Mantenha o seu WordPress seguro

Segurança em WordPress é um assunto recorrente aqui no InfoDicas e, na minha opinião, é um assunto de extrema importância, principalmente nos dias atuais onde uma enxurrada de desenvolvedores (e curiosos) elegeram o WordPress como CMS principal e focam grade parte dos seus esforços em desenvolver sites e até sistemas inteiros utilizando o WordPress. Esse tipo de postura não está totalmente errado, o WordPress realmente deixou de ser um “gestor de conteúdo para blogs” para se tornar um verdadeiro e poderoso CMS com todas as qualidades que você possa imaginar.

O problema passa a existir quando pessoas menos experientes começam a fuçar no código principal do WordPress afim de fazer funcionar uma coisa qualquer que eles inventaram, ao invés de construírem um plugin para que tal coisa funcione. Até mexer nos arquivos do tema é aceitável quando não há outra forma de adicionar aquela funcionalidade que você projetou para o sistema. Acontece que para mexer no “core” do WordPress ou até mesmo em plugins e arquivos de tema é necessário ter um certo conhecimento de como o sistema funciona como um todo e isso não é algo que se aprenda em pouco tempo, é algo que exige uma curva de aprendizagem como qualquer outro CMS.

A maioria dos casos de ataque à WordPress são os famosos defacements, onde alguém mal intencionado muda completamente a apresentação do seu WordPress, muitas vezes tirando todo o seu conteúdo do ar e substituindo por algum outro conteúdo, geralmente de cunho ofensivo ou se engrandecendo pelo ato. Esses ataques surgem, na maioria dos casos, através de falhas PRIMÁRIAS na programação de algum plugin ou tema utilizado no seu WordPress. Dificilmente surge uma falha no WordPress (no código principal, também conhecido como core) que dê total à outrem. O caso mais conhecido de defacement ou mass defacement (quando o ato ocorre em massa, modificando muitas vezes centenas ou milhares de sites ao mesmo tempo) foi o caso do timthumb. Até hoje vários hosts tem pavor do timthumb justamente pelo fato de ele ter trazido um risco enorme à essas empresas que, de uma hora pra outra, viu todos os clientes de determinados servidores com o conteúdo dos sites alterados ou até mesmo completamente removidos por conta de uma falha de segurança gravíssima (e primária) deixada no script pelos desenvolvedores. Veja neste post mais informações sobre a falha do timthumb.

Esse tipo de falha pode ser evitado prestando atenção aos plugins utilizados no seu WordPress e/ou no tema que você está utilizando. Não preciso nem lembra-los que NUNCA se deve utilizar um tema pirateado no WordPress, não é? Não é difícil escolher os plugins corretos para serem utilizados no seu WordPress e, sendo assim, evitar os plugins de procedência duvidosa é o melhor a fazer. É, de certo modo, fácil reconhecer os plugins que modem fazer algum mal ao seu WordPress, basta evitar os plugins que não possuem qualquer suporte ou atualização há um tempo considerável e, principalmente, evitar plugins em fase alpha ou beta de desenvolvimento. É fácil distinguir quais plugins ainda não estão totalmente prontos para uso geral observando-se a numeração da versão do plugin, caso a versão seja 0.x (zero ponto alguma coisa) significa que o plugin ainda está em fase de testes. Utilizar um código de testes no seu ambiente de produção é pedir, no mínimo, para ter problemas, concorda? Dê uma olhada também quando foi a última atualização do plugin pois essa informação está disponível diretamente no site do plugin dentro do WordPress.org e ela está lá justamente pelo motivo de te mostrar há quando tempo o plugin não recebe qualquer atualização. Dê uma olhada também nos fóruns de suporte dentro do próprio WordPress.org, lá é o melhor lugar para trocar experiências com outras pessoas que já utilizaram o plugin e tem qualquer dúvida ou problema a respeito do funcionamento do plugin.

Examine bem o host antes de hospedar seu site WordPress

Essa é, com toda a certeza, a parte mais polêmica desse texto e, certamente, a parte que vai gerar mais rage nos comentários.

Como todos já devem saber o WordPress não funciona “sozinho” no servidor, ele depende de pelo menos 3 outros programas para fazê-lo funcionar que são: Servidor Web (geralmente o Apache), Banco de Dados (MySQL) e o PHP, uma linguagem de programação server side que faz grande parte da “mágica” do WordPress.

De alguns anos para cá o mercado de hospedagem de sites, principalmente no Brasil, pipocou de novas empresas ou EUpresas (termo gentilmente roubado da Angélica Costa, criadora deste termo e do Portal do Host) e o grande problema dessa situação é que entrou muita gente inexperiente no mercado, pessoas que acham que gerenciar servidores de hospedagem de sites não precisa de qualquer tipo de conhecimento avançado e que, para economizar uma grana, acabam assumindo para si a tarefa de gerenciar um servidor inteiro sem ter o conhecimento necessário para essa tarefa.

Como já foi dito, o WordPress não funciona sozinho no servidor e depende DIRETAMENTE dos três softwares citados no outro parágrafo e cada um desses softwares são utilizados amplamente no mundo inteiro, o que faz com que várias pessoas tentem explorar brechas de segurança em todos eles o tempo todo. Vez ou outra são encontradas falhas nesses softwares que permitem à alguém mal intencionado executar algum tipo de ataque à sites e aplicações rodando nesse ambiente. Os desenvolvedores SEMPRE corrigem essas falhas, o problema é que eles corrigem as falhas mas não são responsáveis por corrigir os servidores de todo mundo. As falhas são corrigidas e disponibilizadas para que cada administrador de sistema atualize seus servidores e é justamente nesse ponto que os aventureiros do mercado de hospedagem falham vergonhosamente por não ter o conhecimento necessário para aplicar as correções de seguranças no sistema, deixando servidores com dezenas ou centenas de sites expostos a ataques.

Além de todos esses fatores que acabei de descrever, é importante verificar se o host que você escolheu para hospedar o seu site, blog ou sistema conhece a plataforma WordPress e estão aptos a lhe prestar um suporte mesmo que básico caso você tenha problemas com a plataforma. Há casos onde o suporte limita-se a dizer que não é responsável pela aplicação do cliente e, sim, isso é uma verdade, porém é importante notar que o suporte PRECISA estar preparado pelo menos para indicar de onde vem a falha que afeta o sistema do cliente. Isso pode ser observado através dos logs de erro do servidor e não é uma tarefa das mais complicadas, porém, exige o mínimo de conhecimento.

Conclusão

Como eu sempre digo: criar um site em WordPress é fácil, manter o conteúdo é extremamente fácil, porém manter a integridade do sistema deve ser feito sempre por profissionais que realmente entendem do que estão fazendo, caso contrário, o seu blog, site ou sistema estará fadado a viver à beira de um colapso.

Aproveitando para fazer um belo jabá, caso você não tenha escolhido ainda a hospedagem para o seu site, blog ou sistema, dê uma olhadinha nos planos de hospedagem que ofereço e, tenha a certeza de que o seu WordPress será bem tratado comigo.