Guia de Segurança em WordPress (I)

Este artigo é o primeiro de uma série que será publicada aqui, em WWWhatsnew, da Equipe de The Shock family: iconshockwpthemegenerator y jqueryslidershock, responsáveis também por bypeople.com.

wordpress

Um dos maiores problemas enfrentados ultimamente pelos aplicativos e sites é um elevado número de ataques, grande quantidade de informação é roubada ou manipulada quer seja por vírus/malware ou por hackers ou grupos de hackers diariamente, e este é um problema que cresce a cada dia. Desde que iniciamos a criação de WordPress Theme Generator e os temas de WordPress themes shock, sempre pensamos na segurança como um fator fundamental, para garantir que nossos temas o plugins não tiveram nenhuma vulnerabilidade, e desta maneira investigamos e concluimos este completo guia que lhe ajudará a proteger seu site de WordPress, dado o já mencionado e constante crescimento de ataques que foram reportados ultimamente.

WordPress é o CMS usado por muitos dos sites mais importantes atualmente como TED, NBC e CNN e não só isso; se estima que WordPress seja usado em 20% do total dos sites conectados a Internet. Andrew Nacin, um dos desenvolvedores de WordPress comentou em sua conta de Twitter como centenas de milhares de pessoas leem milhões de blogs por mês, fazendo centenas de milhares de comentários em centenas de milhares de posts.

Dada a grande popularidade de WordPress, não só há uma grande legião de seguidores o usando, como também há outra legião de autores, sempre em busca de novas debilidades que explorar, nada disso é desconhecido pelos profissionais que usam WordPress, e por isso ele foram desenvolvidos métodos e práticas que serão descritos neste artigo para ajudar a evitar que seja a próxima vítima de um ataque, ou se já for, para lhe ajudar a superar o problema.

O principal é entender claramente o conceito de segurança

A segurança não se trata de ter um gestor de conteúdo, ou um sistema em geral perfeitamente protegidos, a segurança em muitos casos pode ser estabelecida seguindo umas simples regras inclusive fora do código ou do sistema. Neste artigo se cobre o básico e também alguns aspectos que requerem um maior nível de esperteza, com a intenção de brindar mais recursos para reforçar a segurança porque no que se refere a proteger um site em WordPress, os ataques podem e, provavelmente, vem de todas as partes.

Primeiros passos a seguir fora de WordPress

Considerando que a segurança em WordPress não só depende do software com o que está feito como também de outros elementos externos, esta seção fala de tais fatores, aqueles que podem ser melhorados.

– Encontrar vulnerabilidades em seu computador

Verificar se o computador que usa está livre de spyware, malware ou vírus. Sem importar se um site de WordPress seja seguro, não fará a mínima diferença se houver um keylogger que possa roubar as credenciais em seu computador local e se um hacker consegue suas chaves, por mais segurança que tenha, estará perdido.

– Revisar a segurança de sua rede

A rede em ambas extremidades, na sua e na do servidor deveria ser uma rede segura; isso pode implicar atualizar as regras no roteador ou ser muito cuidadoso se entra em uma rede de fora. Um cyber café ou um sistema que envia dados sem criptografar não pode ser considerado uma rede segura. É importante manter protocolos de segurança chaves dentro de sua rede local, no geral, nenhum computador da rede deveria ter permissões de administração a menos que o requeira estritamente, deve haver um bom anti-vírus revisando a rede constantemente e evitar o uso do software não conhecido ou com pouco suporte.

– Revisar seu FTP

FTP é um protocolo de transferência de arquivos através da rede, quando se conectar ao servidor, se possível o faça através de SFTP  se seu provedor oferecer. SFTP não difere muito do protocolo FTP exceto pelo fato de que criptografa os dados transmitidos; o que dificulta interceptar e roubar informação.

– Revisar seu servidor e seu provedor de hosting.

Se você administra seu próprio servidor, se assegure que corra uma versão estável e segura do software; ou se usa o serviço de um provedor, se assegure de que tome estas precauções. Pode ser que seu site esteja em um servidor compartilhado e se outro site no mesmo servidor comprometido sua segurança de algum modo, o seu pode estar em risco. Por isso se informe com o provedor sobre as precauções que estão sendo tomadas. Se quiser ter um ambiente absolutamente seguro, o melhor é usar um servidor muito bem configurado; e se não for possível, é importante investir um pouco de dinheiro em um provedor que se encarregue de tomar medidas básicas de segurança. Também é boa ideia rever as críticas de seus usuários na internet em relação a como gerenciam as questões de segurança.

– O administrador

O problema maior de segurança que tem havido, é, e sempre será o usuário final. Sem importar as medidas técnicas de segurança implementadas, o risco sempre pode estar presente quando se tem péssimos costumes, como deixar uma sessão aberta ou copiar a senha em um bloco de notas que pode ser aberto por um Trojan; inclusive se não tiver sorte, poderá ser vítima de phishing. O melhor lugar para guardar a senha é sua cabeça, ou se for muito complexa para lembrar, usar um gestor de senhas como 1password o LastPass

No Comments