Se fala muito sobre as vulnerabilidade de segurança no WordPress. Os problemas de segurança nem sempre são problemas da Aplicação, mas maior parte vem da forma em que ele é utilizado. Não sou um perito em segurança mas nesse post vou listar algumas dicas básicas de segurança para o seu site WordPress.
1 – Tenha uma hospedagem decente, antes de subir seu site procure saber se a hospedagem realiza backup do seu site e de quanto em quanto tempo isso é feito. Se a hospedagem fornece SFTP ou SSL* é plus considerável para sites com bastante visitação.
2 – Não dependa 100% da hospedagem também realize backups temporários do seu site.
3 – Manter o wordpress sempre atualizado (incluindo plugins), cada atualização do wordpress sempre eles corrigem algumas brechas, então mantenha seu WordPress atualizado.
4 – Manter sua máquina limpa(óbvio). Invadir a maquina de um desenvolvedor WordPress pode gerar dor de cabeça para vários sites.
5 – Eliminar os plugins que não estão sendo utilizados, feche a maior parte de janelas possívies para invasão.
6 – Não exibir a versão do seu WordPress, muitos temas informam qual a versão do WordPress em uma tag meta no header.php (inspecione o código do seu site e procure essa meta no head). Cade versão do WordPress tem uma vulnerabilidade específica então isso pode ser uma atalho para o hacker
7 – Evitar de subir o site com o usuário admin. (Se o hacker sabe do seu usuário ele já tem meio caminho andado para invadir seu site)
8 – Nunca usar senhas fáceis, tente usar letras maiúsculas/minúsculas, caracteres especiais e números. (“admin”, “admin123”, “nomedosite123”, “adminadmin”… not!)
9 – Não usar mesma senha para admin do wordpress, o admin da hospedagem e o admin do banco de dados. “O camarada descobriu uma senha ferrou tudo brother!”
10 – Mudar o prefixo do banco de dados ”wp_” (essa opção você seleciona na instalação ou no wp-config)
11 – Nunca usar Permissões 777 para todos os arquivos, pode usar um esquema simples para permissões: 755 para pastas e 644 para arquivos
12 – Mudar o local do wp-config.php você pode mover o arquivo wp-config.php para o diretório logo acima da sua instalação do WordPress, ele será reconhecido automaticamente pelo WordPress. Mas cuidado o wp-config.php poderá ficar apenas UM nível acima da instalação do WordPress.
13 – Bloquear via .htaccess** o acesso ao wp-config.php com o seguinto código :
|
1
2
3
4
|
<files wp-config.php>
order allow,deny
deny from all
</files>
|
14 – Configurar os mecanismos de busca para não varrer as pastas de adminstração do wordpress com o robots.txt*** adicionando o código:
|
1
|
Disallow:/wp-*
|
15 – Desabilitar multiplas tentativas de Login com o plugin login lockdown, vou falar dele a seguir quando for listar alguns plugins.
16 – Não informar que informação está errada na tela de login, se alguém tentar adivinhar a senha do seu site, podemos retirar a mensagem “user inválido” ou “senha inválida”, isso dificulta a vida de nosso invasor. Para aplicar essa ação adicionamos o seguinte filtro no functions.php do seu tema:
|
1
|
add_filter('login_errors',create_function('$a','returnnull;'));
|
17 – Instalar um plugin anti-spam, não suba seu site sem o http://akismet.com/ ou plugin equivalente. Não é bem uma invasão mas é possível fazer um ataque de estress sobre o servidor. Como funciona? O hacker usa várias máquinas para enviar comentários para o seu site, com um número muito alto de requisições por um determinado tempo ele consegue derrubar seu servidor.
Links complementares
*criptografia com ssl : http://codex.wordpress.org/Administration_Over_SSL
** Bloqueando acesso a pastas ou diretorios com htaccess :http://www.deivison.com.br/blog/2012/01/27/bloqueando-acesso-a-pasta-por-htpass-e-htaccess/
*** “O que é o robots.txt ?” : http://www.seomarketing.com.br/robots.txt.html
Verificação de segurança do seu site : http://sitecheck.sucuri.net/scanner/
Plugins
Abaixo vou listar alguns plugins que vão aplicar alguns dos conceitos citados acima além de outras funcionalidades.
BulletProof Security – plugin que realiza configurações de segurança com o .htaccess em vários diretórios. Realiza um scan de segurança para as permissões das pastas. Link :http://wordpress.org/extend/plugins/bulletproof-security/
WordPressSecurityScan – Plugin que busca falhas no seu site wordpress, senhas fracas, permissões, meta contendo versão do wordpress e códigos escondidos. link :http://wordpress.org/extend/plugins/wp-security-scan/
Secure WordPress – Esconde a mensagem de login error, adiciona index.php para para todas as pastas que não a possuem evitando que algumas pastas quando acessadas listem os arquivos. Link : http://wordpress.org/extend/plugins/secure-wordpress/
Exploit Scanner – Realizar uma varredura por arquivos, códigos ou informações no banco dados potencialmente maliciosas(não remove a informação apenas detecta). Link :http://wordpress.org/extend/plugins/exploit-scanner/
Login lockdown plugin – Bloqueia um usuário(por IP) caso tente fazer várias tentativas de login por números de tentativas em um intervalo. Link :http://wordpress.org/extend/plugins/login-lockdown/
Fast Secure Contact Form – Uma alternativa para formulário de contato com alguns ajustes de segurança. Link : http://wordpress.org/extend/plugins/si-contact-form/
Referências :
http://codex.wordpress.org/pt-br:Blindando_o_WordPress
http://codex.wordpress.org/pt-br:Site_Invadido
http://blog.sucuri.net/2012/04/lockdown-wordpress-a-security-webinar-with-dre-armeda.html
http://www.slideshare.net/williamsba/wordpress-security-from-wordcamp-nyc-2012
http://www.slideshare.net/flavioaugustosilveira/por-um-wordpress-mais-seguro-13354465
