteúdo escrito por humano

O artigo abaixo foi primeiramente publicado na Revista iMasters #14  e faz parte da iniciativa da Apiki para uma maior segurança para WordPress.

Segurança é processo, e os processos precisam ser bem executados e garantidos para que você se sinta seguro com sua aplicação, ou pelo menos mais tranquilo.

Os casos e as notícias veiculadas sobre falhas de segurança no CMS mais popular do mundo são, em sua maioria, decorrências de ações e alguns cuidados que não foram tomados.

Quando alguma brecha é encontrada, ela é rapidamente corrigida e uma nova versão do software é disponibilizada. Todas as instalações são notificadas desse lançamento, e assim alertando o usuário para o processo de atualização. Passado um determinado tempo essa falha se torna pública e você certamente ainda permanece com uma versão antiga.

Atualizações

Manter o WP sempre rodando a última versão e também seus plugins e temas é um primeiro passo para estar com a casa em ordem e com um procedimento bem executado. Ou seja, e para reforçar, mantenha o WordPress, seus plugins e temas sempre renovados.

Uma versão desatualizada pode estar deixando a porta dos fundos, ou a da frente, aberta ou com a chave na fechadura e essa responsabilidade não pode ser creditada à aplicação. E também é muito comum recursos complementares – leia-se plugins e temas – não terem sido bem codificados, feito uso de boas práticas e assim colocar as coisas em risco.

Verificações de segurança

Manter uma rotina de verificação e análise de segurança é crucial para detectar alguma lacuna e assim atuar de forma corretiva quando preciso. As verificações podem ser combinadas para serem manuais e automatizadas. Utilizando dois processos diferentes e com metodologias distintas, uma abrangência maior da cobertura e análises são possíveis.

O WP Scan é um exemplo de ferramenta que pode ser instalada em máquinas Linux ou Mac – que me desculpe o Windows – para atuar na verificação do WordPress e seus complementos. Seu uso através do terminal é simples e precisamos somente informar a URL do site para que o escaneamento seja realizado.

Algumas empresas, como a Sucuri, oferecem um serviço de monitoramento 24/7 e envio de alertas por e-mail. Você envia um arquivo PHP para a raiz do seu site e ele se comunica com os servidores da empresa para uma análise atualizada e eficaz. Na descoberta de seres estranhos o arquivo e a linha são informados e podemos entrar em ação para corrigir o problema.

As senhas pessoais

Por falar em portas, ao sair de casa você sempre as fecha, ou deveria. O seu login deve ter a mesma tratativa: logou, usou, deslogou. Simples. Se fizer uso de computador público esse processo deve ser levado muito mais a sério.

Recentemente foi disponibilizado um recurso que lhe permite desconectar as demais contas abertas de forma remota através da sua página de edição do perfil. Isso é característico de plataformas seguras, que se importam com o assunto e lhe ajudam implementar processos importantes facilmente.

Aindo espero o dia em que não será permitido criar ou atualizar os dados de um usuário que tenha uma senha fraca ou faça uso de nome de usuário como “admin”. Isso é facilitar o processo de ataques de força bruta para ganhar acesso a sua administração e injetar malwares ou postar aquelas lindas e simpatizantes propagandas de Viagra, Cialis e companhia limitada.

Fornecedores de serviços

Você e sua empresa, além de adotarem procedimentos de segurança, devem cobrar o mesmo de seus fornecedores. Sejam as empresas especializadas em WordPress, sejam as empresas gestoras de conteúdo e empresas de hospedagem.

As empresas de hospedagem são responsáveis por implantar e executar processos no servidor, como manter o sistema operacional e suas bibliotecas atualizados e ter uma infra-estrutura impeditiva de ataques DDOS, por exemplo.

A implementação dos processos técnicos de segurança devem ser de responsabilidade das empresas especializadas, a não ser que você domine o assunto e queira fazê-los. Os procedimentos que me refiro são os cuidados com as atualizações, verificações e correções de segurança, gestão da hospedagem do site e diversos outros fatores.

Diretórios, arquivos e o wp-config.php

Ao realizar o deploy certifique-se de que os arquivos e diretórios estão com as devidas permissões. 0644 para os arquivos e 0755 para os diretórios. Nada de 0777, por favor. E por falar em arquivo, considere manter o wp-config.php um nível acima da pasta pública do seu servidor. O WordPress lida bem com sua localização, mesmo que fora dos famosos diretórios www e/ou public_html.

No arquivo wp-config.php há constantes que definem o comportamento da aplicação, algumas são padrão e outras você precisa muito conhecer e fazer uso. As chaves de segurança, por exemplo, é padrão e neste serviço –  https://api.wordpress.org/secret-key/1.1/salt – hashes poderosos são gerados. Ainda temos as credenciais do banco de dados. Duas dicas rápidas e simples: use uma senha forte e evite o prefixo das tabelas como “wp_”.

Vire o jogo

Várias outras possibilidades de melhorias de segurança podem ser implementadas através da definição de constantes no referido arquivo, considere conhecê-las e adotar as mais pertinentes em seu caso.

Os desenvolvedores por trás do WordPress realizam um grande esforço constantemente para garantir uma aplicação segurança e inovadora. As empresas especializadas em WP e de hospedagem também cumprem seu papel. Mas nós, usuários, somos falhos, teimosos e acreditamos que ataques acontecerão sempre no site ao lado. Considere melhorar seus processos para que assim possamos afirmar: O WordPress é seguro. E você também.

Leia a revista na íntegra.

Qual nota você da para este artigo?
Ruim

O que você achou disso?

Clique nas estrelas

Média da classificação 0 / 5. Número de votos: 0

Nenhum voto até agora! Seja o primeiro a avaliar este post.

Excelente
Artigos Relacionados
destaque-wordpress-sem-ssl

O fim da era do WordPress sem SSL

Construa seu site WordPress sob medida com os maiores especialistas em WordPress da America Latina
Conheça a Apiki

Faça um comentário
Cadastre-se rápido

Fazer Login