Protegendo seu site WordPress – uma visão geral

Publicados: 2020-08-25
Securing Your WordPress Website

Introdução

O WordPress é uma ferramenta de construção de sites, conhecida como C ontent Management S ystem (CMS), que facilita a criação de sites bonitos e poderosos sem a necessidade de saber nada sobre HTML, PHP ou qualquer tecnologia da web. Essa flexibilidade e poder tornaram o WordPress incrivelmente popular. Agora é o CMS número um que alimenta mais de 455.000.000 sites ou 35% de toda a internet! Se você deseja que seu site tenha uma aparência elegante, tenha todas as funcionalidades que você possa precisar e utilize as ferramentas de SEO mais potentes disponíveis, o WordPress oferece.

A popularidade do WordPress criou um ecossistema incrivelmente rico de temas, plugins e ferramentas que estendem e aprimoram todos os aspectos do seu site WordPress com facilidade. Infelizmente, essa popularidade também torna o WordPress um alvo atraente para hackers. Isso acontece por alguns motivos relacionados. Em primeiro lugar, com 455 milhões de sites executando o WordPress, se um hacker puder descobrir uma exploração, ele poderá invadir quase meio bilhão de sites e pegar o que quiser.

Em segundo lugar, entre o grande número de addons e plugins, alguns não são muito bem escritos, mal mantidos ou até mesmo abandonados por seus autores. Isso fornece aos hackers um ponto de entrada muito mais fácil para um site WordPress do que o núcleo robusto do WordPress. O grande número de sites WordPress significa que mesmo um plugin relativamente impopular ainda pode ser usado em muitos sites WordPress.

Neste artigo, veremos o básico sobre como proteger um site WordPress para que você possa aproveitar o poder do WordPress sem sofrer nenhuma das desvantagens.

Mantendo-se atualizado

O mundo da tecnologia avança incrivelmente rápido e isso inclui o WordPress e a tecnologia que o suporta. Quando você visita um site WordPress, há um grande número de softwares que estão trabalhando em conjunto para habilitar o site que você está visualizando. Esses pacotes de software podem ser agrupados aproximadamente nas seguintes camadas:

  1. Sistema operacional
  2. Núcleo do WordPress
  3. Plugins e temas do WordPress

Cada uma dessas camadas depende da camada numerada inferior para funcionar corretamente e com segurança. Nenhum software é escrito perfeitamente, o que significa que bugs são descobertos em pacotes implantados o tempo todo. Além disso, versões novas e aprimoradas de pacotes de software são criadas por seus autores para adicionar recursos e funcionalidades.

Tudo isso significa que os administradores do WordPress devem ficar por dentro de todas as atualizações disponíveis para seu sistema operacional e instalação do WordPress. Como você pode imaginar, isso leva muito tempo e, infelizmente, às vezes, conhecimento altamente técnico quando as coisas dão errado. Existem ferramentas que tornam partes disso mais fáceis, mas não infalíveis.

Dê uma olhada no nosso artigo Fique seguro e mantenha seu WordPress atualizado para obter muitas informações sobre como manter seu site WordPress atualizado.

Bloqueando hackers e bots

Um site, quase por definição, tem que “falar” com a internet. Isso significa que, em um mundo ideal, qualquer pessoa pode fazer uma solicitação educada e bem-formada de uma página da web e seu site WordPress responderá retornando a página. Você deve ter notado que não vivemos em um mundo ideal e, como resultado, hackers, criminosos e script kiddies tentarão todas as técnicas que possam imaginar para abusar do seu site WordPress para invadi-lo ou desfigurar.

Da mesma forma que você tem uma porta forte e trancada em sua casa para impedir que ladrões invadam, você pode criar uma barreira de rede robusta na frente do seu site WordPress que impedirá que hackers destruam seu site.

A vantagem que você tem como administrador é que os invasores podem controlar exatamente qual tráfego de rede pode acessar seu site WordPress. Você pode implantar ferramentas eficazes para rastrear o tráfego que chega ao seu servidor e filtrar e descartar qualquer tráfego malicioso e, assim, proteger seu site WordPress.

As três ferramentas de filtragem de tráfego a seguir monitorarão diferentes propriedades do tráfego de rede que chega ao seu site WordPress:

  1. Firewall de filtro de pacotes.
  2. Firewall de aplicativos da Web.
  3. Bruteforce e monitoramento de bots.

A primeira ferramenta, um filtro de pacotes, é o que a maioria das pessoas pensa quando ouve a palavra “firewall”. Essa ferramenta de segurança examina as propriedades do tráfego de rede em um nível muito básico. Essas propriedades são coisas como a porta para a qual o pacote é destinado, de onde ele se originou, o protocolo do pacote e muito mais. O firewall mantém uma lista de propriedades permitidas e bloqueadas e descartará qualquer pacote que infrinja essas regras. Você pode ajustar essas regras para atender a quaisquer ameaças para proteger seu servidor.

A segunda ferramenta, um Web Application Firewall (WAF), funciona examinando as solicitações da Web recebidas e garantindo que nenhuma solicitação malformada mal-intencionada seja processada pelo WordPress. Muitos ataques dependem da criação de solicitações deliberadamente fora do padrão ou solicitações de arquivos confidenciais do WordPress. Um WAF descartará essas solicitações e permitirá apenas solicitações genuínas e formatadas corretamente.

As ferramentas finais, um detector de bruteforce e bot, interromperão os ataques de bruteforce contra o seu site WordPress. Um ataque de força bruta é quando um invasor tenta fazer login no seu site WordPress enviando milhares de combinações de nomes de usuário e senhas na esperança de adivinhar um par de trabalho. A proteção do Bruteforce notará essas muitas tentativas de login com falha e banirá automaticamente a pessoa ou o bot que fizer mais tentativas.

Se você tem um site WordPress, você absolutamente deve instalar, configurar e manter todas essas três ferramentas de segurança de rede. Tirar o máximo proveito dessas ferramentas e alcançar o mais alto nível de segurança para seu site é um desafio.

Verificação de malware

Malware é um nome genérico para qualquer software que tenha intenção maliciosa ou criminosa. O malware vem em várias formas e tamanhos e pode facilmente acabar no seu site WordPress. A complexidade do WordPress significa que existem várias maneiras pelas quais você pode acabar com malware em seu site. No entanto, o mais popular entre os hackers é através de um plugin ou tema. Isso pode ocorrer pela inclusão deliberada de código malicioso por um hacker, mas é mais provável que seja simplesmente um erro de codificação. Um pequeno erro de codificação, difícil de encontrar, pode permitir que invasores explorem um script PHP para colocar código malicioso em seu site.

Obviamente, manter todo o código do seu site WordPress atualizado é essencial para bloquear esses ataques, pois os bugs serão corrigidos e o código malicioso removido se for encontrado. No entanto, as atualizações só podem ajudar com problemas que foram identificados. Isso ainda deixa muitos problemas que estão sendo explorados ativamente por criminosos que ainda não foram corrigidos ou você ainda não aplicou a atualização.

É por isso que a verificação eficaz de malware é essencial. Uma boa varredura de malware funcionará como um antivírus em seu laptop. Ele deve verificar continuamente seu site WordPress e examinar todos os arquivos encontrados em uma lista de malware atualizada e colocar em quarentena qualquer malware encontrado.

Instalar, configurar e manter um scanner de malware eficaz não é trivial. Só é eficaz se for mantido atualizado e executado com frequência. Se for permitido ficar desatualizado, seu site WordPress poderá ser comprometido.

Dê uma olhada no nosso artigo de verificação de malware Malware e WordPress – Mantendo-o limpo para uma visão abrangente de como o malware infecta o WordPress e o que você pode fazer a respeito.

Como devo fazer tudo isso?

Se você estiver executando seu site WordPress como um hobby, instalar, configurar, manter e corrigir as ferramentas que abordam esses problemas de segurança pode ser uma excelente experiência de aprendizado. Afinal, você realmente não tem muito a perder se errar.

No entanto, se o seu site WordPress for de missão crítica e você não tiver a experiência e o conhecimento específico do domínio para manter tudo seguro, procure uma solução de hospedagem WordPress especializada e gerenciada como o Rocket. Implemente ferramentas de segurança líderes do setor de forma automática e contínua e assuma a segurança do seu site WordPress para você em todas as camadas de suas instâncias WordPress.

Basta se inscrever, criar um site WordPress e mergulhar direto na criação de um belo site WordPress.