Wordpress: Aprenda como manter o seu Blog seguro

Wordpress: Aprenda como manter seu Blog seguro

Periodicamente os desenvolvedores do Wordpress lançam atualizações que corrigem bugs, vulnerabidades e/ou adicionam novos recursos ao aplicativo. 

Assim como qualquer ferramenta Web, o Wordpress requer alguns cuidados especiais a fim de evitar brechas que permitam a terceiros realizarem alterações indevidas. Alguns cuidados que o usuário pode seguir: 

• Allow_url_fopen: Certifique-se que a variável allow_url_fopen não está em uso e desabilite-a. Geralmente em servidores compartilhados da Locaweb é possível essa alteração através de HTACCESS ou modficando o arquivo php.ini;

• Instalação de módulos/plugins: Não instale extensões (módulos/plugins) no Wordpress antes de pesquisar se a versão é a mais atual ou se possui algum tipo de vulnerabilidade. O google pode ajudar nesta consulta.
• Tratamento de URL: Não deixe seu site sem tratamento de URL, pois pessoas má intencionadas buscam na internet por sites nessas condições com o objetivo de entrar aplicações com vulnerabilidade a SQL Injection.
• Definindo permissões recomendadas para arquivos e pastas:

Definir corretamente as permissões para as pastas e arquivos é necessário, pois assim você impede que os arquivos sejam acessados e as informações confidenciais sejam obtidas. Altere as permissões conforme a tabela abaixo, caso não saiba alterar as permissões, você pode consultar este artigo.Permissão de pastas em Linux

"Chaves, salts e prefixo da tabela MySQL" 

O WordPress gerencia as sessões de login armazenando as informações em cookies em vez de usar sessões PHP. Esses cookies são protegidos por meio de cálculo usando um hash especial do nome de usuário, senha e um longo texto aleatório. Esse "longo texto aleatório" é usado para calcular o hash do cookie. Inserir chaves e salts únicas vão adicionar uma proteção extra.

Para começar, Acesse seu FTP

• Localize e abra o arquivo wp-config.php
• Acesse https://api.wordpress.org/secret-key/1.1/salt/ e copie as chaves e salts geradas.
• Insira as chaves e salts copiadas no arquivo.
• Uma boa prática é nunca utilizar o prefixo da tabela MySQL padrão 'wp_', altere como desejar.
• Salve o arquivo e transfira novamente para seu FTP.

Obs: Se o prefixo da tabela for alterado em um WordPress já instalado, será necessário alterar o prefixo no banco de dados também. 

Este é um bom começo, porém ainda não é o suficiente, seguem outras dicas abaixo. 

• Plugins, Temas e Atualizações:

É altamente recomendável sempre ter um cópia de segurança de sua instalação do WordPress antes de realizar qualquer modificação, instalação ou atualização. Não é raro vermos plugins ou atualizações derrubarem completamente o site por alguma incompatibilidade com outros recursos.

Portanto, leve sempre em consideração o fator risco, e faça um cópia dos arquivos de seu WordPress e do banco de dados MySQL.

Para fazer essa cópia de segurança, você pode usar algum dos diversos plugins disponíveis. Verifique as opções no repositório oficial do WordPress [1]. 

• Plugins

Plugins de segurança ajudam a incrementar a proteção e blindar seu WordPress. Abaixo seguem alguns plugins usados e recomendados pela grande maioria.

• Askimet - Essencial para filtrar comentários maliciosos inseridos por Bots que inundam muitos blogs com links de Phishing.
• SI Captcha Anti-Spam - Insere um captcha nas páginas de comentários para impedir comentários inseridos por Bots.
• Jetpack - O Jetpack é um dos plugins mais usados, além de implementar funções de segurança e monitoramento, traz diversos outros recursos que expandem as funcionalidades de seu WordPress.
• BulletProof Security - Este plugin adiciona algumas funções interessantes como por exemplo: proteção do arquivo .htaccess, backup do banco MySQL, alteração de prefixo da tabela MySQL, logs de segurança e mais.
• Wordfence Security - Possuí firewall, funções de bloqueio, escaneamento e monitoramento de tráfego. O Wordfence é um plugin que pode verificar e reparar os arquivos do seu site ou blog em WordPress, incluindo os arquivos do núcleo da plataforma, dos temas e dos plugins.
• iThemes Security - Um dos melhores e mais usados plugins de segurança. Receba alertas via email, bloqueie IP's e tentativas frustradas de logon, bloqueie usuários, realize backup do banco de dados, altere o caminho de acesso a sua administração e muito mais.
• BruteProtect - Assim como o Jetpack, este plugin é desenvolvido pela Automattic, empresa proprietária do WordPress. Possuí funções de proteção avançada contra ataques do tipo BruteForce, protegendo sua área de administração. Futuramente o Jetpack irá incorporar este plugin.
• Sucuri Security - Desenvolvido pelo time de especialistas em segurança da Sucuri, este plugin pode varrer seu site em buscar de possíveis Malwares. Possuí Firewall embutido, controle de acesso e ferramentas de auditoria.
• WP-Optimize - Uma opção para otimizar as tabelas de seu banco MySQL, remover opções transitórias, pingbacks e comentários de Spam filtrados pelo Askimet, sem dúvida o melhor do gênero.
• Rename WP-login - Este plugin possuí apenas uma funcionalidade, ele apenas altera a URL de acesso a administração do WordPress.

• Temas 

Temas também podem ser a porta de entrada para as invasões.

Por isso é fundamental manter seu tema sempre atualizado, pois conforme as versões do WordPress são atualizadas, algumas funções podem se tornar obsoletas e outras podem ser adicionadas.

Para atualizar seus temas, no painel lateral do WordPress, clique nas opções: Aparência » Temas. Se houver alguma atualização, será exibido um aviso na miniatura do tema conforme a imagem abaixo, clique na miniatura, depois em atualize agora. 

• Atualizações 

Atualizar a versão de seu WordPress é adicionar mais ao fator proteção, pois cada atualização traz novas implementações de segurança, além de trazer novas funcionalidades de edição e publicação.

Não se esqueça de sempre fazer uma cópia de segurança de seu banco de dados e arquivos.

No menu lateral do WordPress, clique nas opções: Painel » Atualizações. Será exibido um aviso se houver alguma atualização, basta clicar no botão Atualizar agora conforme a imagem abaixo 

O processo de atualização geralmente é bem rápido e não costuma derrubar seu site. 

• Área de administração

Por último e não menos importante, proteger seu painel de administração é fundamental, pois se algum intruso invadir sua administração, ele pode publicar posts com Phishing, redirecionar seu site para uma página maliciosa, derrubar seu site e outras diversas possibilidades.

• Alterando o link de acesso

Existem várias formas de alterar o endereço de acesso a administração que normalmente é http://dominio.com.br/wp-admin

Obviamente a forma mais fácil é fazer isso por meio de plugins como o Rename WP-login. Novamente, fuja do obvio, altere a URL de acesso para um endereço não convencional. 

• Boas práticas de login e senha

Também é importante ser criativo ao criar um login de acesso, seja ele do tipo Administrador, ou colaborador. Usuários com nomenclaturas comuns como: admin, adminsitrador, nome do site, seu nome e etc... serão os primeiros a serem testados por algum possível invasor.

Defina um padrão de senha para os administradores, colaboradores, autores, editores e etc...