Os arquivos do core do WordPress e sua relação com a segurança

Com o passar do tempo e seguidos processos de atualização é possível que alguns arquivos de versões antigas ainda residam no core do WordPress. Alguns desnecessários para seu funcionamento e outros temporários (necessários somente para o processo de instalação e atualização da plataforma).

O processo de higienização é essencial para garantir a remoção de arquivos obsoletos e comprometidos e, assim, manter uma instalação segura. Conheça, através deste artigo, práticas de higienização.

Seus amigos merecem saber desse conteúdo?

O core do WordPress é composto por alguns arquivos desnecessários para seu funcionamento e outros temporários, sendo necessários somente para o processo de instalação e atualização da plataforma.

Com o passar do tempo e seguidos processos de atualização é possível que alguns arquivos de versões antigas ainda residam em seu ambiente. É necessário um processo de higienização para garantir a remoção de arquivos obsoletos e comprometidos e por conseguinte uma maior segurança para WordPress.

A versão do WordPress exposta em arquivos

É sabido que hackers exploram vulnerabilidades conhecidas de versões desatualizadas de qualquer software e isso inclui o WordPress, seus plugins e temas. A melhor arma contra isso é manter o WP e seus componentes sempre atualizados.

Arquivos desnecessários do core do WordPress expõe sua versão. Embora seja possível descobrir a versão com o uso de técnicas avançadas, é aconselhável removê-los ou bloquear o acesso e dificultar a descoberta dessa informação, principalmente quando os ataques são direcionados.

Os arquivos desnecessários e temporários do core do WordPress

A lista dos arquivos desnecessários

  1. /readme.html
  2. /license.txt
  3. /wp-config-sample.php

Esses arquivos são inúteis e coisas assim precisam ser eliminadas. É excesso. E o arquivo readme.html ainda expõe a versão do software em uso.

 A lista dos arquivos temporários

  1. /wp-admin/install.php
  2. /wp-admin/upgrade.php

O primeiro é útil somente no processo de instalação do WordPress, já o segundo é utilizado somente, e quando, há a necessidade de atualizar a estrutura do banco de dados da plataforma.

Não tenha receio com a exclusão desses arquivos, eles retornam a cada nova atualização do WP. Mas tenha uma política bem definida para remover novamente após esse processo, seja manualmente ou no processo automatizado de deploy.

Proteja os arquivos desnecessários e temporários

Como falado anteriormente, embora você possa excluir os arquivos desnecessários do core do WordPress, eles retornam após o processo de atualização da plataforma.

Se você realiza os processos de forma manual, considere protegê-los para evitar o acesso à eles. Para quem tem rotinas automatizadas, defina as remoções após cada update.

Como proteger os arquivos através do .htaccess

<Files nome-do-arquivo.extensao> 
Order allow,deny 
Deny from all 
</Files>

Sobre a higienização dos arquivos do core do WordPress

O WordPress disponibiliza uma nova versão de seu software a cada três/quatro meses e com frequência as versões para correções de bug e segurança. Portanto, o processo de atualização é constante, bem como a quantidade de arquivos e funções que vão ficando obsoletas.

Em algumas situações durante o processo de atualização pode acontecer falhas de permissão no PHP/Apache|NGIX e alguns arquivos não serem excluídos como deveriam. E arquivos obsoletos e comprometidos que residem no seu servidor junto a aplicação é um sério risco. Suas falhas já se tornaram públicas e podem ser exploradas por hackers.

Plugin WordPress para ajudar na tarefa de higienização

Imagem de capa do plugin WordPress Old Core Files

Lembre-se: É necessário um processo de higienização para garantir a remoção de arquivos obsoletos e comprometidos. Essa tarefa pode ser simplicada através do plugin Old Core Files.

Manter o WordPress e seus componentes sempre atualizados é uma prática muito importante de segurança, assim como eliminar arquivos desnecessários e obsoletos.

Opa! Não conseguimos encontrar o seu formulário.