Central de Ajuda

Atendimento em horário comercial via chat

Segurança no WordPress: como proteger o seu site?

Primeiramente, o que é segurança?

 

O princípio da segurança não é apenas possuir sistemas perfeitamente seguros, mas sim implementar um processo contínuo de melhorias, pois sistemas 100% seguros são bem improváveis de serem encontrados. Um servidor seguro é aquele que protege a privacidade, a integridade e a disponibilidade dos recursos que estão sob o controle de seu administrador.

Mas por que falar de segurança no Wordpress? Como sabemos, o Wordpress é um dos sistemas de gerenciamento de conteúdo mais populares do mundo. O CMS está instalado em 34% dos websites que existem hoje na internet.

O WordPress é conhecido por sua usabilidade e facilidade de acesso e, no entanto, a popularidade tem seu preço, tornando ele um alvo atraente para pessoas mal-intencionadas. De acordo com o relatório da Sucuri, uma companhia especializada em segurança da web (https://blog.sucuri.net/portugues/2016/05/relatorio-de-sites-hackeados-da-sucuri-2016q1.html), o WordPress é também o CMS mais hackeado do mundo.

Você deve estar se perguntando agora se o WordPress é seguro. Geralmente o CMS fica malvisto por estar propenso a vulnerabilidades, porém a maioria destas vulnerabilidades se deve ao fato de usuários continuarem seguindo as piores práticas de segurança comprovadas pelo setor, como, por exemplo, software WordPress desatualizado, plugins ultrapassados, má administração do sistema, péssimo gerenciamento de credenciais, entre outros.

Vale ressaltar que a segurança do WordPress é sobre redução de riscos, não eliminação de riscos. Como sempre haverá riscos, segurança continuará sendo um processo contínuo, exigindo uma avaliação frequente. Então trata-se de empregar todos os controles apropriados disponíveis a você, que lhe permitem melhorar sua postura geral, reduzindo as chances de se tornar um alvo e subsequentemente, ser hackeado. 

Este tutorial destina-se a informar aos administradores do WordPress a respeito das técnicas básicas de segurança e das etapas acionáveis ​​que ajudarão a proteger seu site, reduzindo o risco de comprometimento.

1. Mantenha plugins e temas atualizados!

 

Os plug-ins e os temas podem ficar obsoletos, e com isto incluir bugs e vulnerabilidades que representam sérios riscos à segurança do seu site WordPress. Por isto o ideal é verificar regularmente se os plugins e temas estão atualizados. Para isso, é importante revisar alguns indicadores como, por exemplo:

  • o plugin ou o tema possui bastantes usuários utilizando-o?
  • existem muitas análises de usuários a respeito do plugin e a nota de avaliação dele é alta?
  • os desenvolvedores estão apoiando ativamente seu plugin e enviando atualizações frequentes ou patches de segurança?
  • o plugin troca de proprietário frequentemente?

Além de verificar se estão atualizados, outro aspecto muito importante é remover plugins e temas não utilizados, pois quando se trata de plugins não utilizados, menos é mais. O armazenamento de plugins indesejados na instalação do WordPress aumenta a chance de comprometimento, mesmo que eles estejam desativados e não sejam usados ​​ativamente na instalação. A limpeza também evita que você esqueça de atualizar aquele plugin esquecido, que você não utiliza há muito tempo. Resumindo: não está usando esse plugin do WordPress? Remova-o da sua instalação.

2. Mantenha o seu WordPress atualizado!

 

Quando uma nova atualização estiver disponível, você será notificado no menu Painel > AtualizaçõesSempre verifique quais foram as atualizações da nova versão do WordPress, se a versão está estável (fóruns podem ajudar nisso) e, após esta verificação, o ideal é fazer a atualização do WordPress. Se você não puder atualizar seu site por qualquer motivo, como, por exemplo, incompatibilidade de algum plugin ou tema, é interessante que você atualize seu site para que ele possa rodar na última versão. Embora pareça uma dica clichê, somente 22% dos WordPress instalados utilizam a última versão disponível.

3. Faça backup de seu site regularmente.

 

Não importa o quão seguro o seu site é, mesmo com muito esforço dos proprietários para fortalecer a segurança, sempre há margem para melhorias, já que mesmo os sites mais seguros sofrem ataques diariamente. No final das contas, manter um backup longe de seu servidor original talvez seja o melhor antídoto, não importa o que aconteça.

Na Umbler temos a opção dos Snapshots/Pontos de restauração, podendo restaurar seu site e banco com apenas um clique quando desejar. Mais informações nos nossos tutoriais de backup:

https://help.umbler.com/hc/pt-br/articles/209714023-Criando-o-backup-e-restaurando-um-site e https://help.umbler.com/hc/pt-br/articles/209714183-Criando-o-backup-e-restaurando-um-banco-de-dados

mceclip0.png

O ideal é que após o ponto de restauração ser concluído, seja efetuado o download do mesmo, assim você pode mantê-lo seguro em seu computador ou em algum outro local de sua preferência.

Os backups sempre vão ser seu porto seguro. Infelizmente sua validade somente é creditada quando se perde tudo.

4. Renomeie seu URL de login.

 

Aqui vai uma dica muito fácil de ser feita, mas que passa despercebida. Por padrão, a página de login do WordPress pode ser acessada facilmente em wp-login.php ou wp-admin, adicionado à URL principal do site. Exemplo: http://meusite.com/wp-admin

Quando os hackers conhecem a URL da sua página de login, eles podem tentar entrar na força bruta. Força bruta é uma atividade que envolve repetidas tentativas de utilizar várias combinações de senha para invadir qualquer sistema. Um ataque de força bruta é o método mais simples para obter acesso, tentando várias combinações de nomes de usuário e senhas repetidas vezes até conseguir. Trocando o nome da sua página de login, já dificulta o trabalho de pessoas mal-intencionadas em acessar seu site, pois eles terão de fazer um força bruta de diretórios para desvendar a página, que é basicamente a mesma ideia da força bruta de senhas, porém aqui o intuito é desvendar todos os arquivos e pastas que o seu sistema possui. É recomendável que o nome da sua página de admin seja um nome realmente complexo, pois já existem milhares de listas prontas para efetuar ataques por força bruta em diretórios, e você pode fazer o download de algumas e buscar colocar nomes que não estão presentes nas mesmas. Com uma rápida pesquisa no nosso amigo Google já se encontra diversas wordlists que tem como foco serem utilizadas para ataques força bruta.

5. Fuja de login e senhas comuns!

 

Se você utiliza admin como seu nome de usuário padrão no Wordpress, você está praticamente convidando pessoas mal-intencionadas para invadir o seu painel de controle com facilidade. É fortemente recomendado que altere o usuário admin para um outro nome ou crie uma nova conta de administrador com um nome diferente, deletando a conta anterior.

Senhas complexas executam um papel fundamental quando falamos de segurança na internet, e é muito mais difícil violar uma senha bem elaborada que consiste em números, maiúsculas e minúsculas e caracteres especiais. Algumas ferramentas como LastPass e 1Password podem ajudar a criar e gerenciar senhas mais complexas.

6. Escanear seu WordPress contra malware e falhas de segurança.

 

A maioria das invasões ocorrem devido a brechas na segurança do site. No wordpress as mais comuns são vulnerabilidades nos temas e nos plugins.

Para você ficar sempre atento às possíveis brechas do seu site, é fortemente recomendado utilizar o plugin WPSCAN e, também, a utilização do site da sucuri (https://sitecheck.sucuri.net). Estas duas ferramentas farão toda a diferença para a segurança do seu site.

O WPSCAN pode ser usado para verificar se existem brechas nos seus plugins e temas instalados, com o objetivo de corrigir o mais rápido possível, atualizando o plugin ou até removendo o mesmo para aderir a outro que não tenha falhas na segurança.

Já o sitecheck pode ser utilizado para verificar se o seu site tem alguma falha de segurança, além de conceder algumas dicas adicionais. Ele é capaz de verificar qual arquivo do seu site foi infectado, e também se é apenas alguma pasta infectada, mostrando o tipo de ataque que você sofreu, ou se já está listado em uma blacklist na web.

Abaixo alguns plugins que também podem ajudar.

  • O plugin WordFence se destaca entre todos. Oferece opções de scan manualmente e automaticamente junto com outras inúmeras configurações. Você também pode restaurar arquivos modificados/infectados com apenas alguns cliques. O WordFence é gratuito e de código aberto.
  • Outro plugin interessante é o Sucuri Security, pois ele tem várias funcionalidades, desde proteger o site de ataques DDOS, rastrear o site contra malware e, além disso, caso algo seja detectado ele notifica por e-mail.

7. Utilizar o .htaccess para aumentar a segurança.

 

  • Permitir acesso à área do administrador WordPress somente através de um IP específico:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xxx
allow from xx.xx.xx.xxx
</LIMIT>

mceclip1.png

Lembrando que você tem que colocar seu IP público para funcionar! Com este site é possível você saber o IP público que está utilizando: http://www.meuip.com.br/

  • Desabilitar a execução do PHP em pastas específicas:
<Files *.php>
deny from all
</Files>

Os hackers têm o costume de fazer upload de scripts backdoor nas pastas de uploads, e como padrão não deveria conter nenhum arquivo PHP, pois normalmente é utilizada apenas para upload de arquivos de mídia. rquivo PHP, pois normalmente é utilizada apenas para upload de arquivos de mídia. Sendo assim, você pode desabilitar a execução de PHP na pasta da maneira acima, podendo aplicar isto para outras pastas que não executam arquivos PHP.

  • Proteger arquivo wp-config.php:
<files wp-config.php>
order allow,deny
deny from all
</files>

Ou assim:

<Files "wp-config.php">
Require all denied
Require ip 1.1.1.1 (IP de acesso)
</Files>

O arquivo wp-config.php é o arquivo mais importante do WordPress por conter as principais configurações e os dados de acesso do banco de dados. Devido a isto é um arquivo muito visado por pessoas mal-intencionadas.

  • Proteger para que seu arquivo .htaccess não seja acessado:
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow, deny
deny from all
satisfy all
</files>

<FilesMatch "^.*\.([Hh][Tt][Aa])">
Require all denied
</FilesMatch>

No exemplo acima, nenhum arquivo que começar com .hta é acessado.

  • Prevenir pastas de include:
# Block Includes

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php \
– [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
</IfModule>

Includes são pastas que são muito utilizadas para adicionar arquivos maliciosos durante os ataques.

8. Proteja seu banco de dados - altere o prefixo da tabela de banco de dados do WordPress.

 

Se você utiliza o WordPress, está familiarizado com o prefixo wp-table que é utilizado pelo banco de dados. Recomendamos que você altere isso para algo único. Utilizando o prefixo padrão, facilita o trabalho de pessoas mal-intencionadas para utilizar a técnica de SQL injection. Se você já tem o site instalado com o prefixo padrão, você pode utilizar alguns plugins para facilitar a alteração como, por exemplo, WP-DBManager ou iThemes Security.

9. Plugins que podem ajudar na segurança do seu site.

 

Alguns já foram citados ao decorrer do tutorial, outros são bem interessantes e dependendo da sua aplicação você pode escolher os melhores para utilizar.

  1. Sucuri Security – Auditing, Malware Scanner and Security Hardening
  2. iThemes Security
  3. Wordfence Security
  4. Jetpack
  5. BulletProof Security
  6. Google Authenticator – Two Factor Authentication

10. E não se esqueça do seu amigo SSL!

 

Resumindo, SSL é um protocolo de segurança projetado para fornecer segurança nas comunicações entre visitantes e servidores da web. Na Umbler você pode habilitá-lo gratuitamente com a utilização do Let’s Encrypt.

mceclip2.png

Mais informações no link : https://help.umbler.com/hc/pt-br/articles/201677189-Utilizando-SSL-na-Umbler

Segurança é processo contínuo. Lembre-se que não basta fazer uma única vez, mas sim revisar constantemente para fins de melhorias. Estas dicas podem ser incrementadas com dezenas de outras, mas este é o mínimo necessário que você pode e deve executar.

11. Mod Security

 

Na Umbler também temos o mod security, é um módulo de segurança capaz de realizar filtragens em urls e identificar comportamentos estranhos, e bloqueá-los.

mceclip0.png

Infelizmente muitos clientes que tentam utilizar o mesmo, sofrem com alguns erros 403, pois o mesmo módulo acaba bloqueando requisições inofensivas em casos muito específicos. Estamos trabalhando para pensar em novas soluções a respeito!