O documento fornece orientações sobre como manter um site WordPress seguro, discutindo 6 tópicos principais: 1) atualização constante do WordPress e plugins, 2) segurança da hospedagem, 3) escolha cuidadosa de temas e plugins, 4) uso de senhas fortes e autenticação de dois fatores, 5) avaliação de riscos e vulnerabilidades, e 6) proteção contra malware. O documento enfatiza a importância da atualização e dá dicas práticas para cada uma das áreas.
6. ◎ Ferramenta de Gestão de Conteúdo
◎ Plataforma de publicação
◎ Criado em 2003
◎ Usado em blogs, sites de notícias,
páginas institucionais, portfolio, e-
commerce, plataforma de ensino,
entre inúmeras aplicações.
WordPress
7. ◎ É a ferramenta mais popular do gênero
◎ Presente em 25% da web*
◎ Domina 59% do mercado*
WordPress
* entre os 10 milhões de sites mais visitados em novembro de 2015 (w3techs)
8. O preço da fama
Quanto mais popular,
mais visado
Imagem: OpenClipartVectors
9. “
Basta de 30 a 45 dias para que um site recém-criado,
mesmo sem conteúdo ou audiência, passe a ser alvo
de varreduras maliciosas frequentes.
Tony Perez, sucuri.net
(adaptado)
10. Não importa o tamanho ou a natureza
do seu site: se ele está na internet,
é seguro assumir que ele está sendo
alvo constante de ataques.
16. ◎ Inclusão em blacklists
◎ Perda de reputação
◎ Perda de recursos
◎ Perda de tempo e dinheiro
◎ Responsabilização por dano a terceiros
Consequências
18. 1. Uso do WordPress desatualizado
2. Brechas de segurança na hospedagem
3. Temas e plugins comprometidos
4. Autenticação
Principais vulnerabilidades
exploradas
23. “
Mais de 73% dos sites* em WordPress estão usando
versões desatualizadas e vulneráveis do core,
contendo brechas de segurança conhecidas.
Sandro Gauci, Enable Security
(adaptado)
* em julho de 2013, de uma amostra de 42 mil sites.
24. A partir da versão 3.7, lançada em outubro de 2013,
o WordPress passou a receber atualizações
automáticas para minor releases do seu núcleo.
25. Para forçar a atualização de mais componentes
// Edite o arquivo wp-config.php
// e adicione as seguintes linhas:
// Para forçar atualização automática
// para qualquer versão do núcleo
define('WP_AUTO_UPDATE_CORE', true);
// Para forçar atualização automática de plugins
add_filter( 'auto_update_plugin', '__return_true' );
// Para forçar atualização automática de temas
add_filter( 'auto_update_theme', '__return_true' );
27. ◎ Usar versões atuais dos serviços
◎ Garantir a integridade dos dados
◎ Detectar atividade de malware
◎ Oferecer isolamento entre os sites
Sua hospedagem precisa:
28. ● Desative protocolos inseguros(SFTP ou SSH em vez de FTP)
● Dê a permissão correta para pastas e arquivos
● Desative a listagem de pastas e arquivos
● Use um prefixo aleatório nas tabelas no banco
● Mova o arquivo wp-config.php uma pasta acima
● Force o uso de SSL no acesso ao painel
Alguns ajustes básicos:
29. ● Desative a edição de arquivos no painel,
inserindo no arquivo wp-config.php a linha
define('DISALLOW_FILE_EDIT',true);
● Restrinja acesso a wp-admin, wp-includes e
wp-config.php
● Use uma senha forte para o usuário MySQL
● Desative acesso remoto e permissões
desnecessárias no banco de dados
● Desative a execução de scripts nas pastas
de upload
31. ● Sempre atualize temas e plugins
● Parou de sair atualização? Pare de usar!
● Não basta desativar, é preciso apagar
● Nunca, jamais use “fontes alternativas”
● Mantenha-se informado sobre vulnerabilidades
32. ● Se possível, analise o código
● Ofereça atualizações frequentes
● Seja desenvolvido por nomes confiáveis
● Baixe sempre do site oficial
Como escolher um plugin
36. “
Autenticação por dois fatores oferece identificação
através da combinação de dois componentes diferentes:
algo que o usuário sabe, possui ou lhe é inseparável.
Wikipédia
(adaptado)
39. ● Não use o username “admin”
● Para postar, use uma conta de autor.
● Não dê acesso de administrador a terceiros.
● Bloqueio de logins incorretos(iThemes Security, WordFence)
● Altere o endereço de login(iThemes Security)
● Remova o alerta no erro de login
Alguns ajustes básicos:
41. ● Acompanhe listas de vulnerabilidades
(NVD, CVE e WPScan)
● Efetue code review de temas e plugins.
● Rastreie alterações em arquivos
(WP Security Scan, Wordfence, iThemes Security)
● Execute varreduras preventivas
● Avalie os impactos de segurança
Vulnerabilidades e riscos:
44. “
Nenhuma medida de segurança adotada, seja em
relação ao WordPress ou ao servidor, fará a menor
diferença se o seu computador estiver comprometido.
Codex do WordPress
(adaptado)
45. ● Atualize sempre seu sistema operacional.
● Use anti-vírus e anti-malware.
● Não salve a senha do WordPress.
● Use sempre o bom senso.
Segurança começa em casa
47. “
A única forma de garantir a segurança de um site
comprometido é restaurar um backup anterior ao
incidente e corrigir as brechas que permitiram o ataque.
Samuel “Otto” Wood, WordPress Core Contributor
(adaptado)
49. ● Incluir arquivos e banco de dados
● Pode ser feito com plugins…
● … ou direto no servidor (ex: cron & rsync)
Backups no WordPress:
WordPress
Backup
WP-DB-Backup