Segurança WordPress: protegendo a casa com o Better WP Security

Uma rápida passada nas postagens do blog da Via Hospedagem e você vai notar que falamos bastante sobre segurança. Quem vê de longe pode até pensar que o WordPress seja um sistema inseguro, mas na realidade o WordPress é mais um sistema, como qualquer outro, que também é vítima, vez por outra, de tentativas de invasão. A bem da verdade não só a equipe que mantém a maior plataforma de blogs do mundo funcionando como também a comunidade envolvida ajudam e trabalham arduamente para que vulnerabilidades sejam prontamente identificadas e resolvidas, tendo nesse ritmo um excelente padrão de segurança.

Segurança WordPress: você está fazendo isso certo?

Segurança WordPress: você está fazendo isso certo?

Mas nem tudo são flores e as vezes algum plugin ou template, homologados ou não pela equipe da Automattic, podem criar novas aberturas que pode nos trazer alguma dor de cabeça. O WordPress é um sistema bastante maciço tanto para blogs quanto para sites, e isso por si só já traz bastante atenção dos crackers para possíveis ataques.

Algumas medidas são sempre válidas: manter a versão do WordPress sempre em dia, com as últimas atualizações instaladas; plugins e templates também em suas últimas versões; senhas fortes com mais de 8 caracteres e entre eles letras maíusculas e minúsculas, números e caracteres especiais embaralhados; banco de dados sempre otimizado e sem o costumeiro lixo trazido pelos plugins; permissões 644 para arquivos e 755 somente para diretórios, enfim, todo aquele ritual de segurança WordPress que já compilamos num post é sempre muito bem vindo.

Entretanto estou testando uma outra ferramenta, na verdade um novo plugin de segurança, e tenho gostado bastante do resultado que ele vem mostrando. Mais verdade ainda: já se mostrou eficiente não só em bloquear como reportar ameaças que rondam o nosso querido blog. O Better WP Security, além de implementar num guia rápido já algumas medidas de segurança no WordPress, também oferece uma consultoria para alguns ítens que devem ser levados em conta. A partir daqui eu mostro como recomendo você configurar o seu WordPress afim de que sua segurança esteja sempre em dia.

Primeiramente, você precisa instalar o plugin. Vá até o menu Plugins, depois em Instalar novo e procure por Better WP Security. Instale e ative o menino.

Fazer um backup? Sim, claro!

Fazer um backup? Sim, claro!

Antes de mais nada ele vai perguntar se você quer criar um backup do seu banco de dados e a regra é clara: faça um backup antes de qualquer coisa, aproveite que ele fará isso por você automaticamente.

Proteger o WordPress

Proteger o WordPress

Na segunda etapa ele vai perguntar se você quer proteger o WordPress contra os ataques mais básicos, aqueles que não vão interferir em outros plugins ou templates. Eu recomendo que você faça.

Permite alterar os arquivos do core do WordPress? Sim!

Permite alterar os arquivos do core do WordPress? Sim!

Na terceira e última etapa do guia ele pede a sua autorização para alterar arquivos do core do WordPress. Eu também autorizei.

Por fim, ele te joga para a página principal do plugin que você terá acesso a qualquer momento e te mostrará uma lista com algumas dicas, sugestões e observações sobre seu WordPress. Cada ítem da lista terá uma cor, e cada cor dirá o seguinte:

Lista de sugestões de segurança

Lista de sugestões de segurança

Verde: este ítem está ok, parabéns!

Azul: estes ítens não estão totalmente seguros mas podem interferir no funcionamento de algum plugin, template ou do próprio sistema, então faça somente se você tiver conhecimento no assunto e tenha certeza que não trará problemas.

Laranja: ítens em laranja estão parcialmente seguros, clique na ação sugerida (terá um link ao final) para completar.

Vermelho: o que aparecer em vermelho, como a própria cor já enseja, corrija o mais rápido possível.

Numa instalação normal do WordPress você não verá ítens em vermelho, provavelmente. Somente as verá se tiver modificado algo em alguma estrutura. Recomendo fortemente que você se preocupe com o que estiver em laranja neste momento.

Cheque principalmente os ítens:

  • You are enforcing strong passwords, but not for all users.

Você pode ter uma senha bastante forte, mas talvez os demais usuários do seu blog não. Não adianta muita coisa, faça a troca para uma senha mais forte para todos os envolvidos. Se precisar de uma ajuda nisso, utilize o nosso Gerador de Senhas Fortes.

  • You are not blocking known bad hosts and agents with HackRepair.com’s blacklist?

Esta opção ativa uma lista negra de possíveis ataques e ameaças.

  • Your .htaccess file is NOT secured.

Torne seu arquivo .htaccess seguro.

  • wp-config.php and .htaccess are writeable.

Deixar o wp-config.php e o .htaccess com permissões de escrita não é uma boa idéia.

  • Users may still be able to get version information from various plugins and themes.

Quanto menos informações você passar aos seus visitantes (ou possíveis invasores) sobre as versões do seu sistema ou plugins/templates que utiliza melhor.

Navegue pelas abas resolvendo os problemas

Navegue pelas abas resolvendo os problemas

No painel de administração de segurança você também pode navegar por áreas específicas nas abas acima. Recomendo também algumas alterações em cada aba, como por exemplo:

User

Altere o usuário “admin” para outro nome e troque o ID dele para outro número que não seja o 1.

Away

Aqui você pode decidir fechar o seu wp-admin em determinados horários. Se você tem um padrão de uso e tem certeza que não vai acessá-lo em horários como na madrugada ou um período em que você esteja trabalhando ou na faculdade, por exemplo, torne-o away.

Ban

Em Ban você pode gerenciar IPs banidos bem como ativar/desativar a opção que falamos acima, da lista negra de IPs. Caso alguém ou você mesmo tenha sido banido, basta acessar esta área para adição ou remoção de banimentos.

Update com o comentário do Janio: “O problema é que esta opção acrescenta diretivas DENY FROM x.x.x.x no .htaccess. Este é interpretado a cada requisição feita ao Apache (seja uma página, seja uma imagem, um CSS). Se houver uma lista de IPs muito extensa (mais de meia dúzia de IPs já é uma lista muito extensa) a sobrecarga imposta ao sistema para processar estes banimentos pode até mesmo derrubar o servidor.”

Então use com moderação!

Backup

Essa ferramenta é bastante interessante, visto que as vezes utilizamos um plugin somente para enviar uma cópia periódica da nossa base de dados por e-mail. Você pode utilizar esta ferramenta para isso.

Prefix

Recomendo você alterar o prefixo do seu banco de dados. Mais das vezes utilizamos o prefixo padrão do WordPress que é wp_, não custa nada mudar, não terá impacto estrutural.

Hide

Essa é uma dica de ouro: na opção Hide você muda o endereço que é usado para acessar algumas funções do backend do WordPress, como a página de registro de usuários, administração e login. Você ativa a opção e escolhe os novos endereços. Precisará usar permalinks, configurados na seção Configuração/Links Permanentes para isso.

Detect

Aqui você tem outras duas importantes ferramentas de segurança: o 404 errors detect e o File detect. A primeira serve para que você tente detectar quem está tentando escanear o seu site. A partir do momento que muitos erros 404 (páginas inexistentes) começam a ser exibidos para um único endereço IP, isso pode significa que alguém está buscando vulnerabilidades em seu blog. Bloqueá-lo é um jeito saudável de evitar problemas.

Na segunda, o File Detect avisa de possíveis alterações nos arquivos do core do WordPress, o que também sinaliza que alguém esteja fazendo um deface ou abrindo caminho para invasões. É possível, para casos de falsos-positivos, colocar uma lista de arquivos que você costumeiramente modifica, ou algum plugin o faz, para que sua caixa de e-mail não seja bombardeada de lixo.

Login

Configure um controle de login. Esta opção previne ataques de força bruta (brute force attack), ou seja, scripts que rondam o seu WordPress tentando logins com senhas aleatórias até conseguir uma invasão pela porta da frente. Quando você configura que um IP poderá ter 5 erros, por exemplo, o plugin bloqueará na sexta tentativa. Simples assim.

Tweaks

A seção Tweaks contém uma série de implementações que não se encaixaram nas demais abas. Não quer dizer que elas são menos importantes, apenas não mantiveram um padrão para ter uma aba própria. Ela traz uma série de melhorias de segurança que devem ser analisadas de caso pra caso, mas já recomendo de ante-mão a ativação das que lidam com esconder as versões do WordPress, proteger os arquivos, desabilitar o file browsing (que é quando o Apache mostra a lista de arquivos em caso de falta de um index) e a remoção de permissão de escrita para arquivos mais delicados do WP.

Logs

Na última aba, você tem uma série de logs configurados para ver o que anda acontecendo com seu WordPress. Desde as tentativas com senhas erradas até a alteração de arquivos, aqui você fica ligado no que anda acontecendo e a qualquer sinal de anormalidade, haja.

Caso tenha mais dúvidas sobre este poderoso plugin de segurança WordPress, eles têm uma página de suporte.

Valeu, José Cláudio Machado!

Não é novidade pra você, caro leitor e cliente, que este que vos escreve neste blog é um fã da cultura gaúcha. Sob alguns preceitos e valores do gauchismo é que que construí não só a identidade visual da empresa, com a valorosa e inestimável ajuda da gaúcha @Nospheratt, mas é nas coisas boas de uma cultura regional em que baseio a minha vida e o meu trabalho, como se desse pra distinguí-los aqui. E uma das minhas funções na Via é a instalação e manutenção de alguns servidores, ofício que maior parte aprendi com o também gaúcho @JanioSarmento.

Um dos rituais de um administrador de sistemas e redes é “batizar” um servidor recém instalado. O “nome” do servidor ajuda na hora de você identificá-lo, principalmente quando eles começam a ser geridos em dezenas. Na maioria dos casos usamos nomes relacionados com algum gosto pessoal. Alguns usam planetas, outros personagens de um filme, série, TV etc. Eu uso pelagens de cavalo.

Sem querer desmerecer o trabalho de Dr. Emílio Solanet que no final do século XIX traçou numa publicação os perfis de pelagens de cavalos, mas foi José Cláudio Machado com uma famosa composição sua, talvez um dos maiores legados ao folclore rio-grandense, que me inspirou em utilizar a coloração e estilos de pelagens de cavalos para batizar nossos servidores. Então toda vez que um novo servidor é necessário eu ouço “Pêlos” e, traçando um perfil do servidor, escolho o nome através de letra de Zé Cláudio.

Vamos ouvir juntos?

José Cláudio Machado, aos 63 anos de idade, nos deixou hoje e entrou definitivamente pra história não só da música gaúcha mas também na minha memória. E é com um pouco de lágrimas nos olhos que eu faço este post, agradeço pela valor da sua vida, e desejo que vá em paz, meu velho!

Ahh, Que bom seria
Se Deus um dia de mim lembrasse
E lá para o céu
O meu Rio Grande comigo levasse
Mostraria este meu paraíso
Para os anjos verem a verdade
Que o Rio Grande do Sul
É pra mim, o jardim da saudade

(Jardim da Saudade, de José Cláudio Machado)