O artigo abaixo foi primeiramente publicado na Revista iMasters #14 e faz parte da iniciativa da Apiki para uma maior segurança para WordPress.
Segurança é processo, e os processos precisam ser bem executados e garantidos para que você se sinta seguro com sua aplicação, ou pelo menos mais tranquilo.
Os casos e as notícias veiculadas sobre falhas de segurança no CMS mais popular do mundo são, em sua maioria, decorrências de ações e alguns cuidados que não foram tomados.
Quando alguma brecha é encontrada, ela é rapidamente corrigida e uma nova versão do software é disponibilizada. Todas as instalações são notificadas desse lançamento, e assim alertando o usuário para o processo de atualização. Passado um determinado tempo essa falha se torna pública e você certamente ainda permanece com uma versão antiga.
Atualizações
Manter o WP sempre rodando a última versão e também seus plugins e temas é um primeiro passo para estar com a casa em ordem e com um procedimento bem executado. Ou seja, e para reforçar, mantenha o WordPress, seus plugins e temas sempre renovados.
Uma versão desatualizada pode estar deixando a porta dos fundos, ou a da frente, aberta ou com a chave na fechadura e essa responsabilidade não pode ser creditada à aplicação. E também é muito comum recursos complementares – leia-se plugins e temas – não terem sido bem codificados, feito uso de boas práticas e assim colocar as coisas em risco.
Verificações de segurança
Manter uma rotina de verificação e análise de segurança é crucial para detectar alguma lacuna e assim atuar de forma corretiva quando preciso. As verificações podem ser combinadas para serem manuais e automatizadas. Utilizando dois processos diferentes e com metodologias distintas, uma abrangência maior da cobertura e análises são possíveis.
O WP Scan é um exemplo de ferramenta que pode ser instalada em máquinas Linux ou Mac – que me desculpe o Windows – para atuar na verificação do WordPress e seus complementos. Seu uso através do terminal é simples e precisamos somente informar a URL do site para que o escaneamento seja realizado.
Algumas empresas, como a Sucuri, oferecem um serviço de monitoramento 24/7 e envio de alertas por e-mail. Você envia um arquivo PHP para a raiz do seu site e ele se comunica com os servidores da empresa para uma análise atualizada e eficaz. Na descoberta de seres estranhos o arquivo e a linha são informados e podemos entrar em ação para corrigir o problema.
As senhas pessoais
Por falar em portas, ao sair de casa você sempre as fecha, ou deveria. O seu login deve ter a mesma tratativa: logou, usou, deslogou. Simples. Se fizer uso de computador público esse processo deve ser levado muito mais a sério.
Recentemente foi disponibilizado um recurso que lhe permite desconectar as demais contas abertas de forma remota através da sua página de edição do perfil. Isso é característico de plataformas seguras, que se importam com o assunto e lhe ajudam implementar processos importantes facilmente.
Aindo espero o dia em que não será permitido criar ou atualizar os dados de um usuário que tenha uma senha fraca ou faça uso de nome de usuário como “admin”. Isso é facilitar o processo de ataques de força bruta para ganhar acesso a sua administração e injetar malwares ou postar aquelas lindas e simpatizantes propagandas de Viagra, Cialis e companhia limitada.
Fornecedores de serviços
Você e sua empresa, além de adotarem procedimentos de segurança, devem cobrar o mesmo de seus fornecedores. Sejam as empresas especializadas em WordPress, sejam as empresas gestoras de conteúdo e empresas de hospedagem.
As empresas de hospedagem são responsáveis por implantar e executar processos no servidor, como manter o sistema operacional e suas bibliotecas atualizados e ter uma infra-estrutura impeditiva de ataques DDOS, por exemplo.
A implementação dos processos técnicos de segurança devem ser de responsabilidade das empresas especializadas, a não ser que você domine o assunto e queira fazê-los. Os procedimentos que me refiro são os cuidados com as atualizações, verificações e correções de segurança, gestão da hospedagem do site e diversos outros fatores.
Diretórios, arquivos e o wp-config.php
Ao realizar o deploy certifique-se de que os arquivos e diretórios estão com as devidas permissões. 0644 para os arquivos e 0755 para os diretórios. Nada de 0777, por favor. E por falar em arquivo, considere manter o wp-config.php um nível acima da pasta pública do seu servidor. O WordPress lida bem com sua localização, mesmo que fora dos famosos diretórios www e/ou public_html.
No arquivo wp-config.php há constantes que definem o comportamento da aplicação, algumas são padrão e outras você precisa muito conhecer e fazer uso. As chaves de segurança, por exemplo, é padrão e neste serviço – https://api.wordpress.org/secret-key/1.1/salt – hashes poderosos são gerados. Ainda temos as credenciais do banco de dados. Duas dicas rápidas e simples: use uma senha forte e evite o prefixo das tabelas como “wp_”.
Vire o jogo
Várias outras possibilidades de melhorias de segurança podem ser implementadas através da definição de constantes no referido arquivo, considere conhecê-las e adotar as mais pertinentes em seu caso.
Os desenvolvedores por trás do WordPress realizam um grande esforço constantemente para garantir uma aplicação segurança e inovadora. As empresas especializadas em WP e de hospedagem também cumprem seu papel. Mas nós, usuários, somos falhos, teimosos e acreditamos que ataques acontecerão sempre no site ao lado. Considere melhorar seus processos para que assim possamos afirmar: O WordPress é seguro. E você também.
Opa! Não conseguimos encontrar o seu formulário.
