“Sistemas próprios” para websites – cuidado

Há imensas maneiras de se construir um website nos dias de hoje. A mais utilizada, sem dúvida, é a aplicação dos chamados CMS – Content Management Systems. O mais popular deles, de forma disparada, é o WordPress.

O WordPress é um sistema construído a partir do PHP, como o Drupal, o Joomla e o Moodle. Estima-se que mais de metade dos websites no mundo hoje utilizem o WordPress como base. A despeito de vantagens e desvantagens existentes na plataforma, não há dúvidas de que, dentro da comunidade de informáticos, o WordPress é o sistema que mais possui profissionais capacitados, ferramentas e plugins disponíveis – gratuitamente e de forma paga.

Teoria conspiratória

Em Portugal, mas também em outros países, uma legião de agências e informáticos depõem contra o uso do WordPress na construção de websites e sistemas. Segundo eles, há vários motivos para não usar a ferramenta. O mais apontado é em geral a segurança, mas falam também em “problemas” na gestão, falta de possibilidades de customização e, agora com o RGPD, não alinhamento com as requisições legais. Em resumo, podemos trabalhar isto em tópicos:

  1. O WordPress é uma plataforma em constante desenvolvimento por uma comunidade de centenas de milhares de desenvolvedores em todo o mundo há 15 anos. Nestes anos, melhorias de segurança, aprimoramentos da plataforma e atualizações em relação a novas versões do PHP, do Apache e requisições do mercado têm ocorrido de forma semanal, senão diária.
  2. O WordPress é MAIS SEGURO do que qualquer outra solução construída por agências e websites ditos “de raiz”. Todas as maiores soluções de segurança digital no mundo possuem ferramentas e integrações para o WordPress, o que não ocorre nas soluções próprias.
  3. Com o seu código TOTALMENTE ABERTO, o WordPress é mais customizável do que qualquer outra plataforma. A customização pode tanto ocorrer a nível programático, realizada por web designers e desenvolvedores, quanto com o uso de temas e plugins gratuitos ou pagos – e isto pode ser feito pelos proprietários do site, mesmo sem conhecimento técnico (e isso JAMAIS ocorre com websites “de raiz”).
  4. Como é usada e livre para modificações, a plataforma é de conhecimento da grande maioria dos informáticos que atuam com o PHP e de web designers em geral. Em outras palavras, o proprietário do site não fica REFÉM de uma agência ou de desenvolvedores.
  5. O backoffice atual é resultado de 15 anos de estudos e melhorias realizadas a partir de solicitações e observações dos próprios usuários – deste modo é dispensável falar que oferecerá sempre uma solução mais amigável do que qualquer backoffice desenvolvido “à medida”. Além disso, o backoffice também possui código aberto e poderá sempre ser modificado.
  6. As possibilidades do WordPress vão muito além da construção de simples blogues e websites – pode-se hoje desenvolver lojas online, plataformas de ensino, sistemas de integração com plataformas de faturação e CRM e tudo mais que se possa querer.

O uso do WordPress é um benchmark mundial. Grandes marcas possuem lojas na plataforma. Entidades governamentais, como a Casa Branca americana, utilizam-se do sistema. Aparentemente, se há problemas de segurança tão graves, só há duas possibilidades aqui: ou o informático da agência ali ao lado está errado, ou ele saberá mais do que a grande maioria dos experts mundiais em segurança digital.

Falta de transparência

Não há mal nenhum em um informático preferir outra solução que não o WordPress para o desenvolvimento de sites e ferramentas para os seus clientes. O problema começa quando há falta de transparência e desvios de conduta da parte do profissional. Desconfie dos profissionais dispostos a criticar plataformas que tenham virado referência de mercado. A referência de mercado garante boa assistência, facilidade de uso e manutenção e profissionais capacitados. Então, por que há informáticos a dizer o contrário? Bem, há três razões principais:

  1. Muitas das empresas e agências possuem convénios com soluções ou sistemas “prontos” para websites. Basta ver que, em muitos dos portfólios dessas agências, todos os sites têm basicamente a mesma cara.
  2. Apesar de ser uma plataforma mundialmente reconhecida e de código aberto em PHP, exige conhecimentos de programação em PHP e do manual técnico do WordPress – e nem toda a gente possui tal know-how.
  3. A sua empresa poderá tornar-se uma fonte de avenças infinitas para essas agências, caso venha a desenvolver um site “de raiz” nas soluções proprietárias dessas empresas. Ou seja, um novo REFÉM.

Como ocorre em outras áreas de conhecimento, a informática possui sempre novidades a aparecer. Fechar os olhos para o novo é burrice, mas ao mesmo tempo, negar aquilo que é o ponto pacífico entre especialistas do mundo inteiro será uma burrice ainda maior. Pode-se sempre, é claro, ainda optar por soluções de raiz, mas antes de embarcar numa delas, vale perguntar a si mesmo: será o meu informático melhor do que cem mil outros que estão a dizer o oposto?

Proteção e segurança no Wordpress

7 dicas para melhorar a segurança do WordPress

O WordPress é seguro. Nunca pense o contrário. Em relação a “soluções próprias” e websites programados do zero o sistema do WordPress é seguro e evolui rapidamente, sempre sujeito a atualizações e melhorias.

Entretanto, como trata-se de uma plataforma completamente customizável, é imperativo que possua flexibilidade para o desenvolvedor. Tudo pode ser alterado e personalizado, então os níveis de permissões e características abertas do código beneficiam essas mudanças e customizações. Ao terminar o website, por essa razão, é preciso em geral “fechar portas”, para que acessos indevidos não ocorram.

O problema é que a grande maioria das agências e desenvolvedores simplesmente deixam tudo isso escancarado.

Dicas para melhorar a segurança do WordPress – utilize um certificado SSL

Muitos donos de site e empresas não adquirem certificados SSL. A verdade é que em Portugal, Espanha e também no Brasil, países no quais atendemos clientes, a grande maioria das empresas de hosting são “espertas”. Usam do expediente de proibir o upload ou uso de certificados gratuitos, para além de não oferecê-los, e terminam por cobrar pequenas fortunas nesses certificados. Dois ou três dos serviços de alojamento mais famosos de Portugal cobram não menos que € 50 anuais para lhe dar o que teria de graça.

A dica aqui é buscar um alojamento que já ofereça tal certificado ou permita a utilização daqueles gerados gratuitamente. Temos um post inteiro explicando como poderá conseguir um certificado igualmente eficaz, sem ter de pagar um único centavo.

Dicas para melhorar a segurança do WordPress – livrar-se do “admin”

Um usuário “admin” é padrão nas instalações WordPress. Todos que trabalham com web design e desenvolvimento o sabem – especialmente hackers. Tentativas de sequestro de palavras-passe tornam-se muito mais fáceis quando um site ainda possui um usuário com esse nome. Crie sempre um usuário com status de administrador e, em seguida, livre-se do “admin” na aba de “Utilizadores”.

Dicas para melhorar a segurança do WordPress – prefixo da base de dados

Ao instalar o WordPress em um alojamento, pede-se nas configurações o nome da base de dados SQL, o usuário e sua palavra-passe e, ao final, o prefixo da base de dados. Por padrão, esse prefixo é “wp_”. Modifique-o para algo que tenha que ver com seu site ou empresa, mas evite deixar a coisa como está. Assim como ocorre com o usuário “admin”, ao saber dessa informação tentativas de injeção de códigos maliciosos em sua base de dados tornam-se muito mais fáceis para hackers mal-intencionados.

Dicas para melhorar a segurança do WordPress – erros de login

Mensagens de erro personalizadas na área de login podem dar dicas a hackers de como aceder ao seu website. Para melhorar isso e reduzir os riscos, a melhor política é uniformizar a mensagem de erro para falhas de autenticação. Para tanto, é possível incluir um trecho de código PHP simples, seja no ficheiro functions.php de seu tema ou em um plugin personalizado.

function meuppt_wordpress_errors(){
return 'Erro de autenticação - tente de novo';
}
add_filter( 'login_errors', 'meuppt_wordpress_errors' );

Dicas para melhorar a segurança do WordPress – atualizações

A grande maioria das atualizações, seja do próprio WordPress ou de plugins e temas, têm como objetivo corrigir falhas e mesmo problemas de segurança. A dica que todos dão é manter tudo sempre atualizado, mas preferimos ser mais cautelosos. Cuidado quando atualizar versões do WordPress – alguns plugins e temas podem não funcionar na versão mais recente. Antes de fazê-lo, consulte o site do desenvolvedor do plugin ou tema para verificar a compatibilidade.

Além disso, versões “quebradas” de atualização são menos arriscadas. Por exemplo: dificilmente terá problemas ao atualizar seu site da versão 4.0 do WordPress para a 4.0.2. O número de versão no terceiro dígito indica que apenas alterações e correções menores foram realizadas. Contudo, evite atualizar sem analisar os riscos quando o update parecer mais estrutural e relevante. Da versão 3.8 para a 4.3, por exemplo. As alterações são imensas e podem invalidar parte do que se utiliza no site.

Dicas para melhorar a segurança do WordPress – melhorias no .htaccess

O .htaccess é um ficheiro de sistema que indica ao servidor diretrizes que devem ser observadas em relação ao seu site ou aplicação. Há imensas alterações que podem nele ser feitas para melhorar a segurança. Contudo, sua operação é arriscada e exige algum conhecimento de programação e de funcionamento de servidores Apache ou Nginx. Abordaremos novamente esse aspeto no futuro, mas a otimização aqui pode resolver muitos dos problemas de segurança de alojamentos compartilhados.

Dicas para melhorar a segurança do WordPress – cabeçalhos HTTP

Outra melhoria tremenda em websites é a optimização e reformulação dos chamados cabeçalhos HTTP. Quando um site é consultado, o navegador da pessoa que o busca envia uma requisição ao alojamento ou servidor. O servidor responde e inicia a transferência de dados. Os cabeçalhos HTTP determinam que tipo de transferência deve ser realizada, se há redirecionamentos ou não, que recursos do navegador devem ou não ser acionados e, claro, diretrizes de segurança na manipulação e tratamento dos dados.

Há maneiras de aprimorar muito a segurança de um website e mesmo servidor apenas pelo modo com que se configuram os cabeçalhos. Entretanto, esse é um trabalho técnico e minucioso. A MeuPPT realiza optimizações desse nível e também em instalações WordPress e ficheiros de servidores. Se pretende aprimorar seu site de forma rápida e barata, fale connosco e diga seu problema.

Dicas para melhorar a segurança do WordPress – hosting certo

O hosting ou alojamento mais barato nem sempre é o melhor. Assim como o mais caro também pode não ser. Em termos de segurança, parte do trabalho precisa ser realizado pela empresa que presta o serviço de alojamento ou hospedagem. Planos que não incluem políticas de back-up, não possuem qualquer tipo de filtro ou proteção server-side ou proíbem o uso de certificados SSL próprios ou ferramentas e extensões de segurança e optimização devem ser automaticamente vetados.

Para sorte de quem precisa de um site e utiliza o WordPress, há excelentes hostings no mundo todo. Separámos uma lista dos mais fiáveis em nossa opinião, mas é possível encontrar na internet avaliações técnicas de revistas respeitadas sobre tais serviços. Sempre pesquise antes de formalizar ou migrar seu website.

Problemas de segurança em seu site WordPress

O WordPress é o sistema de CMS, ou gestão de conteúdo, mais popular do mundo. Hoje em dia, praticamente todo site, pessoal ou empresarial, é produzido na plataforma. Entretanto, pode ser que você esteja tendo problemas de segurança em seu site WordPress.

Infelizmente, sites e aplicações na web, assim como usuários de computador em geral, podem ser vítimas de diversos tipos de ataque. Arquivos maliciosos executados em segundo plano, instalação de trojans e sistemas de command line, roubo de palavras passe e IDs, spams, invasões e interrupções de serviço e muito mais. Alguns desses problemas podem ser resolvidos com o uso de certificados em seu alojamento web, protocolos de segurança e afins. Entretanto, muitos problemas de vulnerabilidade têm mesmo a ver com o seu website em si.

Como fazer?

Plugins de segurança

Há diversos plugins de segurança para WordPress. Muitos deles complexos e com plataformas similares aos antivírus que usamos em nossos computadores. Alguns recursos do WordPress que nunca sequer utilizamos podem ser utilizados por hackers e pessoas mal intencionadas para derrubar páginas, incluir códigos maliciosos ou roubar informações e registos. Além disso, há problemas em relação ao desempenho – muitos plugins e um código com problemas pode gerar lentidão no site e em seu carregamento, assim como imagens e ficheiros pesados e de maior tamanho.

Há diversos plugins de segurança para um site WordPress. Eles incluem, entre outras funções e características:

  • Proteção ao sistema de login do administrador
  • Proteção contra malware e códigos maliciosos
  • Restrição de acesso a ficheiros no servidor
  • Eliminação ou desabilitação de funcionalidades que criam vulnerabilidades
  • Correção de erros e bugs
  • Otimização de carregamentos nas páginas
  • Restrições a usuários e visitantes
  • Logs de tentativas de acesso e invasão
  • Filtros em comentários e postagens
  • Critérios de antispam

E muito mais coisa. Apesar de seguro e estável, o WordPress possui funcionalidades que abrem espaço para ataques. Especialmente no caso de sites mais simples, eliminar ou desabilitar essas funções é o modo mais fácil e rápido de evitar problemas. Contudo, há um inconveniente – todas as essas diretrizes de segurança dificilmente estão no mesmo lugar. Às vezes, para possuir um site seguro, é preciso instalar diversos plugins – isso gera lentidão e conflitos.

Site WordPress seguro – configurações confusas

Há alguns excelentes plugins de segurança, com diversas funcionalidades. Contudo, para quem não é especialista, configurá-los é um verdadeiro pesadelo. Por essa razão, a MeuPPT juntou em um mesmo plugin as principais diretrizes de segurança e otimização que utiliza em um site WordPress desenvolvido para clientes. Sem sofisticação e com funcionamento a partir do momento em que o plugin é ativado.

Realizamos atualizações constantes e completamente gratuitas, além de receber informações sobre tentativas de invasão, roubo de palavras-passe, malwares e outros. Agora a MeuPPT resolveu distribuir gratuitamente esse plugin. No momento contamos com diretrizes básicas de segurança, mas um sistema de firewall e mesmo um antivírus estão em nosso cronograma de desenvolvimento. Para utilizar o plugin, basta realizar a transferência, com um clique no botão a seguir, e a partir daí carregar o ficheiro em sua área de plugins ou diretamente no alojamento, como mostram as instruções no próximo tópico.

MeuPPT Funções de Segurança e Otimização

Plugin com funções de segurança e otimização para clientes MeuPPT, porém aberto para qualquer um. Rotinas e scripts de segurança geralmente incluídos no functions.php, mais melhorias para sites MeuPPT e de associados. O plugin é plug and play – não há necessidade de qualquer tipo de configuração. Entendemos que clientes em geral não possuem domínio de WordPress suficiente para configurarem sozinhos mecanismos de proteção a exploit e funcionalidades dentro do ambiente do WordPress. Por essa razão, a maioria das funções aqui implementadas, que visam segurança, otimização e facilidade, entram em ação assim que o plugin é ativado – deixando de operar quando o mesmo for desativado.

Instalação

  1. Carregue o ZIP por meio da área de instalação de plugins do seu WordPress ou em seu alojamento, no diretório /wp-content/plugins/
  2. Active o plugin na seção ‘Plugins’ do WordPress
  3. Todos os comandos e funções não precisam de configuração

Por que sem configurações?

Trata-se de um plugin para clientes, então funções já vêm configuradas.

Changelog

1.4.1

  • User agent blacklist update

1.4.0

  • Firewall “express”. Bloqueio de requisições maliciosas mais comuns e tentativas de acesso com user agents maliciosos

1.3.2

  • Desabilita pingbacks

1.3.1

  • Fix Safe SVG em seus diretórios e carregamento
  • Remove WLW Manifest do cabeçalho

1.3.0

  • Incorporação da classe Safe SVG, para upload e manipulação segura de imagens SVG no WordPress, com sanitização

1.2.1

  • Fix sistema de updater e atualização

1.2.0

  • Desabilita o método XML-RPC
  • Remove RSS feed para comentários
  • Desabilita emojis de um modo geral
  • Adiciona botões de cor de fundo nas fontes, caracteres especiais

1.0.0

  • Impede exibição de versão do WP em META e em RSS
  • Altera mensagens de erro no login que possam fornecer dicas a hackers para uma única mensagem sem especificações

Próximas atualizações

  • Restrição de acesso ao painel do adminpor Subscribers e Contributors
  • Liberação para uso de compressão de ficheiros via GZIP
  • Considera como spam qualquer comentário com link que exceda 45 caracteres
  • Bloqueio de requisições e user agents maliciosos mais comuns