Todos os dias, um relatório assustador sobre a pirataria de um grande site ou o comprometimento de uma base de dados sensível chega à Web… e assusta toda a gente.
Na semana passada, em preparação para uma entrevista sobre o meu trabalho no Copyblogger’s divisão de alojamento WordPress gerido, fiz uma lista das 10 melhores dicas para manter o(s) seu(s) sítio(s) Web WordPress seguro(s).
Nós temos discutido muito sobre a segurança do WordPress no blog Synthesis, aqui, aquie mais especialmente aqui), mas hoje em dia, não pode estar suficientemente seguro, certo?
Vale a pena dar uma vista de olhos a esta lista de dicas de segurança e tomar algumas medidas simples para as implementar. Quão seguro é o seu sítio Web?
Vamos rever o básico agora mesmo …
Porque é que leva a segurança do WordPress tão a sério?
Porquê toda esta conversa sobre segurança? Porque manter-se vigilante em relação à segurança é uma responsabilidade constante para qualquer proprietário de site WordPress.
De facto, é uma responsabilidade constante para todos online, quer esteja a utilizar o WordPress ou não.
Por isso, vamos continuar a discuti-lo aqui tanto ou mais do que o desempenho. Ei, tempos de carregamento abaixo de um segundo são ótimos, mas não se você estiver hospedando links ocultos para sites de Viagra ou se o Google estiver sinalizando o seu site como infetado por malware.
Eu sei que a segurança pode, por vezes, ser um tópico nebuloso e obtuso. Se não tem conhecimentos técnicos, os riscos e as salvaguardas necessárias podem ser difíceis de compreender.
Não está sozinho.
Quando lancei o Fãs de desporto do centro-oeste Há cerca de quatro anos, não saberia dizer-lhe a diferença entre DDOS e Mike Doss. Eu estava entre as pessoas que usavam a mesma palavra-passe para o meu login de administrador de MSF e para a minha conta Gmail… e a minha conta bancária… e, já percebeu a ideia.
Com o tempo, aprendi a importância de levar a segurança a sério. Algumas das lições não foram agradáveis. Mas deram-me o conhecimento necessário para o poder educar sobre passos simples que pode dar agora mesmo para tornar o seu sítio mais seguro.
Ao ler esta lista, considere-a menos como uma “lista dos 10 melhores” e mais como uma lista de verificação. Se se deparar com um, dois ou dez destes itens que não consegue assinalar mentalmente como fazendo parte do seu arsenal de segurança atual, pare de ler e vá implementá-los.
Deixe que isto o motive: vemos entre 50.000-180.000 tentativas de login não autorizadas todos os dias nos sítios que alojamos. Na sua grande maioria, trata-se de hackers que utilizam técnicas de força bruta para entrar em sítios Web e causar estragos. É possível, talvez até provável, que um hacker do outro lado do mundo esteja a tentar entrar no seu site neste preciso momento …
… Espero que a sua palavra-passe não seja password123.
E agora, a lista dos 10 mais importantes que vai ler durante toda a semana:
1. Mantenha palavras-passe fortes
Vamos começar a lista com o passo mais fácil que pode implementar imediatamente. Esperemos que já o tenha feito.
Se não tem, não procrastine neste caso.
Já liguei a este post antes, e vou ligar-lhe novamente: “Proteção por palavra-passe: Como criar palavras-passe fortes” da PCMag. Utilizei várias das dicas listadas nessa publicação para reformular completamente a minha estratégia pessoal de palavras-passe.
Leve isso a sério.
Desculpas como: “Mas eu quero uma palavra-passe para todos os meus sites, para não me esquecer!” ou “A minha palavra-passe (genérica) é suficientemente boa, e quais são as probabilidades de alguém tentar realmente piratear-me?” não são aceitáveis.
Se não estiver a utilizar uma palavra-passe com pelo menos dez caracteres, com números e letras, maiúsculas e minúsculas … está a fazê-lo mal. Faça-o corretamente. Especialmente este aqui.
2. Mantenha-se sempre a par das actualizações
As actualizações do WordPress não são lançadas apenas para os resultados de pesquisa do Google News. São lançadas para corrigir erros, introduzir novas funcionalidades ou, mais importante ainda, para corrigir falhas de segurança.
Será que o WordPress (ou qualquer programa de software) estará sempre um passo à frente dos hackers? Claro que não. Muito pelo contrário. Na maior parte das vezes, como acontece com os testes de drogas para melhorar o desempenho nos desportos, o software vai estar sempre um passo atrás dos hackers. É assim que as coisas são, é o mundo em que vivemos.
Mas quando grandes falhas de segurança são conhecidos – e os patches estão disponíveis – não há desculpa para não os implementar. Assim, não há desculpa para não acompanhar as actualizações do WordPress. O mesmo se aplica a plugins e temas.
Sei que muitos de vocês sentem receio quando se trata de atualizar o WordPress, com medo de que isso possa quebrar o seu tema ou perturbar a funcionalidade de um plugin. A minha resposta a isto é simples: se tem medo disso, então precisa de reavaliar a sua estratégia de temas e plugins. O seu tema será certamente perturbado quando um hacker lhe injetar meia página de um código encriptado desagradável.
Um dos benefícios de investir em uma estrutura de temas do WordPress como o Genesis é que a nossa divisão StudioPress terá o Genesis Framework atualizado quase instantaneamente quando for lançada uma atualização do WordPress. De facto, há uma boa hipótese de eles terem contribuído para a atualização do WordPress! Assim, nunca terá de se preocupar com a quebra do seu tema.
Quanto aos plugins, é por isso que verificar os plugins é muito importante. Se um plugin não for atualizado regularmente, ou se não estiver a pagar pelo suporte, então deve ter medo de que ele possa quebrar com uma atualização do WordPress. Assim, talvez queira repensar a sua utilização.
3. Proteja o seu acesso de administrador do WordPress
Deve alterar o nome do utilizador “admin” predefinido com que todas as instalações do WordPress começam? Claro que pode. Certamente não lhe vai fazer mal.
Mas saiba que isso não é o auge das medidas de segurança. Os piratas informáticos podem encontrar facilmente os nomes de utilizador em publicações de blogues ou noutros locais.
Mais importante do que disfarçar o nome de utilizador específico do administrador é certificar-se de que todos os nomes de utilizador do seu site com acesso de administrador estão protegidos por uma palavra-passe forte. (Sim, estou a remeter-lhe para o nº 1 desta lista).
E, se você realmente quer proteger o seu sítio, dê o passo extra de exigir um Yubikey para fazer o login. Desta forma, mesmo que alguém tenha a palavra-passe de um nome de utilizador com acesso de administrador, não pode iniciar sessão sem possuir fisicamente o Yubikey (que é facilmente utilizado através de uma simples inserção USB quando chega a altura de iniciar sessão).
E não, não é um incómodo. É paz de espírito.
4. Proteja-se contra ataques de força bruta
Lembra-se da estatística que citei acima? Vale a pena voltar a citá-la: vemos entre 50 mil e 180 mil tentativas de login falhadas por dia nos sites que alojamos. O site que está a ler neste momento (Copyblogger caso esteja de alguma forma a ler um site de scraper) vê 275 tentativas de login não autorizadas … a cada hora.
Antes de desmaiar perante a magnitude deste número, saiba que está longe de ser impotente contra estas tentativas de pirataria sem nome e sem rosto.
Primeiro, o seu alojamento web deve ajudar a protegê-lo de ataques de força bruta. Nós ajudamos. Monitorizamos regularmente de onde provêm as tentativas de início de sessão falhadas e bloqueamos os endereços IP ofensivos.
Segundocertifique-se de que verificou as dicas 1, 2 e 3 acima.
Terceiro, existem programas que podem ser instalados (tais como Limite as tentativas de login) que tornará muito mais difícil o funcionamento das técnicas de força bruta.
5. Monitorize a existência de malware …
É imperativo que você tenha algum tipo de sistema para monitorar constantemente o seu site em busca de malware.
O pessoal da Sucuri faz isto tão bem como qualquer outro, e é por isso que estabelecemos uma parceria com eles para o para a análise do lado do servidor que fazemos para todos os nossos clientes.
Como a sua monitorização é de importância vital. Escolha um método que possa realmente mergulhar na sua estrutura de ficheiros e detetar violações profundas, em vez de um que apenas lhe mostre onde está vulnerável.
6. … Depois faça alguma coisa em relação ao malware!
A monitorização de malware não é uma solução por si só. O solução é o que acontece quando o malware é detectado.
Se não for cliente da Synthesis, a equipa da Sucuri é uma excelente parceira, porque não só analisará o malware, como também o ajudará a limpá-lo assim que for detectado.
E se for cliente da Synthesis, já sabe que assumimos a tarefa de limpar e reparar o seu site se algo de mau lhe acontecer.
Alguns dos aspectos frequentemente negligenciados “verdadeiros custos” da propriedade do WordPress são os associados ao tempo de inatividade devido a problemas de segurança e à limpeza desses problemas. Isso faz parte da proposta de valor que deve ser incluída na oferta do seu provedor de hospedagem gerenciada.
7. Escolha o anfitrião Web correto
Já lhe falei da garantia de verificação do lado do servidor e de limpeza de malware que damos a todos os nossos clientes. E essa está longe de ser a única razão pela qual o nosso Alojamento WordPress é uma excelente escolha para o utilizador do WordPress preocupado com a segurança. Só estou a dizer.
Um grande risco de segurança é estar num servidor partilhado. Pense da seguinte forma: pegue nos riscos de segurança inerentes à sua própria instalação do WordPress e multiplique-os pelo número de sites no servidor. E se optar por um alojamento genérico, é muito provável que esteja rodeado de centenas e centenas de outros sites.
Não faça isso.
O seu próprio VPS pode não ser a opção certa para si. Pode ser demasiado caro, ou o seu tráfego pode não ser necessário. Não há problema. Mas se vai usar um servidor partilhado, certifique-se de que é partilhado apenas com um pequeno número de sites (os nossos servidores partilhados não têm mais de 10 sites) numa pilha de alojamento que tem salvaguardas comprovadas para o proteger.
Além disso, encontre um host que não seja complacente com a segurança.
Qualquer pessoa que afirme que “tem a segurança bem definida” não faz a mínima ideia. A segurança online é constantemente mudança. As empresas de alojamento Web precisam de evoluir constantemente com essa paisagem em mudança e com as ameaças que a acompanham. Certifique-se de que a pessoa a quem confia o seu sítio Web funciona com esta mentalidade.
8. Limpe o seu sítio web como limpa a sua cozinha
Sabia que a sua instalação do WordPress pode facilmente ter bombas-relógio que não tem conhecimento?
Se tiver temas e plug-ins antigos que já não utiliza, especialmente se não tiverem sido actualizados, pode basicamente avançar e iniciar a contagem decrescente para a sua próxima violação de segurança. Um site desorganizado também torna muito mais difícil para os profissionais de segurança operarem caso o seu site seja comprometido.
Não deixaria a loiça suja e as pratas na água durante três dias no seu lava-loiça, pois não? Claro que não. Seria um terreno fértil para a sujidade e a sujidade.
Assim limpe e organize a sua estrutura de ficheiros como faria na sua cozinha. Isso irá mantê-lo seguro em mais do que uma maneira.
Se está a perguntar, “Por onde começo? Comece pela raiz. Compare a sua lista de ficheiros com a de o núcleo padrão do WordPress. Alguns ficheiros extra, como o seu favicon? PODE SER. Duas vezes mais ficheiros incluindo apresentações em Power Point para o trabalho? Está na altura de lavar a loiça …
9. Controle a informação sensível
E quando estiver a fazer essa limpeza da sua estrutura de ficheiros, verifique se não está a deixar pedaços de informação valiosa disponíveis para todo o mundo ver.
Por exemplo, o ficheiro readme.html por defeito diz qual a versão do WordPress que está a executar. Se estiver a executar uma versão mais antiga do WordPress com uma falha de segurança conhecida, os hackers vão encontrá-lo.
Da mesma forma, procure nos seus ficheiros phpinfo.php ou i.php. Eles dirão a um hacker tudo sobre a sua configuração e servirão como um “roteiro para a casa” antes mesmo de eles entrarem.
E deixar ficheiros de backups de bases de dados .sql é um grande erro. Se um hacker conseguir descarregar toda a sua base de dados, terá à sua disposição todos os nomes de utilizador e palavras-passe encriptadas que alguma vez utilizou.
Embora o seu anfitrião de sítios Web deva procurar itens como este, porquê deixar algo ao acaso? Não sairia pela porta da frente sem calças vestidas (pelo menos eu espero que não!)… por isso, não faça o mesmo com o seu sítio Web.
10. Mantenha-se vigilante
Esta é bastante fácil de explicar. Mantenha-se a par do que se passa lá fora.
Não precisa de compreender os meandros de um ataque DDOS nem de escrever um post de blogue sobre GoDaddy a ser derrubado. Mas quando um problema como o fiasco do TimThumb aparece, está ciente dele? A deteção precoce é a melhor prevenção.
Deve estar com um host WordPress gerido que o proteja, mas nunca é demais ter o seu próprio também.
Siga contas do Twitter como Sucuri’s ou nossoonde o actualizaremos quando soubermos de problemas de segurança relevantes que afectem a Web. E mantenha os olhos bem abertos. Não pense que os problemas de segurança afectam apenas os outros sites. Podem também estar a afetar o seu.
Respeite o seu inimigo, como se costuma dizer.
Para si …
Acima de tudo, temos de respeitar a natureza crítica de levar a sério a segurança do sítio Web.
Os dez passos acima não são as únicas salvaguardas de segurança que deve considerar, mas são um bom começo, especialmente para aqueles que podem ter dificuldade em implementar o básico.
Siga estas dicas e terá as medidas essenciais de segurança do WordPress em vigor.
Tem outras dicas de segurança para o WordPress? Deixe-as nos comentários abaixo …