Guia de segurança e proteção do WordPress

Primeiro, vamos definir as medidas de segurança do WordPress para WordPress. WordPress é um sistema de gerenciamento de conteúdo (CMS) que permite produzir e gerenciar todos os tipos de conteúdo sem nenhum conhecimento de codificação. Após algumas etapas de instalação, você pode implantar facilmente seu site com uma infraestrutura de gerenciamento de conteúdo. Tudo que você precisa é de um domínio e hospedagem com suporte a PHP e MySQL.

WordPress é uma das estruturas CMS de código aberto mais preferidas do mundo. De acordo com estatísticas recentes, 30% dos sites em todo o mundo são construídos na plataforma WordPress. Você pode ver que corporações globais, instituições governamentais, jornais e muitas empresas semelhantes preferem a plataforma WordPress.

Medidas de segurança do WordPress Este sistema alcançou grande sucesso e popularidade. No entanto, um dos fatores que acompanham sua popularidade é atrair a atenção de invasores cibernéticos. Os ciberataques geralmente seguem sistemas populares, especialmente sistemas de código aberto. É inevitável que alguns dos ataques cibernéticos sejam direcionados a este sistema de gestão CMS, uma vez que um terço dos sites em todo o mundo possuem uma infraestrutura WordPress.

Neste artigo, discutiremos as medidas de segurança que precisam ser tomadas após a instalação do WordPress. Ao tomar essas medidas de segurança e medidas de reforço, você terá tomado as medidas necessárias para proteger sua infraestrutura WordPress contra invasores cibernéticos.

Nota: Este guia foi escrito exclusivamente com base no sistema de gerenciamento WordPress. Questões relacionadas à hospedagem, problemas de computadores pessoais e outras fontes semelhantes não estão incluídas neste artigo.

Guia de segurança e proteção do WordPress

Após a instalação do WordPress, você pode tornar seu sistema seguro e ficar à frente de ataques cibernéticos tomando as medidas de segurança descritas abaixo.

Se você possui uma infraestrutura WordPress, deve levar esse problema a sério e tomar medidas básicas de segurança contra ataques cibernéticos em constante evolução e mudança. Caso contrário, você poderá se tornar alvo de invasores cibernéticos ou seu sistema de gerenciamento de conteúdo e seus dados poderão ser comprometidos.

A segurança é um processo e deve ser gerenciada corretamente. É importante lembrar que a segurança não pode ser garantida pelo 100% e o gerenciamento desse processo pode reduzir o seu nível de risco.

Proteger seu computador pessoal ou empresarial, comportamentos online e operações internas é uma das primeiras etapas para proteger sua infraestrutura WordPress.

A segurança consiste em três áreas principais: Pessoas, Processos e Tecnologia.

Cada um deles deve estar em harmonia sincronizada entre si. A vulnerabilidade em uma área pode afetar todo o sistema. Portanto, ao considerar a segurança do WordPress, você não deve ignorar seus erros pessoais, vulnerabilidades em hospedagem e sistemas de hospedagem semelhantes, processos e desenvolvimento de tecnologia.

Como garantir a segurança do WordPress?

Abaixo estão os controles de segurança do WordPress e as medidas de segurança que você precisa tomar. Ao tomar essas medidas, você pode tornar seu sistema seguro e aumentar a segurança.

Restrição de acesso aos controles gerais de segurança do WordPress: Você pode fortalecer sua segurança minimizando o número de contas com acesso ao seu site WordPress e ajustando corretamente as permissões de quem irá acessá-lo. Lembre-se de que ter vários privilégios de “Administrador” em um sistema aumentará suas vulnerabilidades.

Plug-ins e temas: Remova todos os plug-ins e temas não utilizados do seu site WordPress. Isso ajuda a manter a privacidade, a usabilidade e a integridade com pelo menos princípios de privilégio. Dessa forma, você não será afetado por vulnerabilidades que possam surgir em temas ou plugins não utilizados.

Isolamento: Você deve configurar seu sistema para minimizar a quantidade de danos que podem ocorrer se seu sistema for comprometido. Se possível, evite ter vários sites diferentes em uma única conta de hospedagem. Se vários sites estiverem hospedados em uma hospedagem, observe que todo o sistema será afetado pelas vulnerabilidades de outros sites.

Backup seguro: Hospede backups verificados em locais seguros. Verifique periodicamente a integridade dos backups para garantir que você possa restaurar seu site caso ele esteja danificado. Após ataques cibernéticos que possam comprometer a segurança do seu site, você deverá ter um plano de recuperação de emergência.

Não se esqueça das atualizações: Faça o possível para se manter atualizado com a instalação do WordPress, incluindo plug-ins e temas. Você deve fazer atualizações nos temas e plugins instalados em seu site. Ao mesmo tempo, recomendamos que você faça atualizações de versão do WordPress sem demora.

Atualizações de segurança: As vulnerabilidades de segurança são uma preocupação que afeta todos os softwares. Uma vulnerabilidade pode ser identificada e explorada em qualquer sistema. Isso pode afetar não apenas todos os softwares e hardwares, mas também o sistema de gerenciamento de conteúdo WordPress. 

Use fontes confiáveis: Não instale, baixe ou use plugins/temas de fontes não confiáveis! Se você deseja instalar um plugin, certifique-se de carregá-lo em seu sistema através do WordPress.org. Fique longe de plug-ins e temas distribuídos por sites de terceiros. Especialmente em sites ilegais que distribuem temas pagos ou plug-ins gratuitamente, existem vulnerabilidades significativas, vírus ou hackers mal-intencionados. Lembre-se de que esses sites ilegais que distribuem temas ou plug-ins gratuitamente podem hackear seu sistema inserindo código malicioso em seus temas ou plug-ins!

Etapas de segurança da instalação pós-WordPress

Depois de concluir a instalação do WordPress, você pode realizar a proteção pós-instalação seguindo as orientações abaixo.

Protegendo wp-config.php

O arquivo mais importante na infraestrutura do WordPress é o arquivo wp-config.php. Fazendo alguns ajustes neste arquivo, você pode aumentar a segurança do sistema. Primeiro, precisamos verificar a segurança do arquivo wp-config.php.

Para proteger o arquivo wp-config.php em servidores Apache, adicione o seguinte código ao conteúdo do arquivo .htaccess. Com este código, o conteúdo do arquivo wp-config.php não pode ser chamado de fora e o acesso de fora será desabilitado.

<files wp-config.php>
ordenar permitir, negar
negar de todos
</files>

Além disso, mover o arquivo wp-config.php para fora da pasta HTML usando plug-ins diferentes fornecerá valor de segurança adicional. Este arquivo é o arquivo mais importante nos logs do WordPress. O wp-config.php contém as informações necessárias para conexão com o banco de dados.

Criptografando o arquivo wp-config.php

Outra forma de restringir o acesso a outro arquivo wp-config.php é criptografar seu conteúdo. Você pode usar ionCube, Zend Guard ou a ferramenta mais simples e gratuita disponível em phpr.org para criptografia. Dessa forma, somente quem tem acesso aos dados criptografados poderá visualizá-los, mantendo a confidencialidade das informações de conexão do seu banco de dados.

Alterando a localização do arquivo wp-config.php

Como o arquivo wp-config.php é crucial, não podemos confiar apenas na criptografia. Os métodos de criptografia podem eventualmente ser quebrados por invasores profissionais. Se mudarmos a localização do arquivo wp-config.php, daremos mais um passo importante em termos de controle de acesso.

Podemos alterar o diretório onde o arquivo wp-config.php está localizado ou alterar diretamente o nome do arquivo. Para fazer isso, precisamos abrir o arquivo wp-load.php no diretório raiz do nosso site e alterar os locais onde wp-config.php está escrito de acordo com o nome da nossa pasta.

Observação: você pode usar plug-ins que tornem essas configurações permanentes, pois elas reverterão às configurações antigas após cada atualização.

Bloqueando o acesso ao arquivo wp-load.php

Outra etapa para proteger o WordPress é bloquear o acesso ao arquivo wp-load.php. Assim como bloqueamos o acesso externo ao arquivo wp-config.php usando o arquivo .htaccess, podemos restringir o acesso ao arquivo wp-load.php para possíveis acessos não autorizados.

<files wp-load.php>
ordenar permitir, negar
negar de todos
</files>

Protegendo o diretório de plug-ins do WordPress

Vulnerabilidades também podem surgir nos plug-ins que você usa no sistema WordPress. Os invasores podem obter acesso não autorizado ao seu sistema explorando vulnerabilidades nesses plug-ins. Portanto, devemos tomar medidas de segurança também para a pasta “Plugins” do WordPress. Em circunstâncias normais, o conteúdo deste diretório não deve ser listado ao acessá-lo. Porém, em algumas versões ou devido a erro do usuário, este diretório pode estar aberto e as pastas dentro dele podem ser listadas. Dessa forma, os invasores podem obter informações sobre os plugins instalados no sistema. Se quiser evitar que pessoas de fora vejam seus plug-ins, você pode criar um arquivo vazio chamado index.html nesta pasta para evitar a listagem de diretórios.

Nota: Nas versões atualizadas do WordPress, há um arquivo index.php vazio padrão.

Bloqueando o acesso ao arquivo .htaccess do WordPress

O arquivo .htaccess é muito importante para WordPress em servidores Apache. Este arquivo geralmente contém o conteúdo de redirecionamento padrão do WordPress. Por outro lado, conforme mencionado acima, também pode ser utilizado para bloquear acessos não autorizados. Se adicionarmos o seguinte código ao nosso arquivo .htaccess, garantimos a segurança do nosso arquivo .htaccess:

ordenar permitir, negar negar de todos

Desativando o modo de depuração do WordPress

Você pode evitar vulnerabilidades potenciais desativando as mensagens de erro do WordPress. Você pode desligar o modo de depuração adicionando o seguinte código ao arquivo wp-config.php. O modo de depuração é usado para visualizar possíveis erros do WordPress, e os desenvolvedores geralmente ativam esse modo para investigar erros no sistema. Você pode desligar o modo alterando o valor “falso” no código ou alterando-o para “verdadeiro” para reativar o modo de depuração.

definir( 'WP_DEBUG', falso );

Forçando WordPress para publicação SSL

Recomendamos que seu site WordPress seja publicado via SSL. Para publicar por SSL, você deve ter um certificado SSL. Os certificados SSL podem ser vendidos mediante pagamento ou disponíveis em versões gratuitas. Você pode obter um certificado SSL gratuito usando Let's Encrypt ou Cloudflare. Ter seu site publicado via SSL terá um impacto positivo no Google e também será um passo importante contra invasores. Depois de configurar a publicação SSL para o seu site, você pode forçar o SSL adicionando o seguinte código ao arquivo wp-config.php:

definir('FORÇAR_SSL_ADMIN', verdadeiro);

Habilitando atualizações automáticas do WordPress

À medida que surgem vulnerabilidades em outros softwares, elas também surgem no WordPress, e essas vulnerabilidades detectadas continuamente pela equipe do WordPress são corrigidas por meio de atualizações. Você pode realizar essas atualizações manualmente ou automaticamente adicionando o seguinte código ao seu arquivo wp-config.php:

definir('WP_AUTO_UPDATE_CORE', verdadeiro);

Definindo a pasta temporária do WordPress

Assim como nas atualizações do WordPress, as operações são realizadas em uma pasta TEMP para atualizações de plugins e temas também. Esta pasta precisa ser gravável. Você pode garantir que as atualizações sejam concluídas corretamente adicionando o seguinte código ao seu arquivo wp-config.php, especificando o diretório de upload. O código deve indicar o diretório de upload e o caminho do arquivo deve ser especificado exatamente. O código a seguir é o caminho padrão da pasta de upload do WordPress no sistema operacional CentOS:

definir('WP_TEMP_DIR','/var/www/html/wp-content/uploads/');

Em alguns casos, durante as atualizações de plugins e temas, os arquivos do WordPress podem não ser obtidos corretamente ou podem produzir erros. Você pode garantir que as atualizações com erros sejam feitas corretamente adicionando o seguinte código ao seu arquivo wp-config.php:

Desativando tarefas agendadas

Um dos recursos do WordPress são as tarefas agendadas. No entanto, as tarefas agendadas podem sobrecarregar o sistema em alguns casos. Por outro lado, quando invasores se infiltram no seu sistema, eles podem usar a função CRON do WordPress para permanecerem persistentes. Você pode interromper as tarefas agendadas do WordPress adicionando o seguinte código ao seu arquivo wp-config.php:

definir('DESATIVAR_WP_CRON', verdadeiro);

Desativando o Editor de Edição de Arquivos

Você pode gerenciar arquivos de tema usando o editor de código no painel de administração do WordPress. No entanto, esse recurso pode representar uma vulnerabilidade. Especialmente, vimos casos em que invasores injetaram código malicioso em seus arquivos de tema por meio de uma vulnerabilidade em seu sistema. Você pode desativar o recurso de edição de arquivos de tema do WordPress adicionando o seguinte código ao seu arquivo wp-config.php. Isso aumentará ainda mais sua segurança:

definir('DESLIGAR_EDIÇÃO_DE_ARQUIVO', verdadeiro);

Alteração de chaves de autenticação exclusivas

As chaves de autenticação exclusivas do WordPress são um conjunto de variáveis aleatórias que melhoram a criptografia das informações armazenadas nos cookies do usuário. Um total de quatro chaves de segurança são criadas após a instalação:

AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY e NONCE_KEY.

As chaves de autenticação do WordPress são usadas para criptografar permissões no WordPress, contribuindo para a segurança do seu site e dificultando sua invasão. Essas chaves afetam vários aspectos, desde a criptografia de cookies até chaves de segurança usadas como “Nonces” para operações AJAX. Em uma instalação padrão, você os encontrará da seguinte forma:

definir('CHAVE_AUTH', 'coloque seu conjunto de caracteres exclusivo aqui');
definir('CHAVE_AUTH_SEGURA', 'coloque seu conjunto de caracteres exclusivo aqui');
definir('CHAVE_LOGADA', 'coloque seu conjunto de caracteres exclusivo aqui');
definir('CHAVE_NONCE', 'coloque seu conjunto de caracteres exclusivo aqui');
definir('AUTH_SALT', 'coloque seu conjunto de caracteres exclusivo aqui');
definir('SAL_AUTENTICAÇÃO_SEGURA', 'coloque seu conjunto de caracteres exclusivo aqui');
definir('LOGADO_EM_SALT', 'coloque seu conjunto de caracteres exclusivo aqui');
definir('SAL_NONCE', 'coloque seu conjunto de caracteres exclusivo aqui');

Configurando permissões de arquivos e diretórios do WordPress

O esquema de permissão padrão para WordPress deve ser o seguinte:

Pastas – 750 / Arquivos – 640

Você pode tornar seu site seguro concedendo 750 permissões para suas pastas e 640 permissões para seus arquivos. Você pode usar o FileZilla ou uma ferramenta FTP semelhante para esse ajuste, ou pode ser necessário entrar em contato com seu provedor de hospedagem. Antes de fazer alterações nas permissões, é recomendável discutir com seu provedor de hospedagem, pois isso pode afetar negativamente o desempenho e a usabilidade do seu site. Além disso, certifique-se de que nenhum arquivo ou diretório tenha permissões 777, pois isso cria uma vulnerabilidade.

Proteja a pasta de upload

Você deve proteger a pasta de upload do WordPress, onde as imagens e outros arquivos são carregados, contra possíveis vulnerabilidades, como a execução de arquivos executáveis (por exemplo, scripts Shell). Os invasores podem explorar vulnerabilidades que encontrarem em seu sistema para fazer upload de arquivos maliciosos para o diretório Uploads e obter acesso ao Shell. Para evitar isso, você deve criar um arquivo .htaccess dentro do diretório /wp-content/uploads/ e adicionar o seguinte código ao arquivo /wp-content/uploads/.htaccess. Isso impedirá que invasores baixem e executem arquivos maliciosos em sua pasta de upload.

# Elimina a execução do PHP negar de todos

Política de conta de usuário

Durante a instalação do WordPress, uma conta de administrador é adicionada. Se você concluiu a instalação do WordPress como padrão, terá criado uma conta de administrador. No entanto, recomendamos alterar o nome de usuário desta conta para proteção contra ataques de força bruta. Além disso, ter várias contas de administrador aumenta as vulnerabilidades. Recomendamos usar uma única conta de administrador e atribuir funções de editor, autor ou usuário a outros usuários em seu sistema. Os usuários costumam usar seus nomes como nomes de usuário, o que pode ser previsível e criar vulnerabilidades. Portanto, desaconselhamos usuários ou administradores que utilizem tais nomes de usuário.

Senhas e informações do usuário

O WordPress aplica uma política padrão para senhas complexas aos usuários que você cria. No entanto, alguns usuários podem criar senhas não confiáveis e previsíveis, como “12345678”. Recomendamos incentivar os usuários a criarem senhas complexas para proteger suas contas. Caso contrário, há uma grande probabilidade de que os invasores adivinhem essas senhas e obtenham acesso ao seu sistema. Além disso, a alteração periódica das senhas é importante para a segurança.

Prevenindo ataques de Pingback no WordPress

O recurso Pingback do WordPress pode ser abusado por invasores para criar carga excessiva em seu sistema e pode ser usado em ataques de negação de serviço distribuída (DDOS). Para evitar isso, recomendamos desabilitar o recurso Pingback do WordPress se você não o estiver usando. Você pode desativar a função Pingback adicionando o código a seguir em um local apropriado no arquivo functions.php do seu tema.

// Desabilitar Pingback função remover_x_pingback(1TP4Cabeçalhos) { não definido(1TP4Cabeçalhos['X-Pingback']); retornar 1TP4Cabeçalhos; } adicionar_filtro('wp_headers', 'remover_x_pingback');

Desativando o acesso XML-RPC do WordPress

O arquivo XML-RPC do WordPress foi explorado várias vezes no passado. Os invasores geralmente exploram duas vulnerabilidades principais neste arquivo. Primeiro, ele é usado em ataques de força bruta para obter acesso não autorizado ao seu site, tentando combinações de nome de usuário e senha. Em segundo lugar, os invasores podem usar o arquivo XML-RPC para lançar ataques de negação de serviço (DDOS) em seu sistema.

Para se proteger contra esses ataques, recomendamos adicionar o seguinte código ao arquivo functions.php do seu tema para desabilitar a função XML-RPC.

// Desabilitar XML-RPC adicionar_filtro('xmlrpc_enabled', '__return_false');

Você também pode desabilitar o acesso XML-RPC via .htaccess. Adicione o seguinte código ao seu arquivo .htaccess no diretório raiz, substituindo “123.123.123.123” pelo seu endereço IP real para permitir apenas o acesso desse IP.

Bloco # WordPress xmlrpc.php
<Files xmlrpc.php>
ordenar negar, permitir
negar de todos
permitir de 123.123.123.123
</Files>

Desativando o recurso API REST do WordPress

Se você não estiver usando o recurso REST API introduzido no WordPress 4.4, recomendamos desativá-lo para evitar possíveis abusos por parte de agentes mal-intencionados, levando à sobrecarga do sistema e possíveis interrupções do serviço. Para desabilitar o recurso REST API, adicione o seguinte código ao arquivo functions.php do seu tema.

//Desativa a API REST
adicionar_filtro( 'json_habilitado', '__return_false' );
adicionar_filtro( 'json_jsonp_enabled', '__return_false' );
adicionar_filtro( 'rest_enabled', '__return_false' );
adicionar_filtro( 'rest_jsonp_enabled', '__return_false' );

Preste atenção ao bloco de código para remover informações “info” das solicitações, evitando que invasores coletem informações.