Wordpress: Como se Proteger Sem Perder Praticidade?



O Wordpress é o CMS (Content Management System) mais usado do mundo, sendo amplamente utilizado como ferramenta para criação de blogs.

Incrivelmente fácil de customizar, contando com os mais variados tipos de plugins e temas - e isso tudo open source! Não é à toa que esse pequeno sistema, criado em meados de 2003, se tornou o mais popular sistema de gerenciamento de conteúdo para a web. Muitas plataformas têm utilizado o Wordpress para desenvolvimento de lojas virtuais, intranets e até como portal de conteúdo.

O Wordpress é indicado para quem quer criar um site moderno e de forma rápida, devido a sua simplicidade e facilidade de uso. Afinal, não é necessário qualquer tipo de conhecimento em programação ou tecnologia web. Entretanto, um ponto muito questionado entre os admiradores e utilizadores do sistema é se o Wordpress é realmente seguro. Devido a quantidade de ataques que ocorrem em sites e plataformas que utilizam o Wordpress, essa é uma questão para se analisar e que vem ganhando relevância. 

Analisando o Básico
Garantir a segurança de uma aplicação implica em uma rotina constante de testes e auditoria. Como o código do Wordpress é open source -  disponível para qualquer usuário melhorá-lo - é valido concluir que o mesmo possui algum nível de segurança. Vamos fazer uma breve análise neste ponto. Segurança de código aberto é uma discussão antiga e que sempre foi polêmica. Sendo assim, recomendamos a leitura deste artigo, do Rodrigo Rubira Branco - pesquisador de segurança, para quem quiser aprofundar nesse tema. 
É interessante apontarmos também que a quantidade de bugs corrigidos através dos CVE’s existentes é bastante elevado para um projeto open source.
 

Outro ponto importante para analisar a segurança do Wordpress é a quantidade de plugins e temas existentes. Sendo que a maioria dos ataques que ocorrem em sites/aplicações Wordpress tem sido em cima destes plugins e temas vulneráveis.
É muito comum para quem utiliza um WAF (Web Application Firewall) em seu ambiente, estar acostumado à grande quantidade de bots que atacam sua aplicação quando é disponibilizada uma nova brecha em algum plugin ou tema do Wordpress. 

A Culpa é Minha? Eu sou Inseguro?
Sim, mas vamos dar algumas dicas para deixar seu Wordpress blindado!

Blindando a Área de Login
Um dos primeiros pontos que o invasor/bot tenta invadir em um Wordpress é a área de administração (/wp-admin). A maioria dos scanners focados no Wordpress ou CMS variados (Ex.: WPScan) checam essa área para realizar ataques de força bruta. Veja abaixo algumas dicas para blindar a área de administração e a área de login dos usuários:
*  Bloqueie o acesso ao "wp-admin", permitindo acesso apenas para usuários autorizados.
* Altere os dados da conta de administração padrão do Wordpress. Atualmente, as novas versões do Wordpress não criam mais o usuário "admin", ajudando e muito nesta dica!
* Utilize um plugin de dupla autenticação para a área de login dos usuários - o mesmo serve como uma camada de proteção e validação física, aumentando a segurança desta área. Recomendo este plugin para auxiliar nesta função. Apesar da dupla autenticação dificultar um pouco o fluxo e usabilidade, aumenta e muito a segurança da sua área logada.
* Utilize um plugin específico para proteção contra ataques de força bruta na área de login. Recomendo este plugin.
* Por último, uma proteção que vem sendo muito utilizada é esconder os “usernames” do Wordpress. O pŕoprio Wordpress permite que os usernames utilizados no seu site sejam descobertos facilmente, através de força bruta na página “/?author=”, e ferramentas como o WPScan abusam dessa brecha para listar todos os usuários do seu Wordpress.
Existem alguns plugins que tentar impedir e proteger contra essas brechas, entretanto, são passíveis de bypass (contornar a proteção existente) pelas ferramentas. Aconselhamos criar uma regra no .htaccess do seu servidor web para bloquear falhas desse tipo, ou, se você utiliza um WAF ou algum mecanismo como um firewall em seu ambiente, crie uma regra para bloquear o mesmo.
 
Atualizar é bom. Não tenha medo!
Devido a quantidade de vulnerabilidades existentes para os plugins e temas do Wordpress, é necessário sempre manter todos os plugins do Wordpress atualizados. Quando uma nova brecha é divulgada em algum plugin ou tema, bots começam a atacar sites que tenham aquele determinado plugin ou tema instalados. Uma dica importante é não deixar o Wordpress para baixar "atualizações automáticas", faça manualmente. Pois, alguma nova atualização pode estar em versão de teste e causar alguns problemas. Ou seja, sempre fique de olho nas notícias!

Cuidado Com o Plugin ou Tema que Você Faz Download!
Outro ponto importante é que a maioria dos plugins e temas disponibilizados pelo Wordpress para download não possuem nenhum tipo de validação ou auditoria de segurança. Ou seja, caso um programador mal-intencionado queira criar um plugin que sequestre todo o banco de dados do seu Wordpress, é possível - e já foi demonstrado por um pesquisador brasileiro -  neste link.

Sempre verifique se o plugin ou tema que você está baixando já teve algum tipo de reclamação ou se tem um grande número de downloads. Portanto, não baixe nada desconhecido ou muito novo!

Permissões de Arquivo
Algumas funcionalidades do Wordpress necessitam de permissões especiais para funcionar. Dar esse "poder" para certos tipos de arquivos do Wordpress pode dar uma dor de cabeça no futuro. O melhor a fazer é sempre restringir ao máximo as permissões dos seus arquivos e apenas liberar o acesso para o usuário "administrador".

Não se Esqueça do Básico
Não adianta fazer um bom "hardening" do seu Wordpress, seguindo as dicas citadas anteriormente, e não usar antivírus, por exemplo. Não se esqueça de usar também criptografia SSL (HTTPS). Lembre-se de sempre fazer um bom "hardening" do ambiente em que você está instalando o seu Wordpress. Padrões de segurança também são extremamente relevantes. Utilize-os! Segue algumas dicas para melhorar ainda mais a segurança do seu Wordpress:
* Faça backup do seu Wordpress e do banco de dados, regularmente.
* Utilize boas soluções de antivírus e de anti-malware (malwarebytes)
* Monitore seu servidor.
* Force o SSL no seu Wordpress.

Depois de todas essas dicas, podem surgir dúvidas: "Não sou programador, como aplico todas as dicas citadas anteriormente?". Pensando nisso, recomendamos este plugin de segurança para Wordpress que aplica uma grande parcela das dicas citadas anteriormente e e em alguns cliques deixa seu Wordpress blindado!

Referências 
http://imasters.com.br/infra/seguranca/porque-a-maior-parte-das-historias-sobre-seguranca-no-wordpress-estao-erradas

0 comentários: