Dicas de segurança para sites WordPress

Se fala muito sobre as vulnerabilidade de segurança no WordPress. Os problemas de segurança nem sempre são problemas da Aplicação, mas maior parte vem da forma em que ele é utilizado. Não sou um perito em segurança mas nesse post vou listar algumas dicas básicas de segurança para o seu site WordPress.

1 – Tenha uma hospedagem decente, antes de subir seu site procure saber se a hospedagem realiza backup do seu site e de quanto em quanto tempo isso é feito. Se a hospedagem fornece SFTP ou SSL* é plus considerável para sites com bastante visitação.

2 – Não dependa 100% da hospedagem também realize backups temporários do seu site.

3 – Manter o wordpress sempre atualizado (incluindo plugins), cada atualização do wordpress sempre eles corrigem algumas brechas, então mantenha seu WordPress atualizado.

4 – Manter sua máquina limpa(óbvio). Invadir a maquina de um desenvolvedor WordPress pode gerar dor de cabeça para vários sites.

5 – Eliminar os plugins que não estão sendo utilizados, feche a maior parte de janelas possívies para invasão.

6 – Não exibir a versão do seu WordPress, muitos temas informam qual a versão do WordPress em uma tag meta no header.php (inspecione o código do seu site e procure essa meta no head). Cade versão do WordPress tem uma vulnerabilidade específica então isso pode ser uma atalho para o hacker

7 – Evitar de subir o site com o usuário admin. (Se o hacker sabe do seu usuário ele já tem meio caminho andado para invadir seu site)

8 – Nunca usar senhas fáceis, tente usar letras maiúsculas/minúsculas, caracteres especiais e números. (“admin”, “admin123”, “nomedosite123”, “adminadmin”… not!)

9 – Não usar mesma senha para admin do wordpress, o admin da hospedagem e o admin do banco de dados. “O camarada descobriu uma senha ferrou tudo brother!”

10 – Mudar o prefixo do banco de dados ”wp_” (essa opção você seleciona na instalação ou no wp-config)

11 – Nunca usar Permissões 777 para todos os arquivos, pode usar um esquema simples para permissões: 755 para pastas e 644 para arquivos

12 – Mudar o local do wp-config.php você pode mover o arquivo wp-config.php para o diretório logo acima da sua instalação do WordPress, ele será reconhecido automaticamente pelo WordPress. Mas cuidado o wp-config.php poderá ficar apenas UM nível acima da instalação do WordPress.

13 – Bloquear via .htaccess** o acesso ao wp-config.php com o seguinto código :


order allow,deny
deny from all

14 – Configurar os mecanismos de busca para não varrer as pastas de adminstração do wordpress com o robots.txt*** adicionando o código:

Disallow:/wp-*

15 – Desabilitar multiplas tentativas de Login com o plugin login lockdown, vou falar dele a seguir quando for listar alguns plugins.

16 – Não informar que informação está errada na tela de login, se alguém tentar adivinhar a senha do seu site, podemos retirar a mensagem “user inválido” ou “senha inválida”, isso dificulta a vida de nosso invasor. Para aplicar essa ação adicionamos o seguinte filtro no functions.php do seu tema:

add_filter('login_errors',create_function('$a','returnnull;'));

17 – Instalar um plugin anti-spam, não suba seu site sem o http://akismet.com/ ou plugin equivalente. Não é bem uma invasão mas é possível fazer um ataque de estress sobre o servidor. Como funciona? O hacker usa várias máquinas para enviar comentários para o seu site, com um número muito alto de requisições por um determinado tempo ele consegue derrubar seu servidor.

Links complementares

*criptografia com ssl : http://codex.wordpress.org/Administration_Over_SSL
** Bloqueando acesso a pastas ou diretorios com htaccess : http://www.deivison.com.br/blog/2012/01/27/bloqueando-acesso-a-pasta-por-htpass-e-htaccess/
*** “O que é o robots.txt ?” : http://www.seomarketing.com.br/robots.txt.html
Verificação de segurança do seu site : http://sitecheck.sucuri.net/scanner/

Plugins

Abaixo vou listar alguns plugins que vão aplicar alguns dos conceitos citados acima além de outras funcionalidades.

BulletProof Security – plugin que realiza configurações de segurança com o .htaccess em vários diretórios. Realiza um scan de segurança para as permissões das pastas. Link : http://wordpress.org/extend/plugins/bulletproof-security/

WordPressSecurityScan – Plugin que busca falhas no seu site wordpress, senhas fracas, permissões, meta contendo versão do wordpress e códigos escondidos. link : http://wordpress.org/extend/plugins/wp-security-scan/

Secure WordPress – Esconde a mensagem de login error, adiciona index.php para para todas as pastas que não a possuem evitando que algumas pastas quando acessadas listem os arquivos. Link : http://wordpress.org/extend/plugins/secure-wordpress/

Exploit Scanner – Realizar uma varredura por arquivos, códigos ou informações no banco dados potencialmente maliciosas(não remove a informação apenas detecta). Link : http://wordpress.org/extend/plugins/exploit-scanner/

Login lockdown plugin – Bloqueia um usuário(por IP) caso tente fazer várias tentativas de login por números de tentativas em um intervalo. Link : http://wordpress.org/extend/plugins/login-lockdown/

Fast Secure Contact Form – Uma alternativa para formulário de contato com alguns ajustes de segurança. Link : http://wordpress.org/extend/plugins/si-contact-form/

Referências :

http://codex.wordpress.org/pt-br:Blindando_o_WordPress
http://codex.wordpress.org/pt-br:Site_Invadido
http://blog.sucuri.net/2012/04/lockdown-wordpress-a-security-webinar-with-dre-armeda.html
http://www.slideshare.net/williamsba/wordpress-security-from-wordcamp-nyc-2012
http://www.slideshare.net/flavioaugustosilveira/por-um-wordpress-mais-seguro-13354465

Participe da discussão

5 comentários

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *