Em Abril de 2019, aproximadamente 60% de todos os sites baseados em CMSs, utilizam o WordPress como plataforma de desenvolvimento. Este aspecto tem importantes implicações e uma das mais relevantes, é o aspecto da segurança. Muito se fala a respeito da segurança do WordPress, mas você sabe se o seu site baseado no WordPress é seguro? Sabe o que fazer para melhorar a segurança?
O WordPress é seguro?
Essa é a pergunta mais feita por quem usa o WordPress ou pretende usá-lo. A principal razão para esta preocupação tem a ver com o fato de a maioria dos sites com problemas de segurança dependerem deste CMS.
Claro que se tivermos em conta que a cada cinco sites criados sob a plataforma de alguns CMS, três usam WordPress, o número de ocorrências deve ser o maior entre todos os CMS. Além disso, do ponto de vista de quem explora uma vulnerabilidade conhecida, ao procurar sites que a contenham, as chances de encontrar um grande número de potenciais vítimas são maiores.
Mas o problema não é o WordPress, pois todos os CMSs têm problemas de segurança. Na verdade, é praticamente impossível apontar para um sistema ou aplicativo que esteja livre de falhas de segurança.
Em teoria, algo só é seguro até que alguém descubra uma brecha que possa ser explorada. É como no caso do Windows, onde um pacote de atualização é lançado pela Microsoft na segunda terça-feira de cada mês que sempre contém pelo menos uma atualização de segurança. Resumindo, é um jogo de gato e rato, onde você compete com quem é mais rápido em descobrir problemas ou resolvê-los.
Mas se por um lado o grande número de alvos possíveis é uma isca para hackers (na verdade crackers), por outro lado, um CMS tão popular com uma taxa de adoção tão alta tem uma grande comunidade de desenvolvedores, técnicos e especialistas em segurança focados em resolver problemas comuns rapidamente assim que são descobertos.
Por que há problemas de segurança?
A questão da segurança sempre foi um aspecto decisivo no desenvolvimento de software, e WordPress é software. Existem basicamente dois pontos em que se baseia a segurança: a programação utilizada na aplicação e o usuário.
Por mais capacitada, experiente e atenta que seja a equipe de desenvolvimento, alguns problemas são insolúveis de sua parte de quem o cria, pois há usuários leigos ou negligentes que podem comprometer até as medidas mais rígidas para reforçar a segurança de um sistema.
Um exemplo extremamente comum é a questão de escolher senhas, sabendo que é extremamente comum adotar senhas simples como 123456 ou password! Hackear um site que usa senhas como essas não requer nem a presença de um cracker do outro lado.
Portanto, parte das soluções para ter sistemas seguros envolve fornecer informações ao usuário sobre o procedimentos corretos, sem os quais, sempre haverá riscos quanto à segurança do sistema ou aplicativo utilizado.
Em particular no que diz respeito ao WordPress e sua programação, há uma grande preocupação em eliminar falhas no código que pode permitir que um site seja invadido e adulterado. Além da equipe responsável pela segurança do CMS, existem parcerias com empresas do segmento e hospedagem. Com o trabalho orientado nesse sentido, regularmente são lançadas atualizações que visam não só melhorar e estender a funcionalidade do CMS, mas também corrigir os problemas de segurança que foram identificados após a atualização anterior.
Mas isso não basta, pois existe outro fator muito importante, que são os temas e plugins do WordPress. Embora existam muitos desenvolvidos pelo WordPress.org e, portanto, sigam as mesmas preocupações que existem em relação ao núcleo do aplicativo, em teoria, qualquer pessoa com o conhecimento necessário pode criar e disponibilizar um tema ou plugin para WordPress.
Portanto, quando você instala um tema ou plugin, esse componente pode não necessariamente ter sido desenvolvido com o cuidado esperado e o compromisso de ser seguro. Nesse caso, mais do que um problema de programação, era também um problema do usuário, que não buscava formas de garantir a segurança do que instalou em seu site baseado em WordPress, e com isso acabou fazendo sua própria vulnerabilidade local.
Por que um site é hackeado?
Antes de prosseguirmos, é importante esclarecer um ponto que normalmente é tratado incorretamente. É comum que as pessoas digam que um hacker invadiu o meu site, sendo que o correto seria que um cracker invadiu o meu site. Qual a diferença? Os hackers são pessoas que tem conhecimentos avançados em tecnologia, com ênfase em programação e sistemas e que analisam-nos para descobrir entre outras coisas, problemas de segurança. O cracker também tem o mesmo conhecimento, porém ele o utiliza para benefício próprio ou para fins questionáveis.
Dito isto, um cracker não precisa ter uma razão específica para invadir um site. Algumas vezes, seu objetivo é apenas vandalismo virtual. Simplesmente conseguir deixar milhares de sites offline, é motivo de status ou simplesmente de satisfação pessoal. Nestes casos, geralmente o site pode ser apagado ou alterado e uma página com informações do autor do ataque é publicada, recebendo o nome de defacement ou desfiguração, em português.
Outras vezes, o cracker invade sites para benefícios específicos, como por exemplo, envio de mensagens objetivando phishing ou criação de um site falso para colher dados de usuários, ou para realizar um ataque DDoS, ou ainda uma prática que vem crescendo recentemente, em que o poder de processamento de vários sites invadidos é usado para minerar criptomoedas.
Como resolver os problemas de segurança do WordPress?
A Wordfence – empresa de segurança criadora de um dos mais conhecidos plugins de segurança do WordPress – revela em dados recentes que cerca três milhões de ataques a sites baseados no WordPress ocorrem a cada hora em sua rede segura. É um número assombroso que excede os 80 milhões de ataques por dia! Sendo assim, supor que se o seu site nunca foi invadido, significa que ele é seguro, é um erro. Possivelmente ele apenas não foi descoberto ainda.
Portanto, é importante tratar tanto quanto possível de se aplicar alguns princípios de segurança e medidas razoavelmente simples e acessíveis, para que seu site não passe a integrar as estatísticas:
1. Backup
O primeiro cuidado básico e fundamental é manter sempre backups periódicos e recentes do site, para serem restaurados caso o pior aconteça e o site tenha sido invadido. Lembre-se de que mesmo várias medidas de segurança não garantem que seu site seja seguro e, se o pior acontecer, você poderá restaurar o conteúdo original, especialmente se for extenso. É importante não armazenar esses backups apenas em seu próprio servidor, pois se o conteúdo da conta for excluído, é possível que o backup também seja comprometido.
2. Usuário e senha
Um conhecido problema de segurança com o WordPress ocorre quando o administrador geralmente não altera o usuário padrão, o qual o WordPress estabelece automaticamente como Admin. Sabendo disso e que poucos alteram o usuário, resta ao cracker apenas tentar descobrir a senha. Há alguns meios de se realizar a alteração, porém o mais simples é usar um plugin próprio para isso, como por exemplo, o Admin Renamer.
3. URL de login
O WordPress trabalha com configurações padrões que são bem conhecidas por crackers, portanto, alterar algumas delas é uma estratégia que ajuda a proteger seu site. Uma medida nesse sentido é alterar a URL de login do seu site, que pode ser facilmente alterada usando um plugin como o WPS Hide Login. Sem saber a URL que dá acesso à área administrativa, dificilmente ele conseguirá acessá-la.
4. Senha segura
Como mencionado anteriormente, escolher senhas muito simples é um problema recorrente no WordPress, assim como em outros aplicativos e serviços. O número de hacks por adoção de senhas fracas é responsável por um grande número de casos de hackers e, portanto, é necessário escolher uma senha segura.
5. Atualização do WordPress
Mantenha o WordPress atualizado. A equipe que mantém o CMS trabalha constantemente para identificar e corrigir falhas de segurança no núcleo do aplicativo e nos principais temas e plugins. Portanto, manter sempre a versão mais recente ajuda, pois as falhas de segurança antigas não podem mais ser exploradas. Lembre-se sempre de fazer um backup antes de instalar uma atualização.
6. Atualização de plugins
Da mesma forma que o core da aplicação deve estar sempre atualizado, faça o mesmo para os temas e plugins, lembrando antes de tudo que os fornecidos pelo wordpress.org seguem a mesma filosofia de manutenção de segurança adotada no core da aplicação. Se você optar por temas e plugins de terceiros, pesquise com que frequência eles lançam atualizações e se são compatíveis com a versão mais recente do WordPress.
7. Temas e plugins crackeados/pirateados/desbloquados/nulled
A economia pode ser seu pior inimigo. É bastante comum encontrar sites que oferecem temas gratuitos e plugins pagos originalmente. Nunca ceda à tentação e nunca instale componentes nestas condições. Em quase todos os casos, eles contêm vulnerabilidades especialmente incluídas para facilitar a invasão de um site que os utiliza.
8. Proteção do wp-login.php
Existem ações manuais simples, mas podem aumentar muito a segurança de uma instalação do WordPress, como a proteção de senha wp-login.php com htaccess e, portanto, ataques de força bruta, onde o sistema tenta combinações em cascata de nomes de usuário e senhas que se tornam ineficazes devido a para acessar o wp-login, primeiro será necessário fornecer outra senha que o sistema automatizado de hackers normalmente não detectaria.
9. Proteção do wp-config.php
Por motivos semelhantes ao item anterior, recomenda-se proteger o arquivo wp-config.php, também via htaccess. Tanto esta modificação como a modificação anterior requerem conhecimento técnico por parte do administrador, no entanto, os serviços de hospedagem web com cPanel oferecem a vantagem de proteger o diretório com uma senha.
10. Diretório de plugins
Outra medida que, somada à anterior, pode aumentar significativamente a segurança do seu blog, é mover/alterar a pasta wp-content, isso porque todos os plugins estão nesta pasta e caso o invasor não consiga localizá-la, ele irá não poderá explorar o seu conteúdo. Mas tome cuidado ao fazer essa alteração, sendo aconselhável antes de fazer o backup.
11. Certificado SSL
Instale um SSL em seu site. Ao fazer isso, as informações que são trocadas entre o site/servidor e o usuário que está efetuando login são criptografadas e isso evita que, se os dados forem interceptados, não possam ser lidos e, consequentemente, o nome de usuário e a senha sejam conhecidos facilmente.
12. Plugins de segurança
Adote plugins de segurança do WordPress. Existem muitos plugins que aprimoram os aspectos de segurança, como Sucuri e Wordfence. Existem outros ingredientes adicionais, cada um com suas características, por isso é importante pesquisar os aspectos que cada um prefere antes de escolher cada um. Também é importante ter em mente que nenhum plugin corrige alguns problemas, como um plugin desatualizado ou fraco, portanto, você deve primeiro corrigir o bug existente, antes de prosseguir com a instalação do plugin de segurança.
13. Desabilitar o xml-rpc
A maioria dos usuários não utiliza esta opção, que é utilizada por alguns plugins raros e que basicamente permite a transmissão de dados, utilizando HTTP para transporte de dados e XML como mecanismo de codificação, que consiste basicamente em, por exemplo, atualizar seu site usando seu smartphone. Uma maneira fácil de fazer isso é alterar a permissão do arquivo xmlrpc.php para 000.
14. Limitar tentativas de login
Limite o número de tentativas de login, garantindo que os usuários, por exemplo, tenham apenas três tentativas antes que a conta seja suspensa temporariamente. Isso pelo menos evita ataques típicos de força bruta. Um exemplo de plugin que realiza essa tarefa é o WP Limit Login Attempts.
15. Comentários
Se você não precisa necessariamente de comentários em suas postagens, é uma boa ideia desativá-los. Ao fazer isso, você não apenas garante que seu blog não seja vítima de spam, mas também evita um tipo de ataque em que o banco de dados fica sobrecarregado devido a uma inundação.
16. Mantenha-se informado
Justamente por sua enorme popularidade, existem muitos sites, fóruns, como o próprio fórum WordPress e o Exploit Database, que trazem informações sobre problemas de segurança conhecidos no WordPress, temas e plugins. Particularmente no caso de temas e plugins, se houver um bug que ainda não foi corrigido, não hesite! Desinstale o componente problemático até que a solução esteja disponível.
17. Temas e plugins inúteis
Não apenas desabilite temas e plugins que eventualmente não utilize. Faça a remoção de todo conteúdo que não estiver em uso no site, pois mesmo que não estejam ativos, os itens desabilitados algumas vezes podem ser acessados via URL e se contiverem vulnerabilidades, poderão ser exploradas.
Conclusão
O WordPress é o CMS mais usado no mundo, respondendo por mais do que a soma de todos os outros CMSs combinados. Isso representa um risco, pois há um grande número de alvos possíveis em termos de segurança, mas ao mesmo tempo significa que há um grande contingente de pessoas trabalhando para fortalecer o aplicativo. Um desses elos da cadeia de segurança é você, adotando alguns conselhos simples e acessíveis.
