Problemas de segurança em seu site WordPress

O WordPress é o sistema de CMS, ou gestão de conteúdo, mais popular do mundo. Hoje em dia, praticamente todo site, pessoal ou empresarial, é produzido na plataforma. Entretanto, pode ser que você esteja tendo problemas de segurança em seu site WordPress.

Infelizmente, sites e aplicações na web, assim como usuários de computador em geral, podem ser vítimas de diversos tipos de ataque. Arquivos maliciosos executados em segundo plano, instalação de trojans e sistemas de command line, roubo de palavras passe e IDs, spams, invasões e interrupções de serviço e muito mais. Alguns desses problemas podem ser resolvidos com o uso de certificados em seu alojamento web, protocolos de segurança e afins. Entretanto, muitos problemas de vulnerabilidade têm mesmo a ver com o seu website em si.

Como fazer?

Plugins de segurança

Há diversos plugins de segurança para WordPress. Muitos deles complexos e com plataformas similares aos antivírus que usamos em nossos computadores. Alguns recursos do WordPress que nunca sequer utilizamos podem ser utilizados por hackers e pessoas mal intencionadas para derrubar páginas, incluir códigos maliciosos ou roubar informações e registos. Além disso, há problemas em relação ao desempenho – muitos plugins e um código com problemas pode gerar lentidão no site e em seu carregamento, assim como imagens e ficheiros pesados e de maior tamanho.

Há diversos plugins de segurança para um site WordPress. Eles incluem, entre outras funções e características:

  • Proteção ao sistema de login do administrador
  • Proteção contra malware e códigos maliciosos
  • Restrição de acesso a ficheiros no servidor
  • Eliminação ou desabilitação de funcionalidades que criam vulnerabilidades
  • Correção de erros e bugs
  • Otimização de carregamentos nas páginas
  • Restrições a usuários e visitantes
  • Logs de tentativas de acesso e invasão
  • Filtros em comentários e postagens
  • Critérios de antispam

E muito mais coisa. Apesar de seguro e estável, o WordPress possui funcionalidades que abrem espaço para ataques. Especialmente no caso de sites mais simples, eliminar ou desabilitar essas funções é o modo mais fácil e rápido de evitar problemas. Contudo, há um inconveniente – todas as essas diretrizes de segurança dificilmente estão no mesmo lugar. Às vezes, para possuir um site seguro, é preciso instalar diversos plugins – isso gera lentidão e conflitos.

Site WordPress seguro – configurações confusas

Há alguns excelentes plugins de segurança, com diversas funcionalidades. Contudo, para quem não é especialista, configurá-los é um verdadeiro pesadelo. Por essa razão, a MeuPPT juntou em um mesmo plugin as principais diretrizes de segurança e otimização que utiliza em um site WordPress desenvolvido para clientes. Sem sofisticação e com funcionamento a partir do momento em que o plugin é ativado.

Realizamos atualizações constantes e completamente gratuitas, além de receber informações sobre tentativas de invasão, roubo de palavras-passe, malwares e outros. Agora a MeuPPT resolveu distribuir gratuitamente esse plugin. No momento contamos com diretrizes básicas de segurança, mas um sistema de firewall e mesmo um antivírus estão em nosso cronograma de desenvolvimento. Para utilizar o plugin, basta realizar a transferência, com um clique no botão a seguir, e a partir daí carregar o ficheiro em sua área de plugins ou diretamente no alojamento, como mostram as instruções no próximo tópico.

MeuPPT Funções de Segurança e Otimização

Plugin com funções de segurança e otimização para clientes MeuPPT, porém aberto para qualquer um. Rotinas e scripts de segurança geralmente incluídos no functions.php, mais melhorias para sites MeuPPT e de associados. O plugin é plug and play – não há necessidade de qualquer tipo de configuração. Entendemos que clientes em geral não possuem domínio de WordPress suficiente para configurarem sozinhos mecanismos de proteção a exploit e funcionalidades dentro do ambiente do WordPress. Por essa razão, a maioria das funções aqui implementadas, que visam segurança, otimização e facilidade, entram em ação assim que o plugin é ativado – deixando de operar quando o mesmo for desativado.

Instalação

  1. Carregue o ZIP por meio da área de instalação de plugins do seu WordPress ou em seu alojamento, no diretório /wp-content/plugins/
  2. Active o plugin na seção ‘Plugins’ do WordPress
  3. Todos os comandos e funções não precisam de configuração

Por que sem configurações?

Trata-se de um plugin para clientes, então funções já vêm configuradas.

Changelog

1.4.1

  • User agent blacklist update

1.4.0

  • Firewall “express”. Bloqueio de requisições maliciosas mais comuns e tentativas de acesso com user agents maliciosos

1.3.2

  • Desabilita pingbacks

1.3.1

  • Fix Safe SVG em seus diretórios e carregamento
  • Remove WLW Manifest do cabeçalho

1.3.0

  • Incorporação da classe Safe SVG, para upload e manipulação segura de imagens SVG no WordPress, com sanitização

1.2.1

  • Fix sistema de updater e atualização

1.2.0

  • Desabilita o método XML-RPC
  • Remove RSS feed para comentários
  • Desabilita emojis de um modo geral
  • Adiciona botões de cor de fundo nas fontes, caracteres especiais

1.0.0

  • Impede exibição de versão do WP em META e em RSS
  • Altera mensagens de erro no login que possam fornecer dicas a hackers para uma única mensagem sem especificações

Próximas atualizações

  • Restrição de acesso ao painel do adminpor Subscribers e Contributors
  • Liberação para uso de compressão de ficheiros via GZIP
  • Considera como spam qualquer comentário com link que exceda 45 caracteres
  • Bloqueio de requisições e user agents maliciosos mais comuns