Institucional

O WordPress é seguro. Inseguro é você.

Os desenvolvedores por trás do WordPress realizam um grande esforço constantemente para garantir uma aplicação segurança e inovadora. As empresas especializadas em WP e de hospedagem também cumprem seu papel. Mas nós, usuários, somos falhos, teimosos e acreditamos que ataques acontecerão sempre no site ao lado. Considere melhorar seus processos para que assim possamos afirmar: O WordPress é seguro. E você também.
Escrito Por apiki em junho de 2015 /6 min de leitura
Conteúdo escrito por humano
wordpress seguro revista imasters

O artigo abaixo foi primeiramente publicado na Revista iMasters #14  e faz parte da iniciativa da Apiki para uma maior segurança para WordPress.

Segurança é processo, e os processos precisam ser bem executados e garantidos para que você se sinta seguro com sua aplicação, ou pelo menos mais tranquilo.

Os casos e as notícias veiculadas sobre falhas de segurança no CMS mais popular do mundo são, em sua maioria, decorrências de ações e alguns cuidados que não foram tomados.

Quando alguma brecha é encontrada, ela é rapidamente corrigida e uma nova versão do software é disponibilizada. Todas as instalações são notificadas desse lançamento, e assim alertando o usuário para o processo de atualização. Passado um determinado tempo essa falha se torna pública e você certamente ainda permanece com uma versão antiga.

Atualizações

Manter o WP sempre rodando a última versão e também seus plugins e temas é um primeiro passo para estar com a casa em ordem e com um procedimento bem executado. Ou seja, e para reforçar, mantenha o WordPress, seus plugins e temas sempre renovados.

Uma versão desatualizada pode estar deixando a porta dos fundos, ou a da frente, aberta ou com a chave na fechadura e essa responsabilidade não pode ser creditada à aplicação. E também é muito comum recursos complementares – leia-se plugins e temas – não terem sido bem codificados, feito uso de boas práticas e assim colocar as coisas em risco.

Verificações de segurança

Manter uma rotina de verificação e análise de segurança é crucial para detectar alguma lacuna e assim atuar de forma corretiva quando preciso. As verificações podem ser combinadas para serem manuais e automatizadas. Utilizando dois processos diferentes e com metodologias distintas, uma abrangência maior da cobertura e análises são possíveis.

O WP Scan é um exemplo de ferramenta que pode ser instalada em máquinas Linux ou Mac – que me desculpe o Windows – para atuar na verificação do WordPress e seus complementos. Seu uso através do terminal é simples e precisamos somente informar a URL do site para que o escaneamento seja realizado.

Algumas empresas, como a Sucuri, oferecem um serviço de monitoramento 24/7 e envio de alertas por e-mail. Você envia um arquivo PHP para a raiz do seu site e ele se comunica com os servidores da empresa para uma análise atualizada e eficaz. Na descoberta de seres estranhos o arquivo e a linha são informados e podemos entrar em ação para corrigir o problema.

As senhas pessoais

Por falar em portas, ao sair de casa você sempre as fecha, ou deveria. O seu login deve ter a mesma tratativa: logou, usou, deslogou. Simples. Se fizer uso de computador público esse processo deve ser levado muito mais a sério.

Recentemente foi disponibilizado um recurso que lhe permite desconectar as demais contas abertas de forma remota através da sua página de edição do perfil. Isso é característico de plataformas seguras, que se importam com o assunto e lhe ajudam implementar processos importantes facilmente.

Aindo espero o dia em que não será permitido criar ou atualizar os dados de um usuário que tenha uma senha fraca ou faça uso de nome de usuário como “admin”. Isso é facilitar o processo de ataques de força bruta para ganhar acesso a sua administração e injetar malwares ou postar aquelas lindas e simpatizantes propagandas de Viagra, Cialis e companhia limitada.

Fornecedores de serviços

Você e sua empresa, além de adotarem procedimentos de segurança, devem cobrar o mesmo de seus fornecedores. Sejam as empresas especializadas em WordPress, sejam as empresas gestoras de conteúdo e empresas de hospedagem.

As empresas de hospedagem são responsáveis por implantar e executar processos no servidor, como manter o sistema operacional e suas bibliotecas atualizados e ter uma infra-estrutura impeditiva de ataques DDOS, por exemplo.

A implementação dos processos técnicos de segurança devem ser de responsabilidade das empresas especializadas, a não ser que você domine o assunto e queira fazê-los. Os procedimentos que me refiro são os cuidados com as atualizações, verificações e correções de segurança, gestão da hospedagem do site e diversos outros fatores.

Diretórios, arquivos e o wp-config.php

Ao realizar o deploy certifique-se de que os arquivos e diretórios estão com as devidas permissões. 0644 para os arquivos e 0755 para os diretórios. Nada de 0777, por favor. E por falar em arquivo, considere manter o wp-config.php um nível acima da pasta pública do seu servidor. O WordPress lida bem com sua localização, mesmo que fora dos famosos diretórios www e/ou public_html.

No arquivo wp-config.php há constantes que definem o comportamento da aplicação, algumas são padrão e outras você precisa muito conhecer e fazer uso. As chaves de segurança, por exemplo, é padrão e neste serviço –  https://api.wordpress.org/secret-key/1.1/salt – hashes poderosos são gerados. Ainda temos as credenciais do banco de dados. Duas dicas rápidas e simples: use uma senha forte e evite o prefixo das tabelas como “wp_”.

Vire o jogo

Várias outras possibilidades de melhorias de segurança podem ser implementadas através da definição de constantes no referido arquivo, considere conhecê-las e adotar as mais pertinentes em seu caso.

Os desenvolvedores por trás do WordPress realizam um grande esforço constantemente para garantir uma aplicação segurança e inovadora. As empresas especializadas em WP e de hospedagem também cumprem seu papel. Mas nós, usuários, somos falhos, teimosos e acreditamos que ataques acontecerão sempre no site ao lado. Considere melhorar seus processos para que assim possamos afirmar: O WordPress é seguro. E você também.

Leia a revista na íntegra.

Qual nota você da para este artigo?
Ruim

O que você achou disso?

Clique nas estrelas

Média da classificação 0 / 5. Número de votos: 0

Nenhum voto até agora! Seja o primeiro a avaliar este post.

Excelente
Artigos Relacionados
Melhores plugins de seguranca gratuitos para blogs WordPress

Melhores plugins de segurança gratuitos para blogs WordPress

Construa seu site WordPress sob medida com os maiores especialistas em WordPress da America Latina
Conheça a Apiki

Faça um comentário
Cadastre-se rápido

Fazer Login