Há muitas brechas de segurança em toda a Web, mas quando se trata de WordPress os cuidados devem ser redobrados, porque é um CMS. E porque é o CMS mais usado e a grande maioria dos hackers conhecem. Sua instalação do WordPress pode ser tão segura ou insegura quanto você desejar. Saiba quais são as cinco coisas mais importantes quando se trata de segurança.
Preocupações e reclamações sobre a segurança do WordPress não são novidade.
- Leia também: Plugins de Segurança na Web para WP
Se você precisar de um CMS e consultar um provedor de serviços que não esteja no WordPress, a segurança é o número um que você ouvirá. Isso não significa que todos devem abandonar o WordPress e mudar para geradores de sites estáticos concorrentes.
Há muitas outras brechas de segurança do WordPress
Eu digo isso, porque, como tudo na vida é complicado. Para chegar a uma resposta legítima, precisamos primeiro entender que o WordPress; ou qualquer CMS pré-criado; não é como um armário que você cola em algum lugar permanentemente e pronto.
- É um software complexo com muitas dependências:
- PHP, que é a linguagem com a qual é construído.
- Uma máquina publicamente visível que hospeda a instalação.
- O servidor da web usado para manipular visitantes.
- O banco de dados em uso em sua maioria é formada por MySQL ou MariaDB.
- Temas completos tem pacotes de arquivos PHP, CS e JS.
- Plugins também tem pacotes de arquivos PHP, CS e JS.
E muito mais, dependendo de quanto sua instalação pretende realizar. Em outras palavras, uma violação de segurança em qualquer um destes itens será denominada como uma violação do WordPress.
Depois de ter lido isso, não deixe que isso lhe dê a impressão de que PHP, MySQL e Apache não são seguros. Todo software possui vulnerabilidades, cuja contagem é impressionante no caso de código aberto. E sabe por que? Porque está disponível para todo mundo ver e analisar.
Veja as 5 frinchas na segurança WP que eu escolhi para mostrar
Você não deve se limitar somente a estas etapas. Há muitas outras que estão por vir. Este post escrito em 2019, pode estar ultrapassado em 2020, ou 2022 sem aviso prévio. Não é minha culpa e nem sua, a culpa é do sistema que age dessa forma. Sempre atualizando e isso é que é o correto.
1 - O prefixo da tabela do WordPress
A famosa instalação de 5 minutos é a melhor coisa a acontecer com o WordPress, mas como todos os assistentes de instalação, ela nos torna preguiçosos e deixa as coisas como padrão.
Isso significa que o prefixo padrão para suas tabelas do WordPress é wp_, resultando em nomes de tabelas que qualquer pessoa pode adivinhar:
- wp-users
- wp-options
- wp-posts
Agora, considere um ataque conhecido como SQL Injection, no qual as consultas maliciosas ao banco de dados são inseridas e executadas de maneira inteligente. E para executar dentro do WordPress. Observe, que isso não é de forma alguma um ataque exclusivo do WordPress e PHP.
Embora o WordPress tenha mecanismos internos para lidar com esses tipos de ataques, ninguém pode garantir que isso não aconteça.
Portanto, se de alguma forma, o invasor conseguir executar uma consulta como DROP TABLE wp_users; DROP TABLE wp_posts;, todas as suas contas, perfis e postagens serão apagadas em um instante. E tudo isso, sem chance de recuperação, a menos que você tenha um esquema de backup em vigor. Mas, mesmo assim, você está fadado a perder dados desde o último backup.
Alterar o prefixo de suas tabela de banco de dados do WordPress pode dificultar esse tipo de ataque.
É recomendado algo aleatório, ou pelo menos diferente, porque é mais difícil de adivinhar. Note, que quanto maior o prefixo, melhor. A melhor parte é que esse prefixo não precisa ser memorável, porque isso é algo que o WordPress salvará e você nunca precisará se preocupar em decorar para fazer algum uso dele.
2 - O URL de login padrão
Como você sabe que um site está sendo executado no WordPress? Um dos sinais reveladores é que você vê a página de login do WordPress quando adiciona "/wp-login.php" no endereço do site.
Uma vez que isso é conhecido, o atacante pode esfregar as mãos em alegria e começar a aplicar truques desagradáveis do Bag-O'-Doom em uma base alfabética. A solução então, é alterar o URL de login padrão e fornecê-lo apenas às pessoas confiáveis. Ou adicionar mecanismos de defesa que vamos falar adiante.
Por exemplo, este site também está no WordPress, mas se você visitar http://geekflare.com/wp-login.php, tudo o que você terá é decepção profunda e profunda. O URL de login está oculto e é conhecido apenas pelos administradores?
Alterar o URL de login também não é ciência do foguete. Basta instalar o plugin WPS HIDE LOGIN
Com ele instalado, você já tem uma camada de proteção e de segurança na Web para seu site.
3 - A versão do PHP e do servidor da web
Já discutimos que todo software já gravado, ou sendo gravado, está cheio de bugs esperando para serem explorados. O mesmo vale para o PHP.
Mesmo se você estiver usando a versão mais recente do PHP, não poderá ter certeza de quais vulnerabilidades existem e podem ser descobertas da noite para o dia. A solução é esconder um determinado cabeçalho enviado pelo seu servidor web.
Com uma simples consulta em qualquer ferramenta de webmaster, o site pode nos dizer a versão do servidor, do php o tipo de banco de dados e tudo mais que você desejar. E toda essa tonelada de informações que estamos transmitindo sem motivo, pode ajudar o invasor a restringir sua escolha de ferramentas.
Esses cabeçalhos e outros similares precisam estar ocultos.
Isso pode ser feito rapidamente. Mas, infelizmente, é necessário um conhecimento técnico sofisticado, pois você precisará mergulhar nas entranhas do sistema e mexer com arquivos importantes. Portanto, meu conselho é solicitar ao seu provedor de hospedagem de site que faça isso por você.
Se ele não o fizer, talvez seja hora de mudar de provedor de hospedagem ou mudar para um VPS e contratar um consultor por questões de segurança e administração.
4 - Número de tentativas de login
Um dos truques mais antigos do manual do hacker é o chamado ataque de dicionário. A ideia é que você tente um número muito grande de combinações para uma senha, a menos que uma delas seja bem-sucedida. Como os computadores são extremamente rápidos no que fazem, esse esquema tolo é sensato e pode produzir resultados em tempo razoável.
Uma defesa comum e extremamente eficaz, é adicionar um atraso antes de mostrar o erro. Isso faz com que o destinatário espere, o que significa que, se for um script empregado por um hacker, levará muito tempo para ser concluído. Essa é a razão pela qual seu computador ou aplicativo favorito salta um pouco e depois diz que a senha está errada.
De qualquer forma, o ponto é que você deve limitar o número de tentativas de login no seu site WordPress. Isso já exclui algumas brechas de segurança no WordPress, com muita relevância.
Além de um número definido de tentativas, a conta deve ser bloqueada e só pode ser recuperada através do e-mail do titular da conta. Felizmente, fazer isso é uma tarefa fácil, se você se deparar com um bom plugin .
5 - Usar HTTPS em vez de HTTP
O certificado SSL que seu fornecedor lhe incomoda é mais importante do que você imagina. A segurança na Web começa com a criptografia essencial para domínios publicados.
Não é apenas uma ferramenta de reputação mostrar um ícone de cadeado verde no navegador que diz que o site é seguro. Em vez disso, instalar um certificado SSL e forçar todos os URLs a trabalhar em https é o suficiente para impedir que seu site seja um livro aberto para uma rolagem enigmática.
Além disso, você e nem seus visitantes verão o aviso de NÃO SEGURO, emitido por vários navegadores da Web mais modernos, como o Chrome, por exemplo.
Palavras finais
Falamos de segurança na Web e no WordPress. Espero que tenha lhe ajudado um pouco a compreender como são as brechas de segurança no WordPress. Contando que você possa ser capaz de impedir e corrigir algumas delas e deixar seu servidor mais seguro.
