Segurança WordPress: você está fazendo isso certo?

Mas nem tudo são flores e as vezes algum plugin ou template, homologados ou não pela equipe da Automattic, podem criar novas aberturas que pode nos trazer alguma dor de cabeça. O WordPress é um sistema bastante maciço tanto para blogs quanto para sites, e isso por si só já traz bastante atenção dos crackers para possíveis ataques.

Algumas medidas são sempre válidas: manter a versão do WordPress sempre em dia, com as últimas atualizações instaladas; plugins e templates também em suas últimas versões; senhas fortes com mais de 8 caracteres e entre eles letras maíusculas e minúsculas, números e caracteres especiais embaralhados; banco de dados sempre otimizado e sem o costumeiro lixo trazido pelos plugins; permissões 644 para arquivos e 755 somente para diretórios, enfim, todo aquele ritual de segurança WordPress que já compilamos num post é sempre muito bem vindo.

Entretanto estou testando uma outra ferramenta, na verdade um novo plugin de segurança, e tenho gostado bastante do resultado que ele vem mostrando. Mais verdade ainda: já se mostrou eficiente não só em bloquear como reportar ameaças que rondam o nosso querido blog. O Better WP Security, além de implementar num guia rápido já algumas medidas de segurança no WordPress, também oferece uma consultoria para alguns ítens que devem ser levados em conta. A partir daqui eu mostro como recomendo você configurar o seu WordPress afim de que sua segurança esteja sempre em dia.

Primeiramente, você precisa instalar o plugin. Vá até o menu Plugins, depois em Instalar novo e procure por Better WP Security. Instale e ative o menino.

Fazer um backup? Sim, claro!

Antes de mais nada ele vai perguntar se você quer criar um backup do seu banco de dados e a regra é clara: faça um backup antes de qualquer coisa, aproveite que ele fará isso por você automaticamente.

Proteger o WordPress

Na segunda etapa ele vai perguntar se você quer proteger o WordPress contra os ataques mais básicos, aqueles que não vão interferir em outros plugins ou templates. Eu recomendo que você faça.

Permite alterar os arquivos do core do WordPress? Sim!

Na terceira e última etapa do guia ele pede a sua autorização para alterar arquivos do core do WordPress. Eu também autorizei.

Por fim, ele te joga para a página principal do plugin que você terá acesso a qualquer momento e te mostrará uma lista com algumas dicas, sugestões e observações sobre seu WordPress. Cada ítem da lista terá uma cor, e cada cor dirá o seguinte:

Lista de sugestões de segurança

Verde: este ítem está ok, parabéns!

Azul: estes ítens não estão totalmente seguros mas podem interferir no funcionamento de algum plugin, template ou do próprio sistema, então faça somente se você tiver conhecimento no assunto e tenha certeza que não trará problemas.

Laranja: ítens em laranja estão parcialmente seguros, clique na ação sugerida (terá um link ao final) para completar.

Vermelho: o que aparecer em vermelho, como a própria cor já enseja, corrija o mais rápido possível.

Numa instalação normal do WordPress você não verá ítens em vermelho, provavelmente. Somente as verá se tiver modificado algo em alguma estrutura. Recomendo fortemente que você se preocupe com o que estiver em laranja neste momento.

Cheque principalmente os ítens:

• You are enforcing strong passwords, but not for all users.

Você pode ter uma senha bastante forte, mas talvez os demais usuários do seu blog não. Não adianta muita coisa, faça a troca para uma senha mais forte para todos os envolvidos. Se precisar de uma ajuda nisso, utilize o nosso Gerador de Senhas Fortes.

• You are not blocking known bad hosts and agents with HackRepair.com’s blacklist?

Esta opção ativa uma lista negra de possíveis ataques e ameaças.

• Your .htaccess file is NOT secured.

Torne seu arquivo .htaccess seguro.

• wp-config.php and .htaccess are writeable.

Deixar o wp-config.php e o .htaccess com permissões de escrita não é uma boa idéia.

• Users may still be able to get version information from various plugins and themes.

Quanto menos informações você passar aos seus visitantes (ou possíveis invasores) sobre as versões do seu sistema ou plugins/templates que utiliza melhor.

Navegue pelas abas resolvendo os problemas

No painel de administração de segurança você também pode navegar por áreas específicas nas abas acima. Recomendo também algumas alterações em cada aba, como por exemplo:

User

Altere o usuário “admin” para outro nome e troque o ID dele para outro número que não seja o 1.

Away

Aqui você pode decidir fechar o seu wp-admin em determinados horários. Se você tem um padrão de uso e tem certeza que não vai acessá-lo em horários como na madrugada ou um período em que você esteja trabalhando ou na faculdade, por exemplo, torne-o away.

Ban

Em Ban você pode gerenciar IPs banidos bem como ativar/desativar a opção que falamos acima, da lista negra de IPs. Caso alguém ou você mesmo tenha sido banido, basta acessar esta área para adição ou remoção de banimentos.

Update com o comentário do Janio: “O problema é que esta opção acrescenta diretivas DENY FROM x.x.x.x no .htaccess. Este é interpretado a cada requisição feita ao Apache (seja uma página, seja uma imagem, um CSS). Se houver uma lista de IPs muito extensa (mais de meia dúzia de IPs já é uma lista muito extensa) a sobrecarga imposta ao sistema para processar estes banimentos pode até mesmo derrubar o servidor.”

Então use com moderação!

Backup

Essa ferramenta é bastante interessante, visto que as vezes utilizamos um plugin somente para enviar uma cópia periódica da nossa base de dados por e-mail. Você pode utilizar esta ferramenta para isso.

Prefix

Recomendo você alterar o prefixo do seu banco de dados. Mais das vezes utilizamos o prefixo padrão do WordPress que é wp_, não custa nada mudar, não terá impacto estrutural.

Hide

Essa é uma dica de ouro: na opção Hide você muda o endereço que é usado para acessar algumas funções do backend do WordPress, como a página de registro de usuários, administração e login. Você ativa a opção e escolhe os novos endereços. Precisará usar permalinks, configurados na seção Configuração/Links Permanentes para isso.

Detect

Aqui você tem outras duas importantes ferramentas de segurança: o 404 errors detect e o File detect. A primeira serve para que você tente detectar quem está tentando escanear o seu site. A partir do momento que muitos erros 404 (páginas inexistentes) começam a ser exibidos para um único endereço IP, isso pode significa que alguém está buscando vulnerabilidades em seu blog. Bloqueá-lo é um jeito saudável de evitar problemas.

Na segunda, o File Detect avisa de possíveis alterações nos arquivos do core do WordPress, o que também sinaliza que alguém esteja fazendo um deface ou abrindo caminho para invasões. É possível, para casos de falsos-positivos, colocar uma lista de arquivos que você costumeiramente modifica, ou algum plugin o faz, para que sua caixa de e-mail não seja bombardeada de lixo.

Login

Configure um controle de login. Esta opção previne ataques de força bruta (brute force attack), ou seja, scripts que rondam o seu WordPress tentando logins com senhas aleatórias até conseguir uma invasão pela porta da frente. Quando você configura que um IP poderá ter 5 erros, por exemplo, o plugin bloqueará na sexta tentativa. Simples assim.

Tweaks

A seção Tweaks contém uma série de implementações que não se encaixaram nas demais abas. Não quer dizer que elas são menos importantes, apenas não mantiveram um padrão para ter uma aba própria. Ela traz uma série de melhorias de segurança que devem ser analisadas de caso pra caso, mas já recomendo de ante-mão a ativação das que lidam com esconder as versões do WordPress, proteger os arquivos, desabilitar o file browsing (que é quando o Apache mostra a lista de arquivos em caso de falta de um index) e a remoção de permissão de escrita para arquivos mais delicados do WP.

Logs

Na última aba, você tem uma série de logs configurados para ver o que anda acontecendo com seu WordPress. Desde as tentativas com senhas erradas até a alteração de arquivos, aqui você fica ligado no que anda acontecendo e a qualquer sinal de anormalidade, haja.

Caso tenha mais dúvidas sobre este poderoso plugin de segurança WordPress, eles têm uma página de suporte.

Compartilhar/Favoritos

O post Segurança WordPress: protegendo a casa com o Better WP Security apareceu primeiro em Via Hospedagem.

Num país onde pouco se valoriza o pequeno empreendedor, ter começado uma startup de tecnologia na escrivaninha do quarto e sem aporte grande de capital mas tendo tanta confiança e respaldo da clientela que ainda nos 12 meses iniciais já nos permitia andar com as próprias pernas, pagar as contas e viver disso é uma honra muito grande.

Por isso neste 20 de julho tenho muita a coisa a comemorar e agradecer. E agradeço principalmente ao Janio Sarmento, este cara que vocês verão citado em todos os posts de aniversário, cujo método de trabalho e filosofia herdamos e nos inspira e nos pauta a cada dia, e que foi quem realmente tornou tudo isso possível num dos raríssimos exemplos de parceria que deram certo neste meio. Sem ele, nada disso teria se tornado realidade.

Agradeço, ainda, aos clientes e amigos que estão no “costado”, seja os que nos acompanham desde 2008 quando o que tínhamos era um PC desktop velho, um servidor hospedado lá fora e muita vontade de chegar até aqui, seja os que recentemente vieram pro “costado”, nos orgulhando de igual forma e nos renovando a garra e a vontade para o quinto ano que hoje inicia.

Queridos clientes, por mais que isso pareça um clichê comercial, acreditem: vocês são a razão do meu trabalho. Durmo todos os dias pensando na segurança e no funcionamento do seus projetos, sonho com cada um deles e acordo invariavelmente disposto a cuidá-los todas as manhãs, faça calor ou estes pouco menos de 10 graus que congelam o Sul brasileiro nesta manhã de inverno quando já estou aqui no escritório enquanto muitos de vocês ainda dormem.

Muito, muito obrigado pelo carinho e a costumeira confiança!

E parabéns pra Via Hospedagem! Live long and prosper, no melhor estilo vulcaniano!

Créditos da foto

Compartilhar/Favoritos

O post 4 anos apareceu primeiro em Via Hospedagem.

Se você quiser ouvir um sonzinho maneiro do Grant enquanto lê o restante do post:

Foram feitas um sem número de melhorias como no theme customizer, nas traduções de alguns elementos que ainda não eram “traduzíveis”, no processo de instalação, na interação do plugins, melhorias para os desenvolvedores, enfim… a lista completa do que foi implementado você pode ver no próprio Codex.

E como sempre frisamos, é muito importante que, segundos antes de fazer a atualização do seu WordPress, você faça também um update nos plugins. Isso porque com estas melhorias uma ou outra função utilizada em algum plugin pode ser conflitante na nova versão do CMS e acabar mostrando algum erro. Os desenvolvedores dos plugins mais usados, por exemplo, sabendo da atualização da plataforma que se avizinha, já compatibiliza o seu software e solicita a atualização dele antes mesmo de o WordPress novo sair, evitando problemas.

De quarta pra cá o caso mais comum é pra quem usa o plugin DB Cache Reloaded, um plugin bastante interessante para a performance e estabilidade do seu site. Caso você tenha esquecido do nosso costumeiro aviso, ao atualizar o WordPress você deverá receber esta mensagem: Fatal error: Call to undefined method dbrc_wpdb::delete() in /home/dominio/public_html/wp-includes/option.php on line 370.

Não entre em pânico! Para resolver é simples:

1. Acesse o FTP do seu domínio
2. Vá até o diretório wp-content do seu WordPress
3. Localize o arquivo db.php e renomeie para db.old (ou qualquer nome, só pra servir como backup)
4. Tente novamente acessar o wp-admin do seu blog e clique em “Continue” quando o WordPress oferecer para atualizar o banco de dados.

Simples assim! Qualquer problema nos procure no suporte

Compartilhar/Favoritos

O post WordPress 3.4: atualização segura e corrigindo problemas apareceu primeiro em Via Hospedagem.

TimThumb: uma ameaça real

A falha permite que um invasor envie um arquivo executável para o servidor e com isso ganhe o controle da máquina. Kits de exploração da falha incluem a instalação automática de backdoors no servidor, a fim de rodar servidores de jogos, de IRC ou outros, de maneira não autorizada, bem como facultar posterior acesso facilitado ao invasor. Leia mais sobre o banimento do script e também entenda como ele funciona.

Confesso que relutei bastante pra fazer o mesmo aqui na Via, tentando fazer um trabalho “formiguinha” explicando o caso, enviando e-mails individuais, alertas, fazendo posts e tentando convencer os clientes que usam o CMS WordPress a trocarem seus templates ou adaptarem pra outra ferramenta, se fosse o caso. Mas a cada dia que passa a vulnerabilidade faz mais vítimas, engorda a estatísticas de clientes que estão tendo sérios problemas em seus blogs (desde uma desqualificação com o Google até perda de dados) e está comprometendo seriamente a credibilidade dos nossos endereços IP na rede.

Particularmente odeio a palavra “proibir”, mas quando você tem a visão sistêmica da coisa, conhece todos os processos e sabe quando os riscos são grandes demais para serem corridos, você invariavelmente vai precisar aplicá-la em algum momento.

Assim sendo, informo que a partir de hoje teremos ferramentas em nossos servidores que localizarão, anularão a ação do script e em um futuro próximo removerão os arquivos denominados timthumb.php das contas de hospedagem. Resumindo, o uso de timthumb.php está proibido na Via Hospedagem.

Se você foi infectado por esta vulnerabilidade ou tiver qualquer dúvida sobre esta medida, estamos a disposição para qualquer dúvida através do nosso suporte!

Compartilhar/Favoritos

O post TimThumb: uma ameaça real ao seu projeto será eliminada dos nossos servidores apareceu primeiro em Via Hospedagem.