Back-End

9 jul, 2015

O WordPress é seguro. Inseguro é você.

Publicidade

Segurança é processo, e os processos precisam ser bem executados e garantidos para que você se sinta seguro com sua aplicação, ou pelo menos mais tranquilo. Os casos e as notícias veiculadas sobre falhas de segurança no CMS mais popular do mundo são, em sua maioria, decorrências de ações e de alguns cuidados que não foram tomados.

Quando alguma brecha é encontrada, ela é rapidamente corrigida e uma nova versão do software é disponibilizada. Todas as instalações são notificadas sobre esse lançamento, alertando o usuário para o processo de atualização. Passado um determinado tempo, essa falha se torna pública, e você certamente ainda permanece com uma versão antiga.

Atualizações

Manter o WP sempre rodando a última versão, sim como seus plugins e temas, é o primeiro passo para estar com a casa em ordem e com um procedimento bem executado. Ou seja – e para reforçar –, mantenha o WordPress, seus plugins e temas sempre atualizados.

Uma versão desatualizada pode deixar a porta dos fundos, ou a da frente, aberta ou com a chave na fechadura, e essa responsabilidade não pode ser creditada à aplicação. E também é muito comum recursos complementares – leia-se plugins e temas – não terem sido bem codificados, nem uso de boas práticas e, assim, colocarem as coisas em risco.

Verificações de segurança

Manter uma rotina de verificação e análise de segurança é crucial para detectar alguma lacuna e atuar de forma corretiva quando preciso. As verificações podem ser combinadas para serem manuais e automatizadas. Utilizando dois processos diferentes e com metodologias distintas, é possível uma abrangência maior da cobertura e das análises.

O WP Scan é um exemplo de ferramenta que pode ser instalada em máquinas Linux ou Mac – que me desculpe o Windows – para atuar na verificação do WordPress e seus complementos. Seu uso através do terminal é simples, e precisamos somente informar a URL do site para que o escaneamento seja realizado.

Algumas empresas, como a Sucuri, oferecem um serviço de monitoramento 24/7 e envio de alertas por e-mail. Você envia um arquivo PHP para a raiz do seu site, e ele se comunica com os servidores da empresa para uma análise atualizada e eficaz. Na descoberta de seres estranhos, o arquivo e a linha são informados e podemos entrar em ação para corrigir o problema.

Senhas pessoais

Por falar em portas, ao sair de casa, você sempre as fecha – ou deveria. O seu login deve ter a mesma tratativa: logou, usou, deslogou. Simples. Se fizer uso de computador público, esse processo deve ser levado muito mais a sério.

Recentemente, foi disponibilizado um recurso que permite ao usuário desconectar as demais contas abertas de forma remota por meio da página de edição do perfil. Isso é característico de plataformas seguras, que se importam com o assunto e que desejam ajudar a implementar processos importantes facilmente.

Ainda espero o dia em que não será permitido criar ou atualizar os dados de um usuário que tenha uma senha fraca ou faça uso de nome de usuário como “admin”. Isso é facilitar o processo de ataques de força bruta para ganhar acesso à sua administração e injetar malwares ou postar aquelas lindas e simpatizantes propagandas de Viagra, Cialis e companhia limitada.

Fornecedores de serviços

Você e sua empresa, além de adotarem procedimentos de segurança, devem cobrar o mesmo de seus fornecedores – sejam as empresas especializadas em WordPress, as gestoras de conteúdo ou as de hospedagem.

As empresas de hospedagem são responsáveis por implantar e executar processos no servidor, como manter o sistema operacional e suas bibliotecas atualizados e ter uma infraestrutura impeditiva de ataques DDOS, por exemplo.

A implementação dos processos técnicos de segurança deve ser de responsabilidade das empresas especializadas, a não ser que você domine o assunto e queira fazê-los. Os procedimentos a que me refiro são os cuidados com atualizações, verificações e correções de segurança, gestão da hospedagem do site e diversos outros fatores.

Diretórios, arquivos e o wp-config.php

Ao realizar o deploy, certifique-se de que os arquivos e os diretórios estão com as devidas permissões – 0644 para os arquivos e 0755 para os diretórios. Nada de 0777, por favor. E por falar em arquivo, considere manter o wp-config.php um nível acima da pasta pública do seu servidor. O WordPress lida bem com sua localização, mesmo que fora dos famosos diretórios www e/ou public_html.

No arquivo wp-config.php, há constantes que definem o comportamento da aplicação – algumas são padrão e outras você precisa muito conhecer e fazer uso. As chaves de segurança, por exemplo, são padrão e nesse serviço – https://api.wordpress.org/secret-key/1.1/salt – hashes poderosos são gerados. Ainda temos as credenciais do banco de dados. Duas dicas rápidas e simples: use uma senha forte e evite o prefixo das tabelas como “wp_”.

Vire o jogo

Várias outras possibilidades de melhorias de segurança podem ser implementadas através da definição de constantes no referido arquivo – considere conhecê-las e adotar as mais pertinentes em seu caso.

Os desenvolvedores por trás do WordPress realizam um grande esforço constantemente para garantir uma aplicação segurança e inovadora. As empresas especializadas em WP e de hospedagem também cumprem seu papel. Mas nós, usuários, somos falhos, teimosos e acreditamos que ataques acontecerão sempre no site ao lado. Considere melhorar seus processos para que assim possamos afirmar: o WordPress é seguro. E você também.

***

Texto publicado originalmente na Revista iMasters.