10 maneiras principais de proteger uma instalação típica do WordPress

Em mais de uma década, o WordPress evoluiu de um sistema de gerenciamento de conteúdo incipiente para a solução online mais usada. Essa notoriedade, de um modo geral, é boa para toda a comunidade e levou ao maior grupo de desenvolvedores para qualquer sistema de gerenciamento de conteúdo atualmente disponível. O CMS muda, evolui e se torna mais avançado, em grande parte devido ao seu tamanho, escopo e influência na publicação online.

Mas são exatamente essas coisas que fazem com que o WordPress seja o alvo regular de tentativas maliciosas de hackers e invasões de privacidade. Os hackers tomaram nota da proliferação do CMS entre sites independentes e grandes meios de comunicação, e eles exploram uma série de vulnerabilidades que lhes dão acesso ao Dashboard e até mesmo ao próprio banco de dados WordPress.

Felizmente, os usuários do WordPress não são apenas “patinhos sentados” em um ambiente online cada vez mais malicioso. Há uma série de coisas que podem ser feitas para melhorar drasticamente a segurança de uma instalação do WordPress e frustrar as tentativas dos hackers de assumir o conteúdo, o banco de dados e a confiabilidade geral de um site.

1. Altere o prefixo do banco de dados do WordPress

Por padrão, toda instalação do WordPress coloca suas tabelas em um banco de dados MySQL com o prefixo “wp_”. Isso geralmente é feito para torná-lo mais intuitivo, já que o WordPress é frequentemente abreviado como “WP” e simplesmente não há confusão sobre a qual CMS essas tabelas pertencem.

No entanto, os usuários mais nefastos da Internet sabem que o WordPress colocará seu conteúdo em tabelas com esse prefixo por padrão, e essa é uma das primeiras maneiras de invadir uma instalação ou causar problemas com o banco de dados do software de fora.

O próprio prefixo é definido no arquivo wp-config.php antes que o processo de instalação ocorra. Nesse momento, os proprietários do site WordPress devem percorrer o arquivo de configuração e procurar a seguinte linha:

 $table_prefix = 'wp_';

Esta linha deve ser alterada para praticamente qualquer coisa, menos o prefixo padrão. Escolher algo como o título do site ou o nome do administrador principal pode ser um ótimo primeiro passo para proteger a instalação e impedir a entrada de hackers maliciosos na Internet.

2. Oculte o número da versão da instalação do WordPress do público

Todo template WordPress vem com uma variável que exibe informações básicas do WordPress e permite a modificação contínua do cabeçalho por meio de plugins. Essa variável é <?php wp_head() ?> e é invariavelmente colocada entre as tags <HEAD> de abertura e fechamento do arquivo header.php . Uma das principais coisas executadas por essa variável é exibir o número da versão da instalação atual do WordPress para o público.

Na verdade, isso é usado pela equipe de desenvolvimento da Automattic para fins de análise, pois permite ver quais números de versão estão sendo mais usados ​​e se há um grande número de usuários não atuais.

Ele também permite que hackers visualizem o número da versão da instalação do WordPress e planejem seu ataque de acordo. Como as vulnerabilidades de segurança com o WordPress geralmente são específicas da versão e são corrigidas em qualquer versão subsequente, e a instalação desatualizada que mostra seu número de versão está pronta para ser atacada por aqueles que desejam obter acesso não autorizado ao Dashboard ou banco de dados.

Essas informações podem e devem ser removidas da variável “wp_head”; isso pode ser feito adicionando a seguinte linha de código ao arquivo functions.php do tema atual:

 remove_action('wp_header', 'wp_generator');

Salve esse arquivo e faça o upload para o servidor, e ninguém saberá se a instalação do WordPress é atual, desatualizada ou até mesmo em beta. Nada será anunciado publicamente.

3. Limite o número de tentativas de login com falha

Normalmente, usuários mal-intencionados da Internet obtêm acesso ao WordPress Dashboard por meio de um ataque de “força bruta” que insere dezenas de milhares de senhas rapidamente. Esse ataque procura usar palavras de dicionário e números comuns para descobrir as credenciais de segurança do usuário. Sem um bloqueio adequado a essas tentativas repetidas, não há realmente nada para detê-las.

É aí que entra o plugin Login LockDown. Usando o plugin, os usuários do WordPress podem definir um limite no número de tentativas de login com falha que podem ser feitas antes de serem essencialmente bloqueados do Dashboard por uma hora. Essas tentativas fracassadas estão vinculadas a endereços IP, tornando este plugin ainda mais eficaz.

4. Os administradores não devem se nomear "Admin"

Ao instalar o WordPress a partir do instalador integrado, o usuário administrador geralmente é chamado de “ admin ” por padrão. Usuários maliciosos da Internet sabem disso, e esse é o primeiro nome que eles tentarão adivinhar ao obter acesso de força bruta ao Painel do WordPress.

Ao instalar o WordPress pela primeira vez, certifique-se de nomear o usuário administrador com algo difícil de adivinhar (talvez um apelido ou outra coisa). Um ataque de senha de força bruta só é eficaz se o nome de usuário do administrador for conhecido. Caso contrário, será duplamente impossível obter acesso.

5. Mantenha o WordPress atualizado o tempo todo e seja alerta sobre isso

Uma nova versão do WordPress é normalmente lançada a cada poucas semanas, com pequenas atualizações e patches de segurança que servem para manter os usuários protegidos dos hackers que estão cada vez mais atacando Dashboards e bancos de dados na Internet.

Deixar de manter o WordPress atualizado é essencialmente como dar aos hackers um convite aberto para entrar, excluir algumas postagens e comprometer a segurança do site. É uma coisa muito ruim ficar para trás nessas atualizações, especialmente porque um tema inalterado exibirá o número da versão para que as mentes inquiridoras vejam.

Desde a versão 3.0, o WordPress habilita a atualização automática do Dashboard com apenas um clique. Na verdade, o Dashboard notifica automaticamente os usuários sobre atualizações e os incentiva a atualizar em um texto bem em negrito e excelente. Isso deve ser feito assim que uma atualização estiver disponível; não resultará na perda de quaisquer arquivos, plugins, temas ou configurações.

Em vez disso, a atualização do WordPress servirá apenas para habilitar novos recursos e corrigir vulnerabilidades de segurança que foram descobertas desde que a última versão foi enviada para os 60 milhões de usuários do software. Mantenha-se sempre atualizado na tentativa de afastar os hackers.

6. Oculte o arquivo WP-Config.PHP de praticamente todos os usuários da Internet

Os usuários do WordPress nunca devem esquecer o poder do arquivo .htaccess ao procurar ocultar arquivos e proteger a integridade de seu painel e banco de dados do WordPress. Na verdade, esse arquivo é essencial para garantir a segurança a longo prazo do WordPress de várias maneiras. Usando algumas linhas simples de código, o arquivo “.htaccess” pode ocultar completamente arquivos de usuários públicos da Internet, mesmo que as permissões de arquivo apropriadas não estejam definidas nesse arquivo.

Esta é a solução para a exibição pública do arquivo “wp-config.php”, que contém coisas como as chaves da API e o prefixo do banco de dados necessários para comprometer uma instalação.

Para proteger esse arquivo de usuários mal-intencionados da Internet, basta adicionar as seguintes linhas de código ao arquivo “.htaccess” localizado na pasta raiz da instalação do WordPress. Se esse arquivo não existir, crie um:

 <Arquivos wp-config.php>
ordem permitir, negar
negar de todos
</Arquivos>

Com esta linha de código colocada no arquivo, salve-a e carregue-a no servidor através de um cliente FTP. O arquivo de configuração para a instalação relevante do WordPress agora desaparecerá da vista do público, e isso só pode significar coisas boas para segurança e tranquilidade.

7. E, por falar em permissões de arquivo, verifique-as para garantir a segurança

O WordPress não requer regras muito permissivas para acesso e modificação de arquivos para funcionar corretamente. De fato, todas as configurações e informações de conteúdo do site são gravadas no banco de dados em vez de armazenadas em arquivos PHP do lado do servidor. Por esse motivo, não há absolutamente nenhuma justificativa para usar um valor 777 CHMOD em qualquer arquivo do WordPress. Esta é, em vez disso, apenas uma maneira de garantir que os hackers tenham acesso fácil às configurações ou outros arquivos que possam comprometer a instalação.

Para verificar as permissões e potencialmente corrigi-las para uma instalação mais segura, abra um cliente FTP e navegue até o diretório raiz do WordPress. Clique com o botão direito do mouse em qualquer arquivo PHP e procure uma opção de menu relacionada às permissões. Na janela resultante, procure um número que indique a disponibilidade do arquivo. Certamente não deve ser 777 . Em muitos casos, é aconselhável usar um valor 744 CHMOD que restringe o acesso e a modificação dos arquivos apenas ao usuário de FTP raiz do servidor. Altere essa configuração, se necessário, e salve-a. O servidor será atualizado de acordo.

8. Use o arquivo .htaccess para ocultar o arquivo .htaccess

A maioria das pessoas não considera isso uma possibilidade, mas o arquivo .htaccess pode ser usado para se esconder do público. Ele já faz isso em grande parte empregando um nome de arquivo que começa com um ponto, mas que não funciona em computadores baseados no Windows. Essas máquinas devem encontrar o arquivo inacessível usando as instruções contidas no próprio “.htaccess”. As permissões na verdade são bem parecidas com o método usado para ocultar o arquivo de configuração PHP do WordPress, como visto aqui:

 <Arquivos .htaccess>
ordem permitir, negar
negar de todos
</Arquivos>

Novamente, uma vez que essa linha é colocada no arquivo, ela pode ser salva e carregada no servidor. Agora ele ficará invisível para praticamente todos que visitam o site, exceto o usuário administrador root.

9. Entenda e use o poder de um documento HTML em branco

Todo mundo que deseja obter acesso a uma instalação comprometida do WordPress sabe que o software coloca seus plugins e temas em um diretório específico. Eles verificarão esses diretórios para procurar a falta de plug-ins de segurança ou várias vulnerabilidades baseadas em XHTML e CSS e, em seguida, explorarão essas coisas para obter acesso. Isso é realmente muito fácil de prevenir.

Para garantir que as listas de arquivos nesses diretórios não apareçam para nenhum usuário da Internet, basta criar um documento HTML em branco e colocá-lo na pasta. O documento deve ser algo bem básico, com tags de cabeçalho e um título que diga algo como “ Acesso restrito ”. Esse título pode indicar que o administrador do site sabe uma ou duas coisas sobre segurança e enviará usuários mal-intencionados para outros sites.

10. Sempre tenha um backup recente disponível

A maneira certa de abordar a segurança de uma instalação do WordPress é que é uma parte de preparação e uma parte de prevenção.

O aspecto de “preparação” desse processo vem na forma de um backup. Tanto os arquivos reais do WordPress quanto o banco de dados usado para armazenar informações devem ser copiados regularmente; isso pode ser feito de várias maneiras, incluindo vários plugins do WordPress para o Dashboard.

Se for necessário um método mais avançado de backup de arquivos, os usuários podem usar ferramentas de backup nas áreas de administração de backend do cPanel ou Plesk Panel. Além disso, os administradores podem automatizar o processo e criar tarefas Cron para que um backup recente esteja sempre disponível.

O importante sobre a segurança do WordPress é estar sempre preparado para o pior cenário. Quando se trata de garantir tempo de atividade e confiabilidade, mesmo sob ataque de um hacker mal-intencionado, um backup do site é a maneira mais fácil de voltar a ficar online após o fechamento da falha de segurança.

Vigilância e uso inteligente são as chaves para uma instalação segura do WordPress

De um modo geral, o WordPress ficou exponencialmente mais seguro nos últimos anos. Por um breve período, parecia que havia uma nova vulnerabilidade de segurança a cada duas semanas. Esse padrão foi especialmente preocupante para usuários maiores e mais corporativos, e a equipe da Automattic rapidamente começou a trabalhar em uma reinicialização completa.

Essa reinicialização foi em grande parte a versão 3.0, com uma arquitetura muito mais segura e ferramentas de atualização automática que eliminaram o trabalho duro de se manter atualizado com os patches e correções de segurança mais recentes.

Quando se trata de manter a segurança, essas versões devem ser mantidas absolutamente atualizadas e os usuários devem empregar permissões, restrições e truques de segurança estritos, para permanecerem protegidos contra usuários mal-intencionados da Internet.