Falar em segurança para WordPress em 2016 parece até “chover no molhado”, mas, ao contrário do que muitos pensam, hoje, mais do que nunca, esse é um assunto de extrema importância e cada dia mais necessário que seja do conhecimento de todos os utilizadores da plataforma WordPress, versão hosted, também conhecido como WordPress.org.
O WordPress tornou-se praticamente onipresente na web e isso significa que ele se tornou o principal foco de ataques de muitos grupos que desejam desde enviar e-mails com SPAM, passando por implantar clandestinamente um site de phishing chegando até aos que querem obter controle total do servidor. Como o WordPress está presente em praticamente 1/4 de todos os sites no mundo (e crescendo), conseguir um ataque com sucesso à essa plataforma, faz com que o atacante obtenha sucesso em milhares de outros ataques utilizando praticamente a mesma fórmula.
Como este é um assunto voltado principalmente para usuários leigos, é bom deixar claro que nem tudo fica à cargo apenas do usuário. Por se tratar de um serviço hospedado em um servidor comum de hospedagem, serviço que é oferecido por diversas empresas, parte do esquema de segurança do site depende de quem administra o servidor, porém, o usuário também possui a sua parcela de responsabilidade em manter o seu próprio site o mais seguro possível. Totalmente à prova de invasões, todos nós sabemos que é virtualmente impossível pois não há sistema 100% seguro, porém, vamos falar sobre como o usuário pode se prevenir e ter um nível maior de segurança.
A escolha do host
Como estamos falando exclusivamente da versão hosted do WordPress, significa que, em primeiro lugar, você deverá hospedá-lo em algum lugar. As configurações variam absurdamente de um host para o outro e isso fará toda a diferença tanto em questões de performance do seu site, quanto nas questões de segurança, ou você acha que a variação de preço de um serviço de hospedagem para o outro está relacionado apenas a questões de espaço em disco e banda de tráfego?
Uma das principais recomendações que faço à todos é que escolham um host de confiança e que, principalmente, o suporte saiba lidar no dia a dia com questões relacionadas ao WordPress. Isso pode parecer óbvio, mas não é. O WordPress, apesar de funcionar sob a popular dobradinha PHP + MySQL tem suas peculiaridades principalmente relacionadas à parte de segurança, utilização de memória e processamento, mas como o assunto aqui é segurança, vamos manter este foco.
CloudLinux é a palavrinha que vocês devem procurar quando estiverem em busca da hospedagem para o seu site, seja WordPress ou qualquer outro. O CloudLinux é uma plataforma que garante isolamento total dos outros sites que estão no mesmo servidor. Basicamente, isso significa que, caso algum site que esteja no mesmo servidor que o seu seja invadido, o atacante não poderá ter acesso aos arquivos do seu site, pois ele estará virtualmente isolado. Acredite: A maioria dos hosts não utilizam o CloudLinux, fazendo com que o seu site fique exposto a ataques mesmo que você tome todas as medidas de segurança possível. Basta o site do seu vizinho ser atacado para que o seu site também sofra um atentado virtual.
Outro ponto que depende exclusivamente do host e da habilidade de quem está gerenciando o servidor é o ModSecurity. O ModSecurity é um firewall em nível de aplicação que possui regras específicas para evitar os tipos mais comuns de ataques à sites. Ele se coloca como uma camada entre as requisições feitas pelo visitante do site e os arquivos e funções do site em sí e, caso seja detectada alguma ameaça, o ModSecurity irá barrar essa ameaça antes que a requisição seja entregue de fato ao seu site. O grande problema do ModSecurity é que as regras dele devem ser constantemente atualizadas, pois os ataques mudam quase que diariamente e, além disso, a própria programação do WordPress está em constante mudanças que podem facilmente serem observadas através das atualizações constantes nos plugins, temas e o próprio WordPress, portanto, uma regra de ModSecurity que hoje funciona à seu favor, amanhã pode começar a barrar requisições válidas ao seu site devido à mudanças nos plugins e temas que você utiliza, além, é claro, de atualizações do próprio WordPress.
Utilize senhas fortes
A segunda dica é a utilização de senhas fortes. Isso dificulta em níveis exponenciais um dos principais ataques que os sites em WordPress sofrem diariamente, sim, DIARIAMENTE!
Quando eu falo em utilizar senhas fortes, significa utilizar uma senha de, pelo menos, 12 caracteres, misturando-se letras maiúsculas, minúsculas, números e caracteres especiais. Se você quiser entender um pouco sobre como funciona a segurança de uma senha e como funcionam os ataques do tipo brute force, visite esse artigo que escrevi em 2012 sobre o assunto: A sua senha é segura?
Note que no artigo que escrevi em 2012, uma senha de 8 caracteres era razoavelmente segura, hoje em dia, senhas com 8 caracteres são praticamente banais de serem descobertas devido à evolução da computação no geral.
Dica: Quanto mais caracteres misturados a sua senha possuir, mais difícil de ser quebrada. Para o WordPress não há um limite no número de caracteres que você pode utilizar, portanto, singa-se à vontade para utilizar uma frase completa como senha, mas tente não utilizar uma frase tão óbvia.
Plugins de segurança
Essa é a parte que pode e DEVE ser feita exclusivamente pelo usuário, que é a instalação de plugins de segurança que auxiliam de forma fundamental na segurança de um site em WordPress e, obviamente, aqui temos um outro pequeno problema: Plugins também podem ser uma brecha de segurança ou trazer outros problemas para o site.
Há algum tempo eu recomendava fortemente o plugin Better WP Security, falamos dele, inclusive, no InfoCast 03 sobre WordPress (sim, eu sei que estou devendo novos episódios do InfoCast. Já estou organizando isso). Algum tempo depois do lançamento desse episódio, o Better WP Security acabou sendo comprado ou incorporado e transformou-se no iThemes Security e, após essa mudança, a coisa, ao meu ver, meio que desandou. Não que o plugin tenha ficado necessariamente pior ou inseguro, mas ele começou a causar uma lentidão excessiva nos sites que administro e, em alguns casos, causando conflitos com outros plugins. Fui obrigado a reiniciar as pesquisas em busca de um novo plugin que trouxesse segurança e que não afetasse tanto no desempenho como o iThemes Security e foram nessas pesquisas que encontrei o Sucuri Security – Auditing, Malware Scanner and Security Hardening que, à partir de agora, passarei a chamar apenas de Sucuri Security (eita nomezinho grande, hein?).
Pois bem. O Sucuri Security foi criado e é mantido pela empresa de segurança Sucuri que, há vários anos trabalha com segurança e parte do seu foco é justamente a plataforma WordPress. Foi a Sucuri, por exemplo, que forneceu os primeiros dados de ataque ao famosíssimo plugin Slider Revolution, o qual havia sido divulgada há pouco tempo uma brecha de segurança facilmente explorada e que permitia a leitura de qualquer arquivo do servidor através de uma falha de um dos arquivos do plugin. Isso aconteceu no fim de 2014 e milhões de sites em WordPress foram afetados. Leia aqui o post no blog da Sucuri caso queira saber o que houve de verdade.
Voltando ao plugin Sucuri Security, ele possui opções bem interessantes, como um scan de malware para verificar, através de uma ferramenta online do site sucuri.net, se o seu WordPress está infectado com algum tipo de malware. O plugin também faz uma varredura em todo o seu WordPress à procura de arquivos estranhos à instalação original e também passa a monitorar arquivos que foram modificados indevidamente. Para melhorar a coisa, o plugin também permite que faça-se algumas configurações de hardening que melhoram brutalmente a segurança do seu WordPress. Tudo isso de forma bastante simples através do próprio painel de controle do plugin, dentro do seu WordPress. Caso o seu WordPress já tenha sido invadido, ele possui também uma seção chamada Post-Hack que ajudam a recuperar o seu WordPress sugerindo algumas ações a serem executadas como: reset das chaves de segurança, reset de senhas, reset de plugins e informando as atualizações disponíveis.
Como nem tudo são flores, ainda continuei órfão de uma funcionalidade que, sabe-se lá por que cargas d’água não está presente no Sucuri Security, que é a proteção contra ataques do tipo brute force, que, ao meu ver, é uma proteção também fundamental em qualquer site WordPress.
Felizmente encontrei há pouco tempo o plugin Login Security da miniOrange. Esse plugin trabalha verificando se alguém (ou algum script) tenta efetuar várias tentativas de login utilizando combinações de usuário e senha inválidos e bloqueia o IP do usuário após um número pré-determinado de tentativas incorretas. Essa quantidade de tentativas quem configura é você e é você também que determina o tipo de bloqueio que deverá ser aplicado, se um bloqueio permanente ou temporário, podendo definir também a quantidade de tempo do bloqueio caso tenha optado pelo bloqueio temporário. Outra funcionalidade bem interessante do plugin é inserir o reCaptcha do Google no formulário de login ou de registro de usuários. Isso impede que sejam feitas tentativas automatizadas de acesso ou de registro de usuários no seu WordPress. Essas duas funcionalidades foram fundamentais para que eu escolhesse e indicasse esse plugin pois, antes dele, eu tinha um plugin exclusivo para colocar o reCaptcha no processo de login dos sites que administro e, como todos sabem, quanto mais plugins, mais pesado o seu WordPress ficará.
Resumo da história dos plugins: Instale agora mesmo o Sucuri Security – Auditing, Malware Scanner and Security Hardening juntamente com o Login Security em seu WordPress e fique mais tranquilo no que se refere à proteção do mesmo.
Outras dicas de segurança para o seu WordPress
O assunto segurança é sempre recorrente aqui no InfoDicas, porém, é sempre bom relembrar alguns posts antigos e que continuam valendo como dicas de segurança atuais.
O primeiro post é sobre a utilização de temas pirateados no WordPress. Nos últimos meses tenho trabalhado bastante recuperando sites de pessoas que fizeram uso de temas pirata e que acabaram perdendo todo o conteúdo do site ou estão levando multa de datacenter por causa de WordPress invadido e, acredite, em 95% dos casos o culpado é o tema pirata que o espertão utilizou no site.
Outro post bem interessante é onde eu digo e explico que O problema nem sempre é com o WordPress, pois já que o WordPress tornou-se uma plataforma tão popular não só para blogs, mas para sites corporativos, portais e todo tipo de site, ultimamente tem surgido alguns boatos de que o WordPress não é seguro, que é difícil manter um site WordPress longe dos hackers e todo tipo de falácea normalmente utilizadas para desvalorizar produtos populares. Se você leu até aqui já deve saber que existem vários outros fatores de segurança antes de chegar ao WordPress propriamente dito, certo?
Obviamente eu não poderia terminar esse post sem fazer um jabá dos meus serviços de hospedagem para WordPress e também de suporte especializado em WordPress. Se você quer realmente segurança para o seu WordPress e está em dúvidas sobre onde hospedá-lo, vem comigo! Garanto que aqui farei o meu melhor para manter o seu site sempre no ar e com uma boa saúde!