WordPress: 10 Pontos de segurança para proteger seu site
Que o WordPress é um dos recursos mais utilizados para a construção de sites, páginas e blogs na internet, todos sabem. Muito disso se deu por conta da democratização do acesso, permitindo que mesmo usuários menos experientes em quaisquer conceitos de programação e Web Design pudessem desenvolver sozinhos seus próprios projetos. Porém, nem tanto é conhecido sobre as questões de segurança que o tangem, uma vez que usuários mais leigos tendem a negligenciar pontos simples durante o gerenciamento da plataforma, o que pode acarretar dezenas de brechas de segurança.
Desde anúncios indesejados inserido nas páginas, alteração de conteúdo e injeção de conteúdo malicioso direto no banco de dados (o que é a pior das hipóteses, comprometendo toda a estrutura da instalação do site), as formas como os problemas de segurança se apresentam são muitas, e algumas delas podem colocar todo o seu site em Cheque.
Por conta desses riscos, elaboramos este artigo e pedimos que fique conosco até o final para sanar o máximo possível de pontos que possam estar em aberto em seu site.
Sumário
- Por que proteger o WordPress?
- Hospedagem segura
- Segurança da instalação
- Plugins de segurança
- PC seguro
- O fator humano
- O problema da pirataria
- Versões desatualizadas
- Fechando as brechas
- Usando o WP Toolkit
- A importância dos Backups
- Conclusão
POR QUE EU DEVO PROTEGER MEU WORDPRESS?
Atualmente, grande parte da internet é composta por sites em WordPress, sendo a plataforma mais utilizada em todo o mundo. Inclusive, estima-se que cerca de 40% de toda a internet utilize o WP. Somado a isso, muitos negócios digitais são estabelecidos com base nessa plataforma CMS, fazendo com que a renda de muitas pessoas dependa completamente do desempenho do site, seja com exibição de anúncios, arrecadação de doações ou vendas, em caso de eCommerces.
Em uma internet com cada vez mais ameaças cibernéticas, as formas de um site ser infectado crescem a cada dia, obrigando desenvolvedores a atualizarem plugins, temas e o próprio WP com frequência, para fechar o máximo possível de brechas de seguranças conhecidas. Tudo para tentar manter o seu site um pouco mais seguro.
Tendo isso em mente, começa a ficar ainda mais clara a necessidade de proteger ao máximo o seu negócio digital das formas mais conhecidas de infecção. Portanto, proteger seu site pode proteger também a sua fonte de renda.
Importante, não é? Se você concorda, continue lendo e veja diversas técnicas para ajudar em seus níveis de segurança.
AS 10 DICAS PARA PROTEGER SEU SITE WORDPRESS
1- TENHA UM HOSPEDAGEM SEGURA E DE QUALIDADE
Como em todo site, tudo sempre começa na hospedagem, o serviço essencial que fornece todos os recursos necessários para que seu querido projeto se mantenha estável e entregue o conteúdo corretamente aos visitantes. Pode não parecer, mas a hospedagem também pode influenciar na segurança do seu site de algumas formas, como protegendo seu ambiente de malwares, por exemplo. Vamos aos principais pontos:
Malwares
Aqui na Kangaroo, contamos com o poderoso Imunify360, uma ferramenta que ativamente verifica todo o servidor em busca de conteúdo malicioso, restringindo o acesso (movendo o dado contaminado para quarentena) ou removendo toda vez que encontra algum arquivo ou código infectado, mantendo o servidor livre de problemas.
Acesso seguro
Outro ponto importante, relacionado à hospedagem, vai de seu próprio acesso ao servidor ou painel de controle. Se você utiliza um painel de controle, seja cPanel, Plesk ou qualquer outro, você certamente possui um usuário e senha para acessar o painel de sua hospedagem. Por esse motivo, é essencial contar com uma senha forte para proteger sua conta, priorize sempre utilizar letras maiúsculas e minúsculas, juntas a números e caracteres especiais, para uma palavra-chave que seja mais difícil de se decifrar.
Autenticação de dois fatores
Mais um fator legal de se verificar é se sua hospedagem permite configurar a autenticação de dois fatores para o acesso ao painel, que fará necessário utilizar um meio externo de validação, através do recebimento de uma sequência aleatória de números que será inserida durante o login para que se possa finalizar o acesso.
Normalmente, o processo é realizado via celular com a ajuda de um aplicativo, como o Google Authenticator, essa é uma ótima forma de elevar muito seus níveis de segurança da hospedagem.
Versão do PHP
Sendo a principal engrenagem de programação do WordPress, o PHP também é utilizado por milhares de outras aplicações, motivo pelo qual também é constantemente melhorado, otimizado e atualizado.
Conforme os meses e anos se passam, são descobertas novas brechas de segurança em versões mais antigas e, à medida que o tempo passa, o sistema passa a ser menos seguro, caso não seja atualizado para receber correções de segurança. Por esse motivo, tente sempre priorizar versões mais recentes de PHP.
Por esses e outros motivos, a Kangaroo se preocupa e age ativamente para maximizar os níveis de segurança da hospedagem, contando com diversos recursos de segurança, como o Imunify360, que verifica e varre automaticamente arquivos maliciosos da hospedagem, inclusive antes mesmo de ele ser enviado ao servidor.
Recomendamos dar uma olhada em nossos planos de hospedagem e revenda, para um ambiente de hospedagem mais seguro e confiável.
2- SEGURANÇA ATRAVÉS DA INSTALAÇÃO WORDPRESS
Passando da hospedagem, agora temos a instalação em si. Uma vez que nenhum sistema pode ser considerado perfeito em termos de segurança, mais cuidados serão necessários para diminuir ao mínimo a quantidade de problemas. Por isso, recomendamos ajustar os pontos a seguir:
Ajuste as permissões de arquivo wp-config
Uma ótima forma de auxiliar na segurança de seu site é protegendo o acesso ao arquivo wp-config.php. Ele é o arquivo que dita a configuração do seu site, armazenando chaves, configurações e a conexão com o banco de dados. Uma vez em posso dos acessos ao banco de dados, qualquer pessoa mal-intencionada poderia causar sérios problemas em seu site.
Algumas boas recomendações de permissões para arquivos seriam 640 ou 600, sendo necessário testar bem o que funciona melhor em seu WP. Se seu site não possui plugin que alterem o arquivo wp-config, pode ser melhor ainda usar uma opção mais restritiva, a permissão 444.
Proteja a pasta wp-content
A pasta é responsável por armazenar todos os arquivos de plugins, temas e itens enviados da sua instalação do WP. Por isso, é de suma importância assegurar que conteúdos sensíveis não sejam acessados por usuários desautorizados. Recomendamos realizar a criação de um arquivo .htaccess dentro de seu diretório wp-config, que evite o acesso a qualquer arquivo que não seja JavaScript (.js), Folha de estilo (.css) ou de Imagem. As linhas a serem inseridas no arquivo são:
Order Allow,Deny
Deny from all
<filesmatch “.(jpg|gif|png|js|css)$”=””>
Allow from all
Desative o editor de arquivos PHP
Essa função permite editar códigos PHP de outros temas e plugins da sua instalação de dentro do WP Admin. Isso significa que um usuário mal-intencionado sequer precisa acessar seu FTP, por exemplo, ele pode acessar direto em seu WordPress. Com isso, ele pode injetar diversos códigos maliciosos por todo o seu site de forma extremamente fácil e rápida, sem levantar qualquer suspeita. Para fechar essa brecha, você pode editar o seu arquivo wp-config.php inserindo a seguinte linha:
define( ‘DISALLOW_FILE_EDIT’, true );
3- UTILIZE PLUGINS DE SEGURANÇA NO WORDPRESS
Uma ótima dica para melhorar os níveis de segurança de seu site WP é utilizar plugins próprios para a segurança, pois eles trazem diversos recursos de checagem do ambiente e te dizem exatamente quais pontos devem ser trabalhados e corrigidos para que o nível de segurança se eleve.
Nem precisamos ir muito longe para encontrarmos ótimos plugins, muitos deles até gratuitos. Suas funções vão além da checagem de arquivos e códigos, mas proporcionam diversos outros recursos que vão desde a ocultar ou renomear o wp-admin até controle de Spam, enrijecimento de regras de Firewall e contenção, ajuste de permissões de arquivos e diversas outras funções que variam de um plugin para outro.
Como recomendações gratuitas, podemos citar:
WordFence
Precisamos começar com esse cara, com toda certeza. O WordFence é o queridinho quando se trata de proteção de WP, já que é o principal plugin para essa função, ativo em mais de 4 milhões e instalações, sendo também um dos mais completos entre as alternativas gratuitas.
Suas funções cobrem a configuração de Firewall, ativação de autenticação de duas etapas para login, scaneamento de toda a instalação, ajuste de parâmetros contra ataques de força bruta, monitoramento de logins em tempo real e diversas outras funções. Com toda certeza vale a pena conferir tudo que ele tem a oferecer.
Sucuri Security
Desenvolvido pela gigante do ramo da segurança, o Sucuri é uma ótima opção gratuita para o scan automático de arquivos, identificando automaticamente arquivos e códigos maliciosos, além de oferecer opções muito úteis de fortalecimento de segurança, como, por exemplo: bloquear o envio de arquivos PHP em diretórios chave, desativar editores de plugin e tema e ativação da atualização automática de chaves de segurança.
É simples, fácil de configurar e oferece recursos excelentes, de forma muito intuitiva de se ajustar e já garante ótimas funcionalidades, mesmo que muito básicas, para servir de auxílio nos seus mecanismos de proteção. De maneira geral, ele é ideal se você quer iniciar a proteção do WP, mas não sabe ou não quer se arriscar muito a fundo nas configurações.
WP Cerber
Com o perdão do trocadilho, temos um cachorro grande na lista. O WP Cerber também é uma opção, com uma vasta gama de configurações muito necessárias para serem implementadas. Dentre elas, podemos citar bloqueio de ataques de força bruta, alteração de link de acesso (substituindo o wp-admin), configurações para bloqueios de IP, ajustes e lista, desabilitar arquivos PHP na pasta uploads e muitas outras funções.
É um plugin um pouco mais completo e requer mais atenção e tempo, mas os benefícios de uma configuração correta aumentam e muito os níveis de segurança do seu ambiente, pois tudo o que se pode configurar é de suma importância. Vale muito a penas despender um tempo e ajustar o máximo possível de opções, pois o benefício é realmente muito alto.
Shield Security
A configuração do Shield pode ser um pouco complexa, por conta de sua interface mais densa, mas que talvez seja a opção mais completa da nossa breve lista. Ele conta com opções para lidar com recursos como: gerenciamento de scans, criação de configurações de Firewall, bloqueios de SPAM, configuração de autenticação de dois fatores, criação de senhas de uso único, configuração de regras de tráfego e diversas outras funções.
Com toda certeza é o plugin que mais levaria tempo para ser configurado, mas também é o mais completo. Suas funções são muito vastas e densas, tornando ele o mais poderoso que apresentamos aqui. Se você quer proteger seu site com o máximo de recursos de um plugin, essa é a melhor escolha.
4- INFECÇÃO POR PC DO USUÁRIO
Uma outra causa comum de infecção de sites parte do PC do próprio usuário. Isso costuma acontecer quando o computador não tem proteções o suficiente e é infectado de tal modo que possa contaminar também algum eventual arquivo que vá para a sua instalação WordPress e, a partir daí, corrompendo todo o site de dentro.
Para evitar esse tipo de cenário, é necessário que todo aquele que possuem algum nível de acesso à parte administrativa do WP tenha um bom antivírus instalado, para ajudar a evitar ao máximo a presença de malwares em arquivos que possam ser passados direto para a instalação e, claro, com um grande potencial de acabar com seu site.
Existem inúmeras ferramentas de antivírus, muitas delas até gratuitas, como Avast e AVG. Enquanto entre as pagas podemos citar também o Kaspersky e o Eset. Todos são ótimas formas de contenção de infecção, e são ótimos investimentos para dar uma camada extra de segurança ao seu site e de diversas outas formas, dadas todas as frentes em que um antivírus pode atuar.
Vale ressaltar que não só é importante ter um programa de segurança no PC, como também é necessário mantê-lo atualizado, pois as ameaças virtuais estão em constante evolução, sempre com novas formas de invasão. Manter o antivírus atualizado, ajuda a manter um banco de dados de conteúdos maliciosos sempre em dia, aumentando ainda mais os graus de proteção.
5- O FATOR HUMANO
Um fator não muito comum, mas que merece atenção é controlar quem tem acessos importantes ao seu site. Por exemplo, se você contratou um desenvolvedor para construir o site e não conta mais com suporte dele, considere remover a conta dele de sua instalação para evitar acessos indesejados. O mesmo pode se valer, ainda, para funcionários ou colaboradores antigos, que não tenham mais necessidade de acessar o site.
Mesmo que o acesso não seja feito diretamente por eles, os sistemas dessas pessoas podem ser comprometidos e, com o acesso ao site em mãos, qualquer indivíduo mal-intencionado poderia gerar inúmeros problemas, alterando conteúdo ou até mesmo roubando informações.
Portanto, certifique-se ao máximo de que usuários inativos/desligados do projeto não estejam presentes e que os que estiverem na ativa tenham sistemas protegidos por antivírus, como orientado no tópico anterior.
6- NÃO UTILIZE PLUGINS PIRATAS
Muitos (vários) dos casos de infecção de WP são causados por conta daqueles plugins e temas vendidos em pacotes super baratos, que chegam a custar, às vezes, 10% do valor original daquele item no site do desenvolvedor. Quando a esmola é demais, todo mundo desconfia, não é? Ou deveria, pelo menos. Muitas pessoas fazem a compra de pacotes que contém diversos itens diferentes por preços muito baixos, sem nem pensar o que podem estar perdendo com isso.
Comprar plugins e/ou temas em lugares que cobram tão pouco muito possivelmente será um problema, uma vez que certamente será um item com código modificado para burlar o sistema de verificação feito pelo desenvolvedor, ignorando a necessidade de uma licença para ativação do produto, é o que é comumente chamado de “nulled”.
Esse tipo de produto “nulled” abre a possibilidade de inserção de conteúdo malicioso dentro do código, como também pode ocorrer o caso de o item não ter suporte a atualizações, ficando desatualizado e abrindo novas portas para uma invasão/infecção por terceiros. Por esses e diversos outros motivos, prefira sempre utilizar itens originais ou de procedência autenticada.
Na Kangaroo, por exemplo, todas as licenças são originais, compradas diretamente no site do desenvolvedor e com direito a todas as atualizações, sendo disponibilizadas por conta dos planos contratados, que nos permitem ativação massiva em centenas de sites.
7- EVITE VERSÕES DESATUALIZADAS
Essa é uma das questões para a qual as pessoas pouco se atentam, vide o quão comum é vermos em nossos clientes instalações WordPress desatualizadas, plugins e temas defasados e ultrapassados, além de uso de versões menos seguras do PHP. O problema disso é que muitas das brechas de segurança presentes no WP são por conta do uso de recursos antigos, que não tiverem correções de segurança no código.
Esses recursos mais antigos tendem a ter sido mais estudados e explorados por usuários mal intencionados, o que torna a instalação potencialmente insegura, podendo ser alvo de ataques e invasões a qualquer momento. Por esse motivo, os desenvolvedores sempre se preocupam em liberar novas atualizações, que corrigem as falhas conhecidas e aumentam os níveis de segurança.
Claro, nem toda atualização é perfeita, podendo chegar com alguns bugs. Por isso, recomendamos não utilizar os métodos de atualização automáticas, para evitar conflitos e bugs. Tente optar por monitorar o lançamento das novas verões e atualizar em torno de uma semana depois, para garantir que é uma versão estável.
8- CONHEÇA AS BRECHAS MAIS COMUNS
Temos um pequeno compilado com algumas das mais comuns falhas de segurança e/ou vulnerabilidades conhecidas do WordPress na atualidade. Ao observar a lista a seguir, note que muitas delas são pontos que são tratados justamente pelos plugins de segurança que abordamos alguns tópicos atrás.
Por esses e outros motivos, recomendamos fortemente dar o máximo possível de atenção para uma completa configuração do seu plugin de segurança, para que o máximo possível de vulnerabilidades seja evitado, poupando tempo futuro e livrando de muitas dores de cabeça.
- Falta de proteção contra brute force, o que pode comprometer o acesso à administração do site;
- Link padrão do WP Admin, que pode facilitar bastante que visitantes indesejados tentem acessar a sua conta;
- Uso de login/senhas muito fáceis de se adivinhar, sendo a mais banal das causas, já que é fácil de resolver, mas que pode causar danos imensuráveis;
- O uso de prefixo padrão (wp_) no banco dados é um fator que pode facilitar a injeção de MySQL, uma das mais preocupantes formas de invasão atualmente;
- A falta de um plugin de segurança, como um dos que listamos anteriormente pode comprometer muito o seu site;
- A falta de proteção eficiente contra bots pode causar diversos problemas com SPAM, uso excessivo de recursos, por exemplo;
- Fazer uso de autenticação de dois fatores (2FA), como o Google é uma ótima forma de controlar bastante quem consegue fazer acessos à administração, barrando muitos acessos indesejados;
- Ocultar a versão de seu WordPress pode te ajudar a não ser atacado tão facilmente. Uma vez conhecida a versão do site, invasores podem usar técnicas de ataque específicas, de acordo com as vulnerabilidades conhecidas daquela versão;
- Priorize métodos seguros de conexão (SSL/SFTP), pois eles ajudam a criptografar todas as informações trocadas entre você e o servidor, ajudando a evitar que terceiros possam interceptar esses dados;
- Desativar os relatórios de erros do WP pode te ajudar a não dar aos invasores informações valiosas acerca de plugins, diretórios, permissões e bancos de dados, o que seria um prato cheio para um eventual ataque;
- A configuração de cabeçalhos pode te ajudar a restringir ações indesejadas durante a navegação, e é um assunto tão vasto que abordaremos em um artigo específico sobre o tema;
- Bloqueie arquivos PHP na pasta Uploads para evitar que códigos infectados sejam criados e atinjam o seu site. Uma vez que a pasta uploads normalmente armazena imagens, PDFs, músicas e vídeos, não há qualquer necessidade de permitir arquivos PHP nela;
- Bloquear acesso de outros países ao admin também pode ser uma ótima ideia, se você sabe que todos os acessos de seus administradores virão do Brasil, o que pode frustrar muitos ataques, já que a maioria vem de fora do país.
9- TENHA SEGURNÇA EXTRA COM WP ToolKit
Essa é uma excelente ferramenta presente no cPanel, que permite gerenciar suas instalações do WordPress. Com ela, muitas configurações podem ser feitas direto de seu painel, sem a necessidade de entrar no painel administrativo do WP em si. Isso ajuda de inúmeras formas, além de ajudar a ganhar muito tempo, principalmente em situações inesperadas, no caso de você ficar temporariamente sem acesso ao WP, por exemplo.
Dentre as funções, estão o gerenciamento de plugins, temas, recursos de backup e restauração e, claro, oferece diversas assistências para a configuração de parâmetros de segurança, como: proteção de senhas, ajustes de permissões, proteção de hotlink e diversos outros recursos que podem servir como camada extra de proteção; afinal, proteção nunca é demais.
10- FAÇA BACKUPS REGULARMENTE
Manter uma rotina regular de backups é essencial por muitos motivos. Comumente, a principal aplicação dos backups é ter uma maior segurança, no sentido de ser uma medida de contingência para o caso de algo inesperado ocorrer na instalação, desde a um plugin sendo corrompido por conta de uma atualização até ao caso extremo de algum arquivo importante ser acidentalmente apagado, por exemplo. Mas suas utilidades não se restringem a isso.
No caso da questão de segurança, a principal utilidade dele seria ajudar a reverter uma eventual infecção do seu site, permitindo restaurar a instalação a um ponto seguro, livre da vulnerabilidade e te dando tempo para corrigir a brecha antes que ela seja explorada novamente.
Usualmente, backups podem ser feitos de diversas formas, seja por plugins dentro do WordPress, através da hospedagem ou de forma mais manual (salvando os arquivos e banco de dados e fazendo o download). Existem também outras ferramentas que auxiliam nisso de forma mais simples e intuitiva, como é o caso do JetBackup, uma ferramenta utilizada para gerar backups no cPanel.
O JetBackup
Na Kangaroo, nossos planos contam com backups diários através do JetBackup, que permite restaurar até mesmo partes de sua conta cPanel, em vez do todo, como arquivos em específico, e-mails, bancos de dados e entradas DNS, por exemplo. Dessa forma, é possível ter um controle mais pontual do que precisa ser restaurado e fazê-lo de forma muito mais simplificada e segura.
CONCLUSÃO
Com todos esses pontos expostos, agora você pode entender melhor os motivos pelos quais deve proteger e resguardar o seu site WP. É muito importante entender os riscos de permitir a existência de brechas em sua instalação e partir para a ação, tomando o máximo possível de ações que listamos aqui, para evitar ao máximo qualquer problema. Claro que vale ainda consultar outros materiais pela internet, pois a lista certamente seria bem maior se pudéssemos listar todos os recursos e meios de se proteger um WordPress, mas já podemos te ajudar com um ótimo pontapé inicial.
Tomando as devidas medidas, estamos confiantes que você terá um site mais protegido e confiável. Afinal, muitos negócios hoje em dia dependem totalmente da existência do WordPress, e preservar isso é preservar sua própria renda e evitar prejuízos. Portanto, ajude-nos a tornar a internet um lugar mais seguro, para você, seus clientes, e para nós.