Guia de Segurança em WordPress (II)

Este artigo é o segundo de uma série que será publicada aqui, em WWWhatsnew, escrito pela Equipe de The Shock family: iconshockwpthemegenerator e jqueryslidershock, responsáveis também por bypeople.com.

Pode ver o primeiro artigo aqui.

wordpress

Estas são algumas medidas básicas de segurança para serem aplicadas diretamente em WordPress para reforçar a segurança do site:

O truque do diretório

A primeira medida de segurança pode ser implementada no momento da instalação de WordPress, para que os arquivos possam estar um pouco mais seguros, a instalação pode ser feita em uma subpasta com um nome bastante particular; esta subpasta não será vista na barra de navegação, o que lhe dará um pouco mais de segurança; o arquivo index deve ser movido à raiz do site, e o acesso ao site será: www.tudominio.com/tudirectorio/wp-admin ; a configuração do endereço se faz na opção de ajustes gerais, onde se deve colocar como o endereço de WordPress (URL) o endereço da pasta onde donde foi instalado WordPress e no endereço do site, aquele onde foi posto o arquivo index. Isso é conhecido como o truque do diretório.

Atualizar sua versão de WordPress

Pode ser um pouco difícil se decidir a atualizar à última versão de WordPress porque temos medo de perder alguma informação, os plugins, assim como os temas, podem deixar de funcionar, entre outras coisas; embora é certo que as coisas possam dar errado, porém, nunca será tão ruim como ter uma cópia vulnerável do software, pois com cada nova versão sempre vêm atualizações importantes se não críticas na segurança.

Atualizar seu WordPress sempre que puder

Os vídeos no YouTube que ensinam como atualizar à última versão de WordPress são muito úteis, sem dúvida a atualização manual só comprende 3 passos bastante simples:

– Fazer um backup da base de dados e arquivos, há muitos plugins que podem lhe ajudar.
– Baixar e descompactar a última versão de WordPress no disco rígido.
– Substituir todos os arquivos, exceto aqueles na pasta de temas, já que ali se encontra a personalização feita na instalação.

Cada vez que uma atualização de wordpress é lançada, as falhas das versões anteriores se tornam pública. WordPress pode ter vulnerabilidades como resultado de como está escrito o código que permite a um invasor omitir certos parâmetros HTTPS, URI, ou forms, tentando assim entrar no site. Revise o site periodicamente para se assegurar que tudo está como deveria. Atualize seus plugins e temas se for possível. Inclusive, se a instalação estiver em modo piloto automático e também revise os comentários de segurança sobre os plugins que tiver instalado.

Não mostre sua versão de WordPress

A versão de WordPress que está usando não deve ficar visível pelas mesmas razões explicadas anteriormente; mostrar a versão específica de wordpress que estiver usando pode ajudar o invasor a encontrar uma forma de entrar.

Alguns conselhos dos experts

Através de toda a rede e em sites de discussão como reddit, onde encontramos esta conversa, há administradores discutindo sobre o preocupante aumento de ataques a sites pequenos vindo de proxis de todas as partes do mundo, inclusive a sites criados com a intenção de permanecer ocultos.

É uma debate digno de ser visto de forma completa; temos tentado coletar alguns conselhos mais valiosos, a maioria pode ser aplicada por qualquer usuário, que tenha um conhecimento mínimo de WordPress, embora não entraremos em detalhes técnicos para explicá-los mais adiante.

– Não usar plugins em WordPress, a menos que saiba o que fazem. A maioria dos plugins são editores de .htaccess e se não estiver muito certo do que faz, melhor evitá-lo ou pesquisar primeiro.
– Proteger com senha o diretório wp-admin con .htaccess; se tiver um bom firewall, 5 tentativas serão suficientes para bloquear o endereço IP do atacante.
– Gerar chaves com SAL para dificultar um possível ataque.
– Reforçar chaves com mais de 20 caracteres para o administrador e todos os usuários sem desculpas.
– Remover plugins inúteis; se não houver necessidade e não fizerem mais que reforçar maus hábitos, deve ser feita, regularmente, uma revisão nos plugins.
– Proibir instalação de temas e plugins usando (‘DISALLOW_FILE_MODS’,true)
– As permissões no arquivo wp-config.php deveriam ser 0644 ou para os paranoicos: 0444.
– Conseguir um .htaccess a prova de balas. (O de HTML5 boilerplate funciona muito bem.) Revisar as permissões deste arquivo para que sejam 0644 ou 0444
– Instalar ConfigServer exploit Scanner, em geral todos os produtos de ConfigServer são excelentes e muito recomendados.
– As brechas Na segurança de WordPress quase sempre ocorrem por culpa de plugins; especialmente SEO, plugins Sociais, e de cache porque necessitam permissões de gravação no servidor; por isso deve ser bem revisada a origem destes.