WordPress: 10 boas práticas em termos de segurança para sites

Linux Post Install

Minutos 10

WordPress: 10 melhores práticas em termos de segurança

WordPress: 10 melhores práticas em termos de segurança

WordPress (WP) é conhecido como o CMS mais popular, entre muitas coisas, tendo sido projetado com ênfase na acessibilidade, desempenho e facilidade de uso, estando em desenvolvimento contínuo (versão atual 5.2), possuem uma enorme comunidade de usuários em vários idiomas e possuem uma grande capacidade de personalização por meio do uso de temas e complementos próprios ou de terceiros.

Também por ser muito seguro, mas para isso, como em qualquer aplicativo ou sistema, boas práticas devem ser seguidas para se obter uma implementação segura de longo prazo. E neste post queremos fornecer algumas recomendações básicas a esse respeito.

Introdução

WP sendo o CMS mais popular para a construção de sites, também costuma ser um alvo frequente de ataques de computador, portanto, além de sua atualização constante, requer manutenção frequente, atualização e procedimentos de segurança para evitando assim fragilidades devido a vulnerabilidades em add-ons, senhas fracas, software desatualizado, entre muitos outros motivos, ou seja, conquistar reduz bastante sua vulnerabilidade a qualquer ataque intencional ou imprevisto.

Além disso, o WP, como qualquer outro Sistema de Gerenciamento de Conteúdo (CMS), permite que você crie um site com rapidez e eficiência e depois o coloque online. A sua elevada capacidade de trabalho e crescimento, através de módulos, temas complementares, torna mais fácil do que nunca o cumprimento desta tarefa, mas sem a necessidade dos longos anos de aprendizagem que habitualmente são necessários para tal.

No entanto, um efeito colateral nada agradável que possa surgir disso, pode ser que alguns gestores da referida ferramenta, geralmente ignorar, as medidas necessárias para garantir que o site criado ou mantido é seguro. Por este motivo, é importante ter em mente algumas medidas gerais e específicas (boas práticas), sobre WP ou qualquer outro CMS e site para mantê-lo seguro.

Boas práticas

1.- Reforce a sua segurança em geral

O WP certamente ultrapassa facilmente 30% da base de sites ativos na Internet hoje, o que o torna um alvo favorito de invasores e / ou atacantes (hackers / crackers) com boas ou más intenções. Portanto, uma vulnerabilidade conhecida e já explorada com sucesso em um site semelhante com WP será tentada em outros sites semelhantes com WP.

WordPress: 1ª boa prática

Portanto, se você gerencia e / ou usa um ou mais sites com o WP, certifique-se de ser mais cuidadoso, completo e ciente de sua segurança online. Tenha em mente que a maioria das violações de segurança analisadas e relatadas em sites com WP tinham pouco ou nada a ver com o núcleo do aplicativo em si, mas muito a ver com tudo relacionado à sua implementação, configuração e manutenção geral, realizado incorretamente por desenvolvedores ou administradores. '

WordPress: 2ª Boa Prática

2.- Conheça suas vulnerabilidades

O WordPress tem cerca de 4.000 vulnerabilidades de segurança conhecidas, distribuídas da seguinte forma: WP Core (37%), Plugins (52%) e Temas (11%), de acordo com um relatório recente do site WPScans, que agora é chamado WPSec (desde 01/05/2019). Investigue as vulnerabilidades de segurança enfrentadas pelo seu site e encontre uma solução para resolver esses problemas. Evite executar versões inseguras do WP Core, ou seus plug-ins e temas.

Concentre-se nos seguintes tópicos de segurança em seu WP ou site, ou seja, em Os diferentes tipos de Ataques de:

  • Força bruta: Reforçando a segurança em sua página de login.
  • Inclusão de arquivo: Reforçando a segurança do seu arquivo de configuração wp-config.php.
  • Injeção SQL: Reforçar a segurança do seu banco de dados MySQL associado ao WP.
  • Scripts entre sites: Reforçando a segurança dos plug-ins WP usados.
  • Infecção por malware: Reforçar a segurança geral do seu site para evitar o acesso não autorizado, a inserção de malware e a posterior recolha de dados confidenciais por estes códigos maliciosos. Os Malware ou ataques mais frequentes são geralmente do tipo: Backdoor, Spam SEO, HackTool, Mailer, Defacement e Phishing. Procure proteger seu site contra cada um desses tipos de malware ou ataque.

Lembre-se de que, uma vez que qualquer site seja comprometido, sua classificação de SEO pode ser prejudicada. Porque os mecanismos de pesquisa tendem a registrar rapidamente os sites comprometidos, de modo que os navegadores darão sinais de alerta aos visitantes ou bloquearão completamente a capacidade de navegar nesses sites.

WordPress: 3ª Boa Prática

3.- Conheça a infraestrutura do seu provedor de hospedagem

Se o seu site usa hospedagem externa, ou seja, contratado fora de sua infraestrutura, não economize nos custos para garantir a qualidade do serviço de seu provedor de hospedagem. Especialmente se ele hospedar seu site no esquema de "hospedagem compartilhada".

Já que 'hospedagem compartilhada' de baixa qualidade pode tornar seu site mais vulnerável quando um dos vários sites armazenados no mesmo servidor é comprometido. Ou seja, se um site é hackeado em um servidor com "hospedagem compartilhada", os invasores também podem obter acesso a outros sites e seus dados.

WordPress: 4ª boa prática

4.- Conheça o eespecificações técnicas da web do seu provedor de hospedagem

Quando se trata de avaliar um provedor de hospedagem, sua infraestrutura não é tudo. As especificações técnicas da web usadas por seu provedor de hospedagem para obter melhor segurança dos sites hospedados também são importantes. Certifique-se de que segue as seguintes diretrizes de segurança recomendadas para hospedar seu site:

  • Fácil instalação de certificados SSL
  • Gerenciamento ativo de versões de software de servidor web.
  • Proteção de firewall
  • Registro de acessos ao site
  • Auditorias de segurança de rotina
  • Detecção de atividade maliciosa
  • Suporte para SFTP (não apenas FTP), TLS 1.2 e 1.3 e para PHP 5.6, no mínimo, embora 7.0 em diante seja recomendado.

Tudo isso é necessário, no mínimo, para aumentar a segurança do seu site com ou sem WP como CMS usado.

WordPress - Temas e plug-ins: plug-ins

5.- Cuidado com os temas e complementos usados

Os plug-ins e temas instalados são muito importantes no nível de segurança. Procure usar apenas temas e plug-ins certificados pela comunidade ou WP oficiais, repositórios comerciais conhecidos ou diretamente de desenvolvedores de renome. Uma vez que muitos deles (não certificados) podem conter código malicioso.

Não importa o quanto você protege seu site do WP se instalar o malware. Faça sua pesquisa antes de baixar e instalar quaisquer temas e plugins, ou o site do seu desenvolvedor ou promotor, e faça suas reservas com os gratuitos ou com desconto.

WordPress: 5ª boa prática

6.- Tente atualizar seu CMS com freqüência

Atualizações em sua plataforma web são muito importantes para sua segurança. Qualquer um WP seu CMS ou não, versões desatualizadas de seu Core, Tema ou plug-ins podem levar você a abrigar vulnerabilidades conhecidas em seu site. No caso do WP, que é open source, há uma equipe especificamente dedicada a esse problema dentro do Core do aplicativo.

Cada vulnerabilidade de segurança descoberta no WP é corrigida e eliminada imediatamente a fim de resolver cada novo problema de segurança descoberto no WP. Por causa dessa atualização O WP e todos os seus temas e plug-ins para a versão mais recente são um componente vital de uma estratégia de segurança bem-sucedida.

WordPress: 6ª boa prática

7.- Encontrei uma senha adequada

A qualidade ou força de nossas senhas em sites é muito importante. O login em nossos sites é um alvo preferencial para explorar vulnerabilidades, porque fornece o acesso mais fácil à página de administração do seu site.

Ataques de força bruta são o método mais comum de explorar o seu login, descobrindo as combinações de nome de usuário e senha para obter acesso ao site. No caso específico do WP, por padrão ele não limita o número de tentativas de login falhadas que alguém pode fazer, portanto, o mais recomendado é o uso de uma senha complexa para o login do seu administrador do WP.

Ao escolher uma senha, leve em consideração estes 3 requisitos fundamentais baseados no formato CLU (Complexo, Longo, Único):

  • COMPLEXO: As senhas devem ser tão aleatórias quanto possível e menos relacionadas ao administrador da Web ou ao site.
  • GRANDES: As senhas devem ter 12 ou mais caracteres. E reforçado com restrições ou limitações no número de tentativas de conexão com falha.
  • SÓ: Não reutilize senhas. Cada senha deve ser única no tempo. Essa regra simples limita drasticamente o impacto de qualquer senha comprometida.

Recomendação: Use um gerenciador de senhas como “LastPass” (online) e “KeePass 2” (offline) para gerar e armazenar todas as suas senhas em um formato criptografado.

WordPress: 7ª Boa Prática

8.- Tenha sempre o seu plano anti-desastre preparado

Se você usar o WP, lembre-se de que ele não possui um sistema de backup embutido. Inclua um como prioridade, para que você sempre tenha um backup atualizado do seu site. Os backups são essenciais e uma estratégia geral de segurança a ser implementada.

Não se esqueça que você não deve apenas faça backup de seus sites e bancos de dados usadosmas todos as configurações de todo o servidor através de tarefas automatizadas com sistemas de script ou imagem clonada, para facilitar as restaurações e reinstalações necessárias no menor tempo possível.

WordPress: 8ª Boa Prática

9.- Aumente a sua segurança usando 2FA

Fortaleça o seu login de administrador WP ou site da Web usando o mecanismo de autenticação de dois fatores (2FA), que é uma das melhores maneiras de proteger seu site hoje. A autenticação de dois fatores adiciona uma camada extra de proteção ao login do seu site, exigindo que o uso de sua senha exija um código adicional sensível ao tempo de outro dispositivo, como seu smartphone, para efetuar o login com sucesso. .

No caso de WP que não oferece essa funcionalidade por padrão incorpore o mesmo usando um plugincomo o iThemes Security para adicionar o mesmo.

WordPress: 9ª boa prática

10.- Use todos os acessórios de segurança necessários

A maioria dos CMS, como o WP, usa plug-ins para aumentar o potencial de segurança deles. No caso específico do WP, recomenda-se o uso do plugin de segurança denominado iThemes Security. para adicionar ainda mais proteção ao seu site. Este plugin bloqueia o WP, corrige falhas conhecidas, interrompe ataques automatizados e fortalece as credenciais do usuário.

Possui uma versão gratuita (iThemes Security) e uma versão paga (iThemes Security Pro) que obviamente fornece mais recursos de segurança como 2FA, varreduras programadas de malware, registro de usuário, entre outras coisas.

Conclusão

Quer seja por WP ou outro CMS, você pode evitar a maioria dos problemas de segurança de seu site simplesmente seguindo estas práticas recomendadas ou boas de segurança. Seu site merece e deve ter as medidas de segurança necessárias para garantir ou minimizar sua inviolabilidade nestes tempos tão conturbados pela atividade de hackers e crackers.

Finalmente e como complemento, Recomendamos que você leia este outro artigo em nosso blog sobre o assunto para fortalecer a segurança do seu site, denominado: Permissões do Linux para administradores e desenvolvedores de sistema.


Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.