como manter o wordpress seguro
TRANSCRIPT
Como manter o WordPress
seguroRudá Almeida
Universidade Federal do Rio de JaneiroDiretoria de Segurança da Informação e Gestão de TIC
Quem sou euRudá Almeida
Integrante da Diretoria de Segurança da Informação e Governança de TI da UFRJ
Quem sou euRudá Almeida
Entusiasta do WordPress e integrante da comunidade carioca de WordPress
Quem sou euRudá Almeida
Já palestrei em Meetups e WordCamps.Ajudei a organizar eventos no Rio de Janeiro.
O que é WordPress?
◎ Ferramenta de Gestão de Conteúdo◎ Plataforma de publicação◎ Criado em 2003◎ Usado em blogs, sites de notícias,
páginas institucionais, portfolio, e-commerce, plataforma de ensino, entre inúmeras aplicações.
WordPress
◎ É a ferramenta mais popular do gênero◎ Presente em 25% da web*◎ Domina 59% do mercado*
WordPress
* entre os 10 milhões de sites mais visitados em novembro de 2015 (w3techs)
O preço da famaQuanto mais popular,
mais visado
Imagem: OpenClipartVectors
“Basta de 30 a 45 dias para que um site recém-criado, mesmo sem conteúdo ou audiência, passe a ser alvo
de varreduras maliciosas frequentes.
Tony Perez, sucuri.net(adaptado)
Não importa o tamanho ou a natureza do seu site: se ele está na internet,
é seguro assumir que ele está sendo alvo constante de ataques.
10 a 20 mil ataques por minuto
HackersO que eles querem
Imagem: Freepik
O objetivo de um hacker é, na maioria dos casos, comprometer o seu site e usar os recursos computacionais do servidor
para fins ilícitos.
Consequências
◎ Inclusão em blacklists◎ Perda de reputação◎ Perda de recursos◎ Perda de tempo e dinheiro◎ Responsabilização por dano a terceiros
Consequências
Como ocorrem as invasões
1. Uso do WordPress desatualizado2. Brechas de segurança na hospedagem3. Temas e plugins comprometidos4. Autenticação
Principais vulnerabilidades exploradas
Como se proteger
Imagem: Freepik
Combatendo as vulnerabilidades
1.AtualizaçãoNão use versões antigas!
Imagem: Freepik
◎ Ciclo de lançamento freqüente.◎ Equipe em tempo integral.◎ Correções lançadas rapidamente.◎ Long-term support
Núcleo do WordPress
Nunca, jamais deixe o núcleo desatualizado
“Mais de 73% dos sites* em WordPress estão usando
versões desatualizadas e vulneráveis do core, contendo brechas de segurança conhecidas.
Sandro Gauci, Enable Security(adaptado)
* em julho de 2013, de uma amostra de 42 mil sites.
A partir da versão 3.7, lançada em outubro de 2013, o WordPress passou a receber atualizações
automáticas para minor releases do seu núcleo.
Para forçar a atualização de mais componentes
// Edite o arquivo wp-config.php// e adicione as seguintes linhas:
// Para forçar atualização automática // para qualquer versão do núcleodefine('WP_AUTO_UPDATE_CORE', true);
// Para forçar atualização automática de pluginsadd_filter( 'auto_update_plugin', '__return_true' );
// Para forçar atualização automática de temasadd_filter( 'auto_update_theme', '__return_true' );
◎ Usar versões atuais dos serviços◎ Garantir a integridade dos dados◎ Detectar atividade de malware◎ Oferecer isolamento entre os sites
Sua hospedagem precisa:
● Desative protocolos inseguros (SFTP ou SSH em vez de FTP)
● Dê a permissão correta para pastas e arquivos ● Desative a listagem de pastas e arquivos ● Use um prefixo aleatório nas tabelas no banco● Mova o arquivo wp-config.php uma pasta acima● Force o uso de SSL no acesso ao painel
Alguns ajustes básicos:
● Desative a edição de arquivos no painel, inserindo no arquivo wp-config.php a linha define('DISALLOW_FILE_EDIT',true);
● Restrinja acesso a wp-admin, wp-includes e wp-config.php
● Use uma senha forte para o usuário MySQL● Desative acesso remoto e permissões
desnecessárias no banco de dados● Desative a execução de scripts nas pastas
de upload
● Sempre atualize temas e plugins● Parou de sair atualização? Pare de usar!● Não basta desativar, é preciso apagar● Nunca, jamais use “fontes alternativas”● Mantenha-se informado sobre vulnerabilidades
● Se possível, analise o código● Ofereça atualizações frequentes● Seja desenvolvido por nomes confiáveis● Baixe sempre do site oficial
Como escolher um plugin
4.AutenticaçãoNão use senhas fracas!
Imagem: Freepik
Desde a versão 4.3, o WordPress força a adoção de senhas fortes
por 2 fatores
Imagem: Freepik
4.Autenticação
“Autenticação por dois fatores oferece identificação
através da combinação de dois componentes diferentes: algo que o usuário sabe, possui ou lhe é inseparável.
Wikipédia(adaptado)
Plugins para autenticação por dois fatores
4.AutenticaçãoUsuários e permissões
Imagem: WikiMedia
● Não use o username “admin”● Para postar, use uma conta de autor. ● Não dê acesso de administrador a terceiros.● Bloqueio de logins incorretos (iThemes Security, WordFence)
● Altere o endereço de login (iThemes Security)
● Remova o alerta no erro de login
Alguns ajustes básicos:
5.Avalieriscos e vulnerabilidades
Imagem: Freepik
● Acompanhe listas de vulnerabilidades(NVD, CVE e WPScan)
● Efetue code review de temas e plugins.● Rastreie alterações em arquivos
(WP Security Scan, Wordfence, iThemes Security)
● Execute varreduras preventivas● Avalie os impactos de segurança
Vulnerabilidades e riscos:
WPScan
6.MalwareO seu computador é seguro?
Imagem: Freepik
“Nenhuma medida de segurança adotada, seja em relação ao WordPress ou ao servidor, fará a menor
diferença se o seu computador estiver comprometido.
Codex do WordPress(adaptado)
● Atualize sempre seu sistema operacional.● Use anti-vírus e anti-malware.● Não salve a senha do WordPress.● Use sempre o bom senso.
Segurança começa em casa
Como se recuperar?
“A única forma de garantir a segurança de um site comprometido é restaurar um backup anterior ao
incidente e corrigir as brechas que permitiram o ataque.
Samuel “Otto” Wood, WordPress Core Contributor(adaptado)
Backupvocê tem um… certo?
Imagem: OpenIcons
● Incluir arquivos e banco de dados● Pode ser feito com plugins… ● … ou direto no servidor (ex: cron & rsync)
Backups no WordPress:
WordPress Backup
WP-DB-Backup
Pluginssegurança automatizada
Imagem: Freepik
Plugins
WordFence iThemes Security
Obrigado!
● http://codex.wordpress.org/Hardening_WordPress● https://blog.sucuri.net/category/wordpress-security● http://www.wpwhitesecurity.com/wordpress-security/● https://premium.wpmudev.org/blog/keeping-
wordpress-secure-the-ultimate-guide/● https://blog.apiki.com/category/wordpressseguro/● https://rafaelfunchal.github.io/wordpress-security-
checklist/br/items/
Para saber mais: