O wordpress.org é hoje uma das plataformas de gerenciamento de conteúdo mais utilizadas no mundo: é responsável por quase 70% do mercado. Por esse motivo, é alvo de muitos ataques na web. Assim como temos que nos proteger de invasores no mundo off-line, temos que nos proteger no mundo online também. Então, como aumentar a segurança do seu site?

 

 

Em poucas palavras, o que é o wordpress.org?

 

 

O WordPress.org é uma plataforma de gerenciamento e publicação de conteúdo. É de fácil instalação (sua instalação pode ser feita em apenas 5 minutos) e utilização, distribuída como software livre (pela licença GPLv2) e desenvolvida utilizando a linguagem PHP e banco de dados MySQL.

Sua utilização cresce a cada dia devido à facilidade em sua utilização e configuração, além da quantidade de recursos e funcionalidades disponíveis. Também por isso, sua vulnerabilidade é muito explorada por usuários mal intencionados.

 

 

Vixi! E é possível aumentar a segurança do meu site?

 

 

Quando falamos em vulnerabilidade, já dá até um frio na barriga, não é mesmo? Mas não se assuste: é possível aumentar a segurança do seu site/blog fazendo apenas algumas alterações e tomando certos cuidados.

 
O ideal é que a segurança do nosso site seja pensada desde sua criação, para evitar que em alguns momentos o site saia do ar ou ofereça algum risco aos nossos visitantes. Mas se seu site já está no ar, também é importante cuidar dessas coisas! Às vezes temos a falsa ideia de que apenas sites famosos ou com muitas visualizações são invadidos: mero engano! Estando na web, todos estamos sujeitos a tentativas de invasão e invasões, então, nunca é cedo demais para se proteger!

 

 

E o que acontece com os sites invadidos?

 

 
Dos muitos casos encontrados na internet, vários vão da substituição dos arquivos principais do site por um conteúdo malicioso, até a criação de usuários indesejados (muitos usuários), perda de arquivos,  alteração de senha do administrador e muito mais.

 
Como dizem por aí “Prevenir é melhor do que remediar”, então, vamos às dicas para proteção, prevenção e garantia!

 

 

Prevenir é melhor do que remediar: Faça Backup!

 

 
Parece clichê, mas a realização de backup do site é fundamental para a prevenção de perda de dados e rápida recuperação caso ocorra qualquer problema.

 
A maioria dos servidores de hospedagem fazem o backup do nosso site com uma certa frequência, no entanto, caso você precise solicitar o backup para eles, você vai perder tempo (muitas vezes, eles demoram mais que 24 horas para voltar o backup) e dinheiro (esse serviço é cobrado à parte e, em algumas hospedagem custa em torno de R$ 30,00).

 
Se você mesmo fizer o backup do seu site, você já vai saber onde ele está e poderá reverter qualquer problema quase que instantaneamente.

 
No repositório de plugins do WordPress.ORG você pode encontrar vários que fazem esse serviço muito bem, e um dos que eu utilizo e recomendo é o BackWPup. Sua utilização é gratuita e permite o agendamento para backups automáticos e também o envio do backup para uma pasta do próprio servidor, FTP, email, dropbox, entre outros. Com ele, é feito tanto o backup dos arquivos quanto do banco de dados (podendo selecionar caso não queira o backup de alguma pasta).

 

 

Evite spam nos comentários

 

Uma forma de tirar o seu site do ar ou causar instabilidade no seu servidor é receber uma avalanche de comentários spam. Caso isso ocorra, torna-se difícil acessar tanto o site quanto o painel administrativo dele.

 
Para evitar isso é muito fácil: toda instalação do wordpress.org, desde a versão 2.0 (já estamos na versão 4.2) já vem com o plugin Askimet instalado. Basta ativá-lo e cadastrar-se no site para pegar a API KEY para utilização. A partir de ativado e configurado, ele já vai proteger seu site de comentários spam e trackbacks, e ainda permitirá que você visualize todos os comentários marcados como SPAM.

 
O Askimet tem um filtro de spam de links e trackbacks que combina informações recebidas de todos os blogs que utilizam o serviço. Sendo assim, ele utiliza essas informações para bloquear o recebimento de futuros comentários spams.

 

 

Protegendo várias brechas de segurança de uma vez

 

 

Como eu disse no início do artigo, tem várias coisinhas que podemos fazer para proteger nosso site. Algumas delas são:

  • Não utilizar o prefixo wp_ para as tabelas do banco de dados (wp_ é o prefixo padrão sugerido na instalação, dessa forma, fica fácil utilizar scripts com códigos mal intencionados para atingir as tabelas)
  • Não exibir a versão do wordpress utilizada (exibindo a versão utilizada, você facilita a vida das pessoas má intencionadas que exploraram as vulnerabilidades de determinadas versões)
  • Remover alguns arquivos ou alterar a permissão deles (alterando a permissão dos arquivos, evita-se que eles sejam acessados por determinados usuários e, até mesmo, que alguns arquivos sejam executados sem permissão)
  • Ter arquivos index.php em cada um dos diretórios (para que, caso algum diretório seja acessado diretamente, não tenha todos os seus arquivos listados)

 

Entre os itens informados na lista acima, muita gente deixa de fazer essas alterações por achar que precisa de conhecimentos técnicos para isso, no entanto, existem plugins que fazem uma varredura na sua instalação e apontam várias ações que você pode executar para deixar seu site mais seguro, inclusive, em suas configurações, é possível marcar algumas opções para que as alterações sejam feitas automaticamente. Um dos plugins com essas funcionalidades é o Acunetix WP Security.

 
Basta instalar o plugin e, no seu dashboard, já serão mostrados os status de cada item avaliado no seu site, o motivo de ser necessária alguma alteração e como alterar. Não é fantástico, mesmo? 🙂

 

 

Outras formas de proteger o seu site

 

 

Não use o usuário padrão admin

 
Muitas vezes, deixamos o usuário administrador com o login padrão “admin”. Essa é uma forma de “facilitar” ataques ao nosso site pois, sabendo qual o login do administrador, basta que descubram a senha e pronto! O site é invadido facilmente.

 

 

Utilize senhas fortes

 
Esse é um aviso padrão, mas que nunca é demais! Utilizar uma senha forte dificulta a descoberta da senha por usuários mal intencionados. O ideal é que, além de utilizar senhas fortes, nós utilizemos uma senha diferente em cada aplicação/ferramenta que utilizamos.<  Uma forma de gerar senhas fortes é utilizar algum gerador de senhas disponível na internet. Um que utilizo e recomendo é o Norton Identity Safe Password Generator. Nele você pode configurar a extensão da senha (tamanho), se vai incluir letras, números, maiúsculas, minúsculas, pontuação, etc.

 
Se você prefere gerar a própria senha, tente sempre mesclar letras, números, caracteres especiais, maiúsculas e minúsculas e, até mesmo, utilizar frases no lugar de palavras: quanto maior a extensão da sua senha, mais difícil de ser descoberta.

 
Para lembrar as senhas utilizadas vale tudo: desde anotar em algum canto até utilizar um programa de gerenciamento de usuários e senhas, que hoje existem disponíveis inclusive para celular.

 
Mas atenção: não é recomendado guardar as senhas em um arquivo no computador ou até mesmo marcar a opção “lembrar senha” do navegador!

 

Desinstale os plugins/temas não utilizados

 
Os plugins e temas podem facilitar a invasão em seu site, principalmente se não estiverem atualizados. Sendo assim, todo cuidado é pouco, então, desinstale todos os plugins e temas que você não utiliza para evitar qualquer problema.

 

 

Mantenha TUDO atualizado

 
Sempre que uma brecha de segurança é encontrada e os desenvolvedores são avisados, tanto o wordpress, quanto os temas e plugins geram atualizações de segurança. Dessa forma, manter tudo atualizado é também uma forma de se precaver das ameaças.

 
Atualize sempre que possível também as versões do PHP e MySQL.

 

 

Evite ataques de força bruta

 
Ataques de força bruta são realizados por robôs que tentam descobrir sua senha por meio do método “tentativa e erro”. Após descobrirem a senha, a utilizam para acessar o painel administrativo e fazem a festa: desde colocar códigos maliciosos, até fazer alterações.

 
Para evitar esse tipo de ataque, há vários plugins que limitam as tentativas de login inválidas. Um deles é o Login LockDown. Após configurado, é possível também acompanhar quantos logins foram bloqueados pelo plugin.

 

 

Avalie o seu site

 

É possível avaliar a atividade de malwares em um site utilizando um serviço online e gratuito chamado Sucuri SiteCheck. Basta informar a URL do seu site e o serviço faz uma varredura na URL e apresenta o resultado  na tela. Para fazer a varredura no site, o Sucuri SiteCheck utiliza os serviços de outras empresas de segurança, como Norton Safe Web, Google Safe Browsing, entre outros.

 

 

Avalie o seu tema

 

Há muitos temas que diminuem a segurança do seu site disponíveis no mercado. Alguns até já vem com links maliciosos. Existem alguns plugins, como o Theme Autenticity Checker (TAC) que faz uma varredura no seu tema e procura por arquivos com códigos maliciosos. Vale a pena rodar no seu site!

 

 

Conclusão

 

O wordpress.org é uma excelente plataforma e, ter que se proteger de ataques, não diminui os benefícios de sua utilização. A segurança do seu site depende muito da forma como você se previne, portanto,  estar sempre atento às atualizações e ferramentas que podem nos ajudar e zelar pelos pontos de alerta deste artigo evita que tenhamos que lidar com esse tipo de problema.

 

Por hoje, vou ficando por aqui! Se você gostou desse artigo e acha que ele pode ajudar mais gente, compartilhe com os seus amigos! E se você quiser  compartilhar suas experiências com a gente, deixa um comentário aqui que será um imenso prazer responder 🙂

 

Um beijo!