Entrevista com Ivica Delic sobre profissionais e segurança do WordPress
Publicados: 2019-09-05Até agora, entrevistamos apenas pessoas que entendem e trabalham em segurança de aplicativos e WordPress. Sempre ouvimos a voz dos vendedores . No entanto, nesta entrevista, adotamos uma abordagem diferente. Entrevistamos Ivica Delic, uma profissional do WordPress sobre segurança. O escopo desta entrevista é entender melhor como os profissionais do WordPress, para quem talvez a segurança não seja o copo da sua equipe, veem e entendem os produtos e serviços de segurança. Esta entrevista também nos ajuda a entender onde podemos melhorar e o que esses profissionais estão fazendo para manter os sites de seus clientes seguros.
Ivica Delic trabalha com WordPress desde 2011 e é cofundadora do FreelancersTools.com. Ele foi voluntário na comunidade WordPress e participou e apresentou em vários WP Meetups sobre como acelerar sites WordPress. Ivica iniciou vários grupos populares no Facebook em vários tópicos do WordPress. Ele é administrador em mais de 25 grupos do Facebook, que juntos têm mais de 150.000 membros. Ivica se formou com mestrado em Economia e, após mais de 20 anos gerenciando equipes no setor bancário, cofundou a Confida, uma empresa de mercado digital que se concentra em ajudar os clientes no gerenciamento de sites WordPress e necessidades de marketing digital.
A entrevista
Q1: Quais são as primeiras 5 melhores práticas de segurança que você implementa/segue ao configurar um novo site WordPress?
A primeira é escolher uma hospedagem WordPress boa e confiável. Eu trabalhei com muitos hosts da web, e há muitos bons. Eu uso SiteGround para a maior parte do meu trabalho.
A segunda prática recomendada é implementar uma boa estratégia de backup. Sempre que possível utilizo um serviço online, como o BlogVault. Isso torna possível armazenar os backups fora do local e em um local seguro.
Em seguida, instalo várias ferramentas e plugins de segurança do WordPress. Eu sempre recomendo MalCare e WP Activity Log como a última linha de defesa do site para todos os nossos clientes.
As duas práticas recomendadas restantes são recomendações para nossos usuários; use senhas exclusivas e fortes do WordPress e sempre mantenha seu núcleo WordPress, tema, plugins, PHP e todo o software em seu servidor web e computador atualizados. Se possível, use um software antivírus/antimalware.
Q2. Você acha que os plugins e serviços de segurança do WordPress são fáceis de implementar e usar ou não?
Testamos muitos plugins e ferramentas de segurança nos últimos anos. Existem alguns que são muito fáceis de implementar e usar. No entanto, alguns outros são muito difíceis de usar e estão fazendo mais mal do que bem. Eles deixam muito para o usuário decidir, no entanto, a maioria dos usuários e profissionais não são experientes em segurança. Então, eles acham esses plugins esmagadores e acabam superprotegendo seus sites.
Na maioria das vezes, os usuários configuram incorretamente plugins de segurança complexos. Por exemplo, eles são bloqueados em seu próprio site pelo plug-in de segurança ou todas as suas imagens vinculadas não estão mais sendo carregadas. Ou alguns plugins de segurança com monitoramento de integridade de arquivos relatam que uma alteração em um arquivo de log é possivelmente maliciosa. Os usuários entram em pânico com essas coisas porque não entendem que, por exemplo, uma alteração em um arquivo de log não é maliciosa ou por que as imagens vinculadas a quente não estão funcionando.
Q3. Qual foi o maior desafio/dificuldade que você encontrou ao implementar ou usar plugins/produtos/serviços de segurança?
Para se relacionar com a pergunta anterior – o maior desafio que encontrei pessoalmente é que tenho que testar e verificar as ferramentas de segurança usadas no site de um cliente, com as quais posso não estar familiarizado. Às vezes, assumimos a gestão do site de um cliente e temos que verificar se todas as soluções de segurança funcionam corretamente em conjunto, sem sobreposição de funções. Temos que garantir que não haja problemas de compatibilidade entre eles para evitar comportamentos indesejados, como bloquear os administradores do site.
Q4. Você segue algum site de segurança para aprender sobre a segurança do WordPress ou deixa isso para os profissionais? Ou é um pouco dos dois?
Sou membro e administrador de alguns grupos do Facebook de segurança do WordPress, onde muitos especialistas em segurança do WP postam. Eu sigo e leio todas as notícias de segurança relevantes, bem como conselhos/melhores práticas de segurança. No entanto, a complexa tarefa de limpeza de sites infectados que eu (ainda) não dominava. Em tais situações, confio nos profissionais.
Q5. Você prefere usar um serviço de firewall WordPress online ou instalar um plugin de firewall WordPress em seu site? Explique por quê.
Eu prefiro usar um serviço online WordPress Web Application Firewall (WAF). Todos os especialistas dizem que o WAF é uma camada de segurança muito melhor contra hackers e ataques DDoS. Um WAF é capaz de detectar e bloquear qualquer coisa maliciosa antes que ela chegue ao seu site. Infelizmente, os plugins do WordPress não podem fornecer isso, pois estão tentando defender o site por dentro .
Q6. Na sua opinião, quais são as três principais causas pelas quais os sites do WordPress são invadidos?
Partilho da mesma opinião que muitos outros profissionais:
- hospedagem de sites insegura,
- uso de senhas fracas e fáceis de adivinhar,
- núcleo WordPress desatualizado, tema, plugins, PHP e outros softwares.
Se você não se importa que eu adicione uma dica extra, se você se preocupa com seu site e negócios, não instale plugins e temas nulos.
P7: O que você acha que a indústria/fornecedores de segurança do WordPress podem fazer para ajudar mais profissionais como você, para quem a segurança não é sua xícara de chá, a entender melhor e proteger os sites de seus clientes?
Em suma, eles precisam facilitar muito para o usuário. Eles podem fazer isso por:
- criando mais assistentes para implementação mais fácil e rápida da ferramenta de segurança,
- implementar automaticamente “as melhores práticas” para que não reste muito para o usuário fazer,
- implementar um sistema de alerta para que quando algumas ferramentas de segurança forem instaladas no mesmo site com recursos sobrepostos, o usuário seja avisado sobre o problema.
Q8. Se você pudesse escolher um recurso de segurança para ser incluído no núcleo do WordPress por padrão, qual seria e por quê?
Eu gostaria de ver o serviço de firewall de aplicativo da web (WAF) incluído no WordPress para ter pelo menos uma camada básica de proteção de segurança, como temos no Windows com o Windows Defender pré-instalado.
Q9. Existe algum assunto ou conteúdo específico que você gostaria de ver mais de fornecedores e profissionais de segurança?
Gostaria de ver mais casos de uso da vida real para iniciantes que explicassem o que fazer em situações cotidianas específicas quando a segurança é violada. Existem alguns por aí, mas a maioria deles é voltada para pessoas de segurança avançada. Eles usam linguagem e ferramentas complexas.
Q10. Você sente que pode se manter atualizado com as notícias de segurança do WordPress ou não? Se não, qual você acha que é o problema?
Sim, depois de todos esses anos, sinto-me bastante confiante de que peguei o jeito. Levamos algum tempo para testar e criar cuidadosamente nossa caixa de combinação de ferramentas de segurança e garantir que todos em nossa equipe sigam as práticas recomendadas de segurança.