WordPress Braga Meetup - Segurança, Performance e Optimização

684 views

Published on

Apresentação feita para o WordPress Braga Meetup sobre Segurança, Performance e Optimização na plataforma WordPress

Published in: Technology
  • Be the first to comment

WordPress Braga Meetup - Segurança, Performance e Optimização

  1. 1. Bem-vindos!
  2. 2. Teotónio Ricardo Twitter: @cenourinha  Blog pessoal: teotonio.pt  E-mail: eu@teotonio.pt 
  3. 3. WebTuga Hosting  Fornecedor de Alojamento Web Nacional  http://www.webtuga.pt Suporte Técnico @ WebTuga (centenas ou mesmo milhares de sites em WordPress) 
  4. 4. Segurança, Performan ce e Optimização  Saiba como preparar o seu WordPress para a Internet
  5. 5. Segurança em WordPress
  6. 6. Proteja o seu site WordPress 1) Utilize um fornecedor de alojamento Web seguro. 2) Proteja os seus dados de acesso FTP (e cPanel, Plesk, etc) 3) Instalação e Configuração Segura do WordPress 4) Gestão de Plugins e Themes 5) Mantenha a plataforma actualizada 6) Faça os seus próprios Backups 7) Instale Plug-ins de Segurança 8) Utilize serviços de CDN
  7. 7. 1) Utilize um fornecedor de alojamento Web seguro  Certifique-se que o seu fornecedor de serviço de alojamento web protege minimamente os seus servidores.  Existem várias camadas de segurança que necessitam de estar minimamente protegidas para além da sua plataforma WordPress.
  8. 8.  O fornecedor de alojamento web deve fornecer algumas camadas de segurança que previnam os ataques mais populares, protegendo a… Rede: - Redundância - Firewalls - Sistemas Anti-DDoS - CDN Sistema Operativo: - Kernel recente; - CloudLinux (cageFS) Serviços de Gestão Remota: - (Acessos Restritos - Apenas VPN) - SSH - RDP
  9. 9. Software de Servidor - Apache, nginx, lighttpd, Litespeed, IIS - Manter um filtro web a nível de software - Exemplo: mod_security - MySQL / MSSQL / postgresql - Limitar o acesso remoto - IMAP/POP3/Webmail - Bloquear acesso após x tentativas de autenticação falhadas Painel de Controlo WebHosting - (manter actualizados e bloquear acesso após x tentativas de autenticação falhadas) - cPanel - Plesk - Webmin - Atomia
  10. 10.  Coloque algumas questões relativamente à segurança dos servidores ao seu fornecedor de alojamento web. Certifique-se que este mantém um filtro que protege os seus sites contra os ataques mais conhecidos:  SQL Injection;  Malware Injection;  Spam-bots;  Ataques Bruteforce;  Simulações de pedidos HTTP;  Ataques Cross-Site Scripting (XSS)  Ataques de Negação (DoS/DDoS)
  11. 11.  Se o seu fornecedor de alojamento web não proteger minimamente os serviços, estará a colocar em risco os seus sites e dados, podendo todos os sites alojados num determinado servidor serem totalmente comprometidos (massive attack).  A segurança não é algo linear, existem várias camadas de segurança e vários tipos de ataque. Cabe a todos promover e adoptar medidas de seguranças, seja o fornecedor de alojamento web, seja o webmaster/blogger ou o visitante/utilizador do site.
  12. 12. 2) Proteja os seus dados de acesso FTP (e cPanel, Plesk, etc)  Não defina passwords simples para o seu acesso FTP;  Não guarde a sua password em plain-text (FileZilla).
  13. 13. 3) Instalação e Configuração Segura do WordPress Quando fizer a primeira instalação da sua plataforma WordPress: Não utilize o username default “admin”;  Defina uma password composta por caracteres alfanuméricos;  Certifique-se que a bases de dados e o username MySQL têm nomes aleatórios e seguros;  Certifique-se que a password do utilizador MySQL é complexa e segura; 
  14. 14.  Não utilize o prefixo default das tabelas do WordPress (wp_);  Altere a pasta/url default da administração do WordPress ( Plugin: Better WP Security);  Proteja o acesso ao ficheiro wp-login.php por dupla autenticação (.htpasswd);  Proteja o acesso ao ficheiro wp-config.php via .htaccess;  Não publique a versão do seu WordPress;  Desactive a edição dos themes pelo painel de administração: No ficheiro wp-config.php, adicione a seguinte linha: define(„DISALLOW_FILE_EDIT‟, true )
  15. 15. 4) Gestão de Plugins e Themes  Apenas plug-ins e themes de fontes seguras;  Utilize apenas Themes e Plugins de fontes seguras. Muitas das vezes quando não descarregados da fonte original, os plugins e themes têm código malicioso injectado de forma encriptada que poderá ser utilizado para comprometer o seu site ou distribuir malware pelas visitas do seu site.
  16. 16. 5) Mantenha a plataforma actualizada  Para garantir que o seu site não é atacado através de um ataque 0-day, deverá actualizar regularmente a sua plataforma WordPress. Neste momento as actualizações do core do WordPress são automáticas, pelo que deverá manter esta opção activa.  Se tem uma plataforma WordPress com uma versão antiga, deverá efectuar o upgrade o mais rapidamente possível.
  17. 17.  Para além da plataforma, deverá também manter sempre os seus plugins actualizados na ultima versão disponibilizada. Certifiquese também que apenas utiliza Plugins de fontes seguras e que os mesmos ainda são suportados.  Existem bastantes plugins que já não são actualizados/mantidos pelos seus desenvolvedores, pelo que deverá fazer uma pesquisa na Internet sempre que activar um plugin de forma a saber se não existem falhas de segurança conhecidas para a versão que vai utilizar.
  18. 18. 6) Faça os seus próprios Backups  Existem várias formas de fazer backups do WordPress (Plug-ins, Serviços Online, etc). Mantenha sempre uma cópia recente dos ficheiros e base de dados do WordPress.
  19. 19. 7) Instale Plug-ins de Segurança  Better WP Security  Limit Login Attemps  Wordfence  Login Lockdown  WordPress Firewall  All in one WordPress Firewall
  20. 20. 8) Utilize serviços de CDN  CloudFlare  Incapsula  CloudProxy
  21. 21. Optimização de Performance do WordPress
  22. 22. Optimize o seu site WordPress para levar com carga 1) Aloje o seu site num serviço de Alojamento estável; 2) Limitar número de Posts por página; 3) Manter o WordPress e Plug-ins (válido para a Segurança e Optimização); 4) Não utilize demasiados plug-ins;
  23. 23. 5) Evite ter demasiados Widgets JavaScript externos  Widgets de Tempo;  Widgets de Contagem de Visitas;  Animações JavaScript;  Facebook Share;  Botões Twitter;  etc... 6) Optmize as imagens do seu blog/site; 7) Carregar scripts javascript apenas no fundo do site; 8) Reduzir pedidos HTTP;
  24. 24. 9) Optimizar e juntar ficheiros CSS, JavaScript e output HTML; Pode ser feito recorrendo a estes plugins:  WP Minify;  W3 Total Cache; 10) Desactivar Post Revisions: Colocar as seguintes linhas no código do wpconfig.php: define(„AUTOSAVE_INTERVAL', 300); define('WP_POST_REVISIONS', false );
  25. 25. 11) Optimize frequentemente a base de dados pelo phpMyAdmin:  Pode ser feito utilizando o plug-in Optimize DB; 12) Reduzir queries MySQL; 13) Fazer Debug ao WordPress:  Poderá fazer debug colocando a seguinte linha no ficheiro wp-config.php: define('WP_DEBUG', true);
  26. 26. 14) Gzip e mod_deflate:  Comprimir ficheiros ao nível do servidor; 15) Activar Plug-ins de Cache:  WP Super Cache;  W3 Total Cache;  Hyper Cache;  WP Cache; 16) Utilizar rede CDN:  CloudFlare  Incapsula  CloudProxy
  27. 27. Como verificar performance do seu site?  Google Page Speed (http://developers.google.com/speed/pagespe ed/insights/)  Pingdom Tools (http://tools.pingdom.com/fpt/)  GTmetrix (http://www.gtmetrix.com)
  28. 28. Obrigado pela atenção! Encontramo-nos no próximo WordPress Braga Meetup 

×