Imagine por um momento que você é um hacker procurando maneiras de hackear sites confiáveis e usá-los para desviar o tráfego desavisado para um nefasto esquema de phishing.
Como você atacaria os sites para obter o máximo impacto? Uma opção seria localizar e direcionar uma única vulnerabilidade que afeta centenas ou milhares de sites. Se tal coisa pudesse ser encontrada e explorada, você poderia criar uma carnificina digital em muito pouco tempo.
Você está começando a ver por que fortalecer o WordPress é tão importante?
Como o sistema de gerenciamento de conteúdo mais popular da web, o WordPress é o principal alvo de hackers em todos os lugares. Mas há algo que você pode fazer a respeito.
Por que Hacks ruins acontecem com sites bons?
Felizmente, o software principal do WordPress é bastante seguro . Os hackers raramente conseguem entrar em contato com o seu site, indo direto atrás do seu core. Quando as explorações no núcleo são identificadas, elas são prontamente corrigidas.
Em vez de ir atrás do núcleo – que eles sabem que é um osso duro de roer – os hackers geralmente visam coisas como senhas escolhidas preguiçosamente, plugins mal codificados, permissões de arquivo negligentes e sites que não são atualizados há muito tempo e são, portanto, vulnerável a exploits corrigidos.
Uma vez que os hackers tendem a ir atrás do fruto mais fácil, realmente não é tão complicado tornar o WordPress mais seguro e mantê-lo seguro. Na verdade, você pode manter seu site na extremidade superior da curva do sino de segurança, seguindo oito etapas simples.
Etapa 1: atualize tudo
De vez em quando, uma atualização do WordPress é lançada e acompanhada por um aviso: “Este é um lançamento de segurança crítico.” Embora esse aviso deixe as coisas muito claras, é importante instalar todas as atualizações do WordPress o mais rápido possível – mesmo aquelas que não falam sobre sua própria importância.
Isso não se aplica apenas ao core. Instalar atualizações de plugins e temas imediatamente é tão importante quanto instalar atualizações principais o mais rápido possível.
Muitas atualizações de temas, plugins e do núcleo do WordPress são lançadas para resolver vulnerabilidades de segurança significativas. Portanto, a primeira coisa que você deve fazer para manter o WordPress seguro é manter tudo atualizado.
Etapa 2: use um nome de usuário exclusivo e uma senha segura
O que é pior do que usar “admin” como seu nome de usuário de administrador? Que tal emparelhá-lo com uma senha estúpida como “senha”.
A página de login do WordPress é um alvo comum para robôs de tentativa de login automatizados, de força bruta. Eles vão ficar em /wp-login.php tentando combinação após combinação de nomes de usuário e senhas comuns, esperando que você tenha sido preguiçoso o suficiente para deixar a porta da frente destrancada.
A solução é usar um nome de usuário e senha exclusivos. Embora eu pessoalmente tenha a tendência de usar nomes de usuário sem sentido como “s3r7as”, qualquer nome de usuário exclusivo será uma grande melhoria em relação a “admin”. Sua senha, por outro lado, deveria ser um disparate aleatório.
Considerando que o WordPress tem um gerador de senha segura aleatória embutido, realmente não há desculpa para usar uma senha fácil de adivinhar. Portanto, se sua senha não for segura, vá para Usuários> Seu Perfil agora e feche esta brecha de segurança.
Etapa 3: desative trackbacks e pingbacks
Se você não usa trackbacks e pingbacks em seu site WordPress, desative-os. Você pode fazer isso com um plugin, como veremos em breve, ou pode ir para Configurações> Discussão e desmarcar as caixas ao lado de Tentar notificar qualquer blog vinculado a partir do artigo e Permitir notificações de link de outros blogs (pingbacks e trackbacks) em novos artigos .
Alterar essas configurações ainda permitirá que trackbacks e pingbacks sejam ativados para postagens e páginas individuais. Portanto, a melhor opção é usar um plug-in que bloqueie completamente os pingbacks e trackbacks de uma vez por todas.
Existem pelo menos dois bons motivos pelos quais você deve considerar a desativação de trackbacks e pingbacks: eles podem levar a spam de comentários e podem ser usados em um DDoS coordenado e ataque de força bruta. Se você os usa, pelo menos reserve um tempo para fazer o que puder para proteger seu site contra spam de trackback e ataques de força bruta . No entanto, a maioria de nós está melhor apenas desativando-os completamente.
Etapa 4: ocultar erros de PHP
O PHP tem recursos de depuração integrados e você pode exibir as mensagens de erro geradas pelo PHP no front-end do seu site adicionando define( 'WP_DEBUG', true);ao arquivo wp-config.php do seu site . É uma ferramenta realmente útil para desenvolvedores de temas e plugins. No entanto, você nunca deve exibir erros de PHP em um site público.
Em alguns casos, exibir erros de PHP pode fornecer informações que um hacker sofisticado pode usar para comprometer seu site. A solução simples é definir WP_DEBUGcomo falso. Você pode adicionar esse código de bits ao arquivo wp-config.php do seu site manualmente ou usar um plugin para fazer o trabalho.
Etapa 5: use um prefixo de tabela de banco de dados exclusivo
Se um hacker identifica uma vulnerabilidade de segurança que permite que ele grave informações no banco de dados do seu site, a última informação necessária para realizar o exploit é o prefixo do seu banco de dados. Por padrão, o WordPress usa wp_ para prefixar todas as tabelas do banco de dados. Portanto, uma maneira fácil de bloquear seu banco de dados WordPress com um pouco mais de força é alterar o prefixo para algo que os hackers provavelmente não adivinhem.
Embora você possa alterar o prefixo do banco de dados manualmente, é um pouco complexo e, se errar, terá uma bagunça para limpar. Em vez de fazer isso, apenas altere o prefixo do banco de dados com um plugin em questão de segundos.
Etapa 6: Impedir a execução do PHP
Alguns temas e plug-ins incluem recursos que permitem aos usuários fazer upload de arquivos para o seu servidor web. Esses arquivos são usados de várias maneiras, como para exibir uma foto do perfil do usuário. No entanto, esse recurso pode ser explorado para fazer upload de arquivos PHP contendo uma carga útil de desfiguração do site. Então, quando o WordPress acessa esses arquivos, o código é executado e seu site é danificado ou comprometido.
Então qual é a solução? Você deveria parar de permitir que os usuários carreguem fotos ou arquivos? Claro que não. Apenas evite a execução de código PHP em todos os diretórios que não requeiram essa permissão.
Você pode evitar a execução do PHP em uma base diretório por diretório. Se o seu site estiver hospedado em um servidor Apache, como é o caso da maioria dos sites WordPress, você pode adicionar um arquivo .htaccess a cada diretório com as instruções <Files *.php>deny from all</Files>para bloquear a execução do PHP nesse diretório específico.
Por outro lado, se você não tiver certeza de quais diretórios bloquear ou apenas não quiser ter que bloquear cada diretório manualmente, você pode bloqueá-los de uma só vez com um plugin.
Etapa 7: Evite a divulgação de informações
Você já encontrou uma página da web que parecia uma lista de diretórios? O que você está vendo é algo chamado lista de diretórios e a navegação nesses arquivos é chamada de pesquisa de diretórios . A navegação no diretório é problemática porque permite que alguém reúna uma grande quantidade de informações sobre o seu site, incluindo algumas informações realmente confidenciais, como o arquivo wp-config.php do seu site .
O WordPress foi projetado para evitar esse tipo de coisa logo que sai da caixa. No entanto, você ficará mais tranquilo se fizer tudo o que puder para evitar esse tipo de divulgação. O que você precisa fazer para evitar esse tipo de coisa é desabilitar a navegação no diretório e, em seguida, negar especificamente o acesso a arquivos críticos como .htaccess , wp-config.php e arquivos confidenciais no diretório wp-content do seu site .
Mais uma vez, isso é algo que você pode fazer manualmente. No entanto, é uma tarefa bastante complexa de resolver e não há razão para fazê-lo manualmente, pois você pode fazer isso facilmente com um plug-in.
Etapa 8: verifique regularmente seu site em busca de novas vulnerabilidades
No momento em que concluir as etapas de 1 a 7, você terá fortalecido o WordPress de forma bastante eficaz. No entanto, a chave é manter a segurança do site ao longo do tempo, e a única maneira de fazer isso é varrer seu site periodicamente em busca de novas vulnerabilidades de segurança.
Seu procedimento de verificação de segurança precisa observar cada um dos fatores cobertos nas etapas 1 a 7: credenciais inseguras, componentes do site que precisam ser atualizados e vulnerabilidades comuns de segurança do WordPress. Embora você certamente possa ficar de olho em seu site manualmente, o arranjo ideal é configurar varreduras automatizadas que o alertarão quando algo estiver errado.
Conclusão
Se seus sites WordPress não significam muito para você e você não se importa com o incômodo de lidar com as consequências de um site hackeado, então, não faça absolutamente nada.
No entanto, se você valoriza o esforço que dedicou à construção de seu (s) site (s) WordPress, então deixar de fortalecer o WordPress e mantê-lo seguro a longo prazo é um descuido inaceitável.
0 comentários