|
Audio
|
O core do WordPress é composto por alguns arquivos desnecessários para seu funcionamento e outros temporários, sendo necessários somente para o processo de instalação e atualização da plataforma.
Com o passar do tempo, e seguidos processos de atualização, é possível que alguns arquivos de versões antigas ainda residam em seu ambiente.
É necessário um processo de higienização para garantir a remoção de arquivos obsoletos e comprometidos e por conseguinte uma maior segurança para WordPress.
A versão do WordPress exposta em arquivos
É sabido que hackers exploram vulnerabilidades conhecidas de versões desatualizadas de qualquer software e isso inclui o WordPress, seus plugins e temas.
A melhor arma contra isso é manter o WP e seus componentes sempre atualizados.
Arquivos desnecessários do core do WordPress expõe sua versão.
Embora seja possível descobrir a versão com o uso de técnicas avançadas, é aconselhável removê-los ou bloquear o acesso e dificultar a descoberta dessa informação, principalmente quando os ataques são direcionados.
Os arquivos desnecessários e temporários do core do WordPress
A lista dos arquivos desnecessários
- /readme.html
- /license.txt
- /wp-config-sample.php
Esses arquivos são inúteis e coisas assim precisam ser eliminadas. É excesso. E o arquivo readme.html ainda expõe a versão do software em uso.
A lista dos arquivos temporários
- /wp-admin/install.php
- /wp-admin/upgrade.php
O primeiro é útil somente no processo de instalação do WordPress. Já o segundo é utilizado somente, e quando, há a necessidade de atualizar a estrutura do banco de dados da plataforma.
Não tenha receio com a exclusão desses arquivos. Eles retornam a cada nova atualização do WP.
Tenha uma política bem definida para remover novamente após esse processo, seja manualmente ou no processo automatizado de deploy.
Proteja os arquivos do core desnecessários e temporários
Como falado anteriormente, embora você possa excluir os arquivos desnecessários do core do WordPress, eles retornam após o processo de atualização da plataforma.
Se você realiza os processos de forma manual, considere protegê-los para evitar o acesso à eles. Para quem tem rotinas automatizadas, defina as remoções após cada update.
Como proteger os arquivos através do .htaccess
<Files nome-do-arquivo.extensao> 
Order allow,deny 
Deny from all 
</Files>Sobre a higienização dos arquivos do core do WordPress
O WordPress disponibiliza uma nova versão de seu software a cada três/quatro meses e, com frequência, as versões para correções de bug e segurança.
Portanto, o processo de atualização é constante, bem como a quantidade de arquivos e funções que vão ficando obsoletas.
Em algumas situações, durante o processo de atualização pode acontecer falhas de permissão no PHP/Apache|NGIX e alguns arquivos não serem excluídos como deveriam.
Arquivos obsoletos e comprometidos que residem no seu servidor junto à aplicação representam um sério risco. Suas falhas já se tornaram públicas e podem ser exploradas por hackers.
Plugin WordPress para ajudar na tarefa de higienização
Lembre-se: É necessário um processo de higienização para garantir a remoção de arquivos obsoletos e comprometidos. Essa tarefa pode ser simplicada através do plugin Old Core Files.
Manter o WordPress e seus componentes sempre atualizados é uma prática muito importante de segurança, assim como eliminar arquivos desnecessários e obsoletos.
Quero parabenizar a Apiki, por estar sempre disponibilizando neste canal, informações de grande importância ao WordPress, tais informações agrega segurança a este CMS que o mais utilizado no mundo todo. E sabemos que a Apiki, faz pesquisas e laboratório antes para que tais informações sejam publicadas neste canal.
Obrigado e vamos tornar o WordPress mais seguro.
Oi Rodrigo,
Muito obrigado pelas considerações. Vamos junsto nessa.
Abração