Wordpress é seguro? Como melhorar a sua segurança?

É bastante provável que se você desembarcou nesse post, exista algum nível de preocupação com a segurança do seu site baseado no WordPress, certo?

Muito se fala sobre esse fator tão importante e em especial quando se faz uso da plataforma mais popular para desenvolvimento e administração de websites no mundo, mas a partir de hoje você ficará a par de tudo o que é essencial saber sobre o assunto e tornar seu site muito mais seguro.

O Wordpress é seguro?

Essa é a pergunta mais feita por quem usa o Wordpress ou quem pretende usá-lo.

A principal razão dessa preocupação tem a ver com o fato de que boa parte das invasões de sites, ocorrem em sites que são baseados nesse CMS.

Naturalmente se levarmos em consideração que de cada cinco sites criados sob a plataforma de algum CMS, três usam o Wordpress, e que independente da plataforma usada, ele é a base de mais de 40% dos websites existentes, é de se esperar que o número de ocorrências seja o mais elevado entre todas as alternativas possíveis.

Afinal, sob a ótica de quem explora alguma vulnerabilidade conhecida, ao buscar sites que a contenham, as chances de encontrar uma grande quantidade de vítimas em potencial, é bem maior.

O mesmo raciocínio faz do Windows o sistema operacional mais visado e para o qual mais malwares são desenvolvidos.

Mas o problema não é exclusividade do Wordpress, já que todos os CMSs têm problemas de segurança.

Na verdade, praticamente é impossível apontar um sistema ou aplicação que seja livre de falhas de segurança.

Por conceito, algo só é seguro até o momento em que alguém descubra alguma brecha que possa ser utilizada. E aqui novamente o Windows, serve como exemplo, já que tradicionalmente na segunda terça-feira de cada mês, um pacote de atualizações é liberado pela Microsoft, geralmente contendo uma ou mais correções relacionadas com falhas de segurança.

É um jogo de gato e rato, onde se disputa quem é mais rápido na descoberta dos problemas ou na resolução deles.

Mas se por um lado a grande quantidade de possíveis alvos, constitui um importante atrativo para os hackers (na verdade crackers), por outro lado, um CMS tão popular e com um índice de adoção tão grande, conta com uma ampla comunidade de desenvolvedores, técnicos e especialistas em segurança, concentrados em resolver rapidamente os problemas mais comuns, tão logo sejam descobertos.

Além do fato de que as atualizações serem mais rápidas, ser open source (código aberto), contribui também.

Por que o WP tem problemas de segurança?

A questão da segurança sempre foi um aspecto decisivo no desenvolvimento de softwares e o WP – como também é chamado – nada mais é do que um software, porém instalado em um servidor web.

Grosso modo, há basicamente dois pontos em que se apoia a segurança de um sistema: a programação usada na aplicação e o usuário.

Por mais capaz, habilitada e cuidadosa que seja a equipe de desenvolvimento, alguns problemas são insolúveis por parte de quem cria, uma vez que há usuários leigos ou descuidados que podem colocar a perder mesmo as medidas mais rígidas para fortalecer a segurança de um sistema.

Um exemplo extremamente comum, é a questão de escolha de senhas, sabendo-se que é extremamente comum adotar-se senhas tão simples como 123456 ou password!

Invadir um site que use senhas tão simples assim, não exige nem mesmo que o invasor seja um cracker ou tenha amplo conhecimento técnico.

Portanto, parte das soluções para se ter sistemas seguros, passa por um trabalho de informação do usuário quanto a procedimentos adequados, sem o que, sempre haverá riscos quanto à segurança do sistema ou aplicação usados.

Especificamente em termos do Wordpress e da sua programação, existe uma grande preocupação para eliminar as falhas no código, que possam permitir um site ser invadido e alterado.

Além equipe responsável pela segurança do WP, há parcerias com empresas do segmento e hostings, fazendo com que regularmente sejam criadas e disponibilizadas atualizações que têm como objetivo mais do que simplesmente melhorar e ampliar os recursos do CMS, mas acima de tudo, corrigir problemas de segurança que forem identificados desde a atualização anterior.

Mas só isso não é suficiente, porque há um outro fator de grande relevância, que são os temas e plugins do Wordpress.

Embora existam muitos que são desenvolvidos pela Wordpress.org e, portanto, seguem as mesmas preocupações existentes em relação ao núcleo da aplicação, em tese, qualquer pessoa com conhecimentos necessários, pode criar e disponibilizar um tema ou plugin para o Wordpress.

Assim, quando você instala um tema ou plugin, esse componente pode não ter sido necessariamente desenvolvido com os cuidados esperados e com o compromisso de ser seguro.

Nesses casos, em parte a responsabilidade recai sobre o administrador do site, o qual não se certificou da segurança do plugin e por isso acabou por vulnerabilizar seu próprio site.

Por que um site é invadido?

Antes de prosseguirmos, é importante esclarecer um ponto que normalmente é tratado incorretamente.

É comum que as pessoas digam que “um hacker invadiu o meu site”, sendo que o correto seria que “um cracker invadiu o meu site”.

Qual a diferença?

Os hackers são pessoas que geralmente têm conhecimentos avançados em tecnologia, com ênfase em programação e sistemas e que os analisam para descobrir entre outras coisas, problemas de segurança. O cracker também tem o mesmo conhecimento, porém ele o utiliza para benefício próprio ou para fins questionáveis.

Dito isso, um cracker não precisa ter uma razão específica para invadir um site.

Algumas vezes, seu objetivo é apenas vandalismo virtual. Simplesmente conseguir deixar milhares de sites offline, é motivo de conquista de status na comunidade ou simplesmente de satisfação pessoal.

Nesses casos, geralmente o site pode ser apagado ou alterado e uma página com informações do autor do ataque é publicada em seu lugar, ação que recebe o nome de defacement ou desfiguração, em português.

Outras vezes, o cracker invade sites para obtenção de vantagens específicas, como por exemplo, envio de mensagens de phishing ou criação de um site falso para colher dados de usuários, ou instalação de scripts para realizar ataques DDoS, ou ainda uma prática que vem crescendo recentemente, em que o poder de processamento de vários sites invadidos é usado para minerar criptomoedas.

Em outras palavras, um site só é invadido porque ele oferece algum benefício ao invasor e porque ele tem alguma falha que pode ser explorada.

18 dicas para melhorar a segurança do Wordpress

Não há pesquisas ou levantamentos precisos sobre ataques a websites baseados no WP, no entanto, algumas estimativas baseadas em dados recentes, apontam para cerca três milhões de ataques acontecendo por hora! É um número assombroso de mais de 70 milhões de ataques por dia!

Sendo assim, supor que se o seu site nunca foi invadido, significa que ele é seguro, é um erro. Possivelmente ele apenas não foi descoberto ainda.

Portanto, é importante tratar tanto quanto possível de se aplicar alguns princípios de segurança e medidas razoavelmente simples e acessíveis, para que seu site não passe a integrar as estatísticas.

1. Backup

A primeira precaução básica e fundamental, é manter sempre backups periódicos e recentes do site. Note que essa não é uma medida que melhora a segurança do CMS, mas é essencial para restaurar caso o pior aconteça e o site tenha sido invadido, especialmente nos casos de defacement, mas também para facilitar a recuperação do site em diversos cenários de invasão.

Tenha em mente que mesmo adotando uma série de medidas de segurança, não garante que seu site esteja seguro e se o pior acontecer, você deve ser capaz de restituir o conteúdo original, principalmente se ele for extenso.

É importante que você não armazene apenas esses backups em sua conta de hospedagem, pois se o conteúdo da conta for apagado, há a possibilidade de que o backup também seja. Ter duas ou mais cópias, armazenadas em diferentes locais, é o mais indicado.

2. Dados de login

Um conhecido problema de segurança com o WP, pode ocorrer quando o administrador não altera o usuário padrão, o qual o WordPress estabelece automaticamente como Admin.

Sabendo disso e que poucos alteram o usuário, resta ao cracker apenas tentar descobrir a senha.

Há alguns meios de se realizar a alteração, porém o caminho mais simples é por meio do tutorial “Como mudar o usuário admin do WordPress”.

Note que isso pode ser ainda mais simples, bastando informar um novo nome durante o processo de instalação, para um site novo.

Recomenda-se que o novo nome de usuário seja longo (12 ou mais caracteres) e não faça uso de palavras de dicionário.

3. Alteração de padrões

O Wordpress – tal como qualquer software – utiliza com padrões nas instalações, os quais bem conhecidos pelos crackers e assim, mudar alguns deles é uma estratégia que ajuda a proteger seu site.

Uma ação nesse sentido, é alterar o URL de login do seu site, o que é facilmente alterável usando um plugin, como o WPS Hide Login. Sem saber qual a URL que dá acesso a área administrativa, é improvável que ele consiga acessá-la.

Outro plugin que faz trabalho semelhante, é o Rename Wp-admin Login, o qual permite alterar as URLs que terminam em /wp-login.php e /wp-admin e são padrão, fazendo com que ataques a essas URLs, seja ineficientes.

4. Senhas

Como já mencionamos anteriormente, a escolha de senhas muito simples é um problema frequente tanto no Wordpress, como em outras aplicações e serviços.

A quantidade de invasões por adoção de senhas fracas, representa um número considerável dos casos de invasão e, portanto, é fundamental escolher uma senha segura;

5. Atualização do Wordpress

A equipe e a comunidade que mantém o CMS, trabalham constantemente na identificação e correção de falhas de segurança que identificadas no núcleo da aplicação. Não atualizar com frequência o WordPress, significa ter mais vulnerabilidades conhecidas no site e aumenta a probabilidade de invasão.

Portanto, manter sempre a versão mais recente, ajuda na medida que brechas de segurança antigas não podem mais ser exploradas.

Lembre-se de sempre promover o backup do WP, antes de instalar uma atualização, pois se algo der errado, o site pode ser restaurado à condição anterior.

6. Atualização de plugins e tema

Da mesma forma que é essencial manter o núcleo da aplicação atualizado, o mesmo procedimento precisa ser feito em relação aos plugins e tema, lembrando primeiro que os que são fornecidos pelo wordpress.org, seguem a mesma filosofia de manutenção da segurança que é adotada no núcleo da aplicação.

Se optar por temas e plugins de terceiros, pesquise sobre com que frequência são disponibilizadas as atualizações e se são compatíveis com a versão mais recente do Wordpress.

7. Procedência dos componentes

A economia pode ser seu pior inimigo. É razoavelmente comum encontrar sites que oferecem gratuitamente temas e plugins que são originalmente pagos.

Jamais ceda à tentação e não instale componentes nessas condições. Na quase totalidade das vezes, eles contém vulnerabilidades propositalmente incluídas para facilitar a invasão de um site que os utilize.

Saiba que não há “almoço de graça”. Se alguém se deu ao trabalho de “hackear” um tema ou plugin e o disponibiliza de graça, é alta a probabilidade que o preço pago seja na forma de um conteúdo malicioso.

8. Proteção extra ao WP-LOGIN

Há medidas manuais e simples, mas que podem reforçar bastante a segurança de uma instalação do Wordpress, como por exemplo, proteger o wp-login.php com uma senha usando o .htaccess e assim ataques de brute force, em que um sistema tenta sucessivas combinações de usuário e senhas, tornam-se ineficazes, uma vez que para acessar o wp-login, será necessário primeiramente fornecer uma outra senha, o que um sistema de invasão automatizado, normalmente não é capaz de detectar.

9. Proteger o WP-CONFIG

Por razões semelhantes ao item anterior, recomenda-se que se proteja o arquivo wp-config.php, também via .htaccess.

Tanto essa modificação, quanto a anterior exigem conhecimento técnico por parte do administrador, no entanto, serviços de hospedagens de site que utilizam o cPanel, oferecem o recurso por meio de proteção do diretório com senha.

Em caso de dúvida, consulte o suporte do seu hosting.

10. Mova o WP-CONTENT

Uma outra medida que somada a anterior pode incrementar significativamente a segurança do seu blog, é mover / alterar a pasta wp-content. Essa medida é particularmente útil, porque todos os plugins ficam localizados nessa pasta e se o invasor não consegue localizá-la, ele não conseguirá explorar seu conteúdo.

Mas cuidado ao realizar esta alteração, sendo altamente recomendável antes efetuar um backup completo.

11. Use o SSL

Instale um SSL no seu site. Ao fazer isso, as informações que são trocadas entre o site / servidor e o usuário que está efetuando login, são criptografadas e com isso se impede que se os dados forem interceptados, possam ser lidos e consequentemente usuário e senha sejam facilmente conhecidos.

12. Plugins de segurança

Há muitos plugins que reforçam aspectos de segurança, como por exemplo, o Sucuri e o Wordfence.

Em nosso blog, temos um post especialmente dedicado aos plugins de segurança do WP, sendo recomendável a sua leitura.

Saiba que há vários outros plugins, cada qual com características próprias, portanto é importante pesquisar quais aspectos cada qual privilegia antes de optar por cada um. Também é importante ter em mente que nenhum plugin corrige determinados problemas, como por exemplo, um outro plugin desatualizado ou vulnerável e sendo assim, primeiramente é crucial proceder com a correção da falha existente, antes da prosseguir com a instalação do plugin de segurança.

13. Desabilite o XML-RPC

A maior parte dos usuários não utiliza essa opção, a qual é usada por alguns raros plugins e que basicamente permite que dados sejam transmitidos, usando o HTTP para transporte dos dados e XML como mecanismo de codificação e que na prática consiste por exemplo, de atualizar o seu site usando o smartphone.

Uma maneira simples de se fazer isso, é alterando a permissão do arquivo xmlrpc.php para 000, via acesso SSH, por um cliente de FTP ou até mesmo pelo gerenciador de arquivos do seu hosting.

14. Tentativas de login

Limite a quantidade de tentativas de login, o que garante que os usuários, por exemplo, tenham apenas três tentativas antes que a conta seja temporariamente suspensa.

Essa medida evita pelo menos os ataques típicos de força bruta. Um exemplo de plugin que realiza esta tarefa, é o WP Limit Login Attempts.

15. Desative os comentários

Se você não precisa necessariamente de comentários em suas postagens, é indicado desativá-los.

Com isso, você não está apenas garantindo que seu blog não se torne uma vítima ou seja usado para disseminação de SPAM, mas também evitando um tipo de ataque em que se sobrecarregue o banco de dados através de um flood. Essa é uma opção disponível diretamente na área administrativa do site.

Apesar dos comentários no sistema nativo do WP serem editáveis, o processo de moderação pode tomar muito tempo do responsável. Se for importante ter os comentários ativos, recomenda-se instalar um plugin apropriado e que ofereça um controle maior, liberando apenas os comentários que forem legítimos e pertinentes.

16. Mantenha-se informado

Justamente pela enorme popularidade, há muitos sites, fóruns, como o próprio fórum do Wordpress e o Exploit Database, que trazem informações relativas a problemas de segurança conhecidos no Wordpress, em temas e plugins.

Particularmente no caso dos temas e plugins, se houver uma falha a qual ainda não existe correção, não hesite!Desinstale o componente com problema, até que a correção esteja disponível.

17. Conteúdo desnecessário

Não apenas desabilite temas e plugins que eventualmente não estejam sendo usados, mas promova também a remoção de todo conteúdo que não estiver em uso no site, pois mesmo que não estejam ativos, os itens desabilitados algumas vezes podem ser acessados via URL e se contiverem vulnerabilidades, elas eventualmente poderão ser exploradas.

Remova-os quando for o caso, já que reinstalá-los é um procedimento simples, caso no futuro sejam necessários.

18. Autenticação

https://www.hostmidia.com.br/blog/autenticacao-de-dois-fatores-wordpress/

A Autenticação Multi Fator ou apenas MFA (Multi-Factor Authentication), é um importante aliado no trabalho de fortalecer seu site, pois requer um segundo fator de autenticação para acesso à áreas sensíveis do site, como a área administrativa.

Temos um post exclusivamente destinado a apresentar algumas alternativas de plugins de autenticação de dois fatores (2FA) para WordPress.

Conclusão

O Wordpress é o CMS mais usado no mundo, correspondendo a mais do que a soma de todos os demais CMSs juntos. Isso representa um risco na medida em que existem um grande número de possíveis alvos em termos de segurança, mas ao mesmo tempo significa que há um grande contingente de pessoas trabalhando para fortalecer a aplicação. Um desses elos na cadeia de segurança, é você, por meio da adoção de algumas dicas simples e acessíveis.

Artigos relacionados

Tipos de Site
Tipos de site que ameaçam a segurança e você deve evitar
Segurança
O que é um hacker? Quais mitos e verdades sobre o assunto?
Segurança
O que é Spoofing e como se proteger?

Comentários ({{totalComentarios}})