Os arquivos do core do WordPress e sua relação com a segurança

Práticas de higienização do core para garantir a segurança do seu WP.

Leandro Vieira
arquivos do core
Audio

O core do WordPress é composto por alguns arquivos desnecessários para seu funcionamento e outros temporários, sendo necessários somente para o processo de instalação e atualização da plataforma.

Com o passar do tempo, e seguidos processos de atualização, é possível que alguns arquivos de versões antigas ainda residam em seu ambiente.

É necessário um processo de higienização para garantir a remoção de arquivos obsoletos e comprometidos e por conseguinte uma maior segurança para WordPress.

A versão do WordPress exposta em arquivos

É sabido que hackers exploram vulnerabilidades conhecidas de versões desatualizadas de qualquer software e isso inclui o WordPress, seus plugins e temas.

A melhor arma contra isso é manter o WP e seus componentes sempre atualizados.

Arquivos desnecessários do core do WordPress expõe sua versão.

Embora seja possível descobrir a versão com o uso de técnicas avançadas, é aconselhável removê-los ou bloquear o acesso e dificultar a descoberta dessa informação, principalmente quando os ataques são direcionados.

Os arquivos desnecessários e temporários do core do WordPress

A lista dos arquivos desnecessários

  1. /readme.html
  2. /license.txt
  3. /wp-config-sample.php

Esses arquivos são inúteis e coisas assim precisam ser eliminadas. É excesso. E o arquivo readme.html ainda expõe a versão do software em uso.

 A lista dos arquivos temporários

  1. /wp-admin/install.php
  2. /wp-admin/upgrade.php

O primeiro é útil somente no processo de instalação do WordPress. Já o segundo é utilizado somente, e quando, há a necessidade de atualizar a estrutura do banco de dados da plataforma.

Não tenha receio com a exclusão desses arquivos. Eles retornam a cada nova atualização do WP.

Tenha uma política bem definida para remover novamente após esse processo, seja manualmente ou no processo automatizado de deploy.

Proteja os arquivos do core desnecessários e temporários

Como falado anteriormente, embora você possa excluir os arquivos desnecessários do core do WordPress, eles retornam após o processo de atualização da plataforma.

Se você realiza os processos de forma manual, considere protegê-los para evitar o acesso à eles. Para quem tem rotinas automatizadas, defina as remoções após cada update.

Como proteger os arquivos através do .htaccess

<Files nome-do-arquivo.extensao> 
Order allow,deny 
Deny from all 
</Files>

Sobre a higienização dos arquivos do core do WordPress

O WordPress disponibiliza uma nova versão de seu software a cada três/quatro meses e, com frequência, as versões para correções de bug e segurança.

Portanto, o processo de atualização é constante, bem como a quantidade de arquivos e funções que vão ficando obsoletas.

Em algumas situações, durante o processo de atualização pode acontecer falhas de permissão no PHP/Apache|NGIX e alguns arquivos não serem excluídos como deveriam.

Arquivos obsoletos e comprometidos que residem no seu servidor junto à aplicação representam um sério risco. Suas falhas já se tornaram públicas e podem ser exploradas por hackers.

Plugin WordPress para ajudar na tarefa de higienização

Imagem de capa do plugin WordPress Old Core Files

Lembre-se: É necessário um processo de higienização para garantir a remoção de arquivos obsoletos e comprometidos. Essa tarefa pode ser simplicada através do plugin Old Core Files.

Manter o WordPress e seus componentes sempre atualizados é uma prática muito importante de segurança, assim como eliminar arquivos desnecessários e obsoletos.

Se você gostou desse artigo sobre Segurança para WordPress, provavelmente vai gostar de:
Mais posts como este