Segurança e proteção do WordPress, o guia definitivo
Publicados: 2021-01-26WordPress é massivamente popular. Cerca de um em cada cinco sites na Internet usa o WordPress de alguma forma. Seja para executar um blog humilde, ou um sistema de gerenciamento de conteúdo (CMS) multi-site ou site de comércio eletrônico. Como resultado, não é surpresa que os sites WordPress sejam um alvo muito popular tanto para hackers experientes quanto para script kiddies.
A última coisa que qualquer webmaster quer é descobrir que seu site foi hackeado; pode ser feito refém e faz parte de uma botnet, espalhando malware ou participando de ataques de negação de serviço (DoS). Neste artigo, compartilharemos várias dicas e estratégias para ajudá-lo a fortalecer seu site WordPress.
Índice
- O WordPress é seguro?
- Plugins e temas
- Execute menos software
- Observe o princípio menos privilegiado
- Atualize seus plugins e temas do WordPress
- Fique longe de plugins e temas do WordPress 'nulos'
- Mantenha o WordPress atualizado
- Hospedagem WordPress
- Painel do WordPress
- Desativar registro
- Credenciais
- Autenticação de dois fatores (2FA)
- Endurecimento do núcleo do WordPress
- Desativar registro de depuração
- Desabilitar XML-RPC
- Restringir a API REST do WordPress
- Impedir a divulgação da versão do WordPress
- Impedir a enumeração de usuários do WordPress
- Desative o editor de arquivos do WordPress
- Desative o gerenciamento de temas e plugins
- TLS (SSL)
- Conclusões e próximos passos
O WordPress é seguro?
Esta é uma pergunta que muitos administradores de sistema fazem, e com razão. Embora o WordPress seja globalmente bem construído e seguro, ele tem a reputação de ser propenso a vulnerabilidades de segurança e não ser “de nível empresarial”. Essa reputação não é exatamente justa. Na maioria das vezes, os problemas estão no fato de o WordPress ser um pacote de software incrivelmente popular, fácil de configurar enquanto usa atalhos de segurança. O que nos leva ao nosso primeiro tópico – plugins e temas.
Plugins e temas
O problema número um que aflige a segurança do WordPress também é o que o torna incrivelmente popular. Os plugins e temas do WordPress variam muito em termos de qualidade e segurança. Embora muito trabalho tenha sido feito pela equipe do WordPress para ajudar os desenvolvedores a criar plugins e temas mais seguros, eles ainda continuam sendo um pesadelo de segurança. Isso pode ser notado ao usar plugins mal mantidos ou plugins obtidos de uma fonte incompleta.
Antes de continuarmos discutindo os plugins e temas do WordPress, vamos primeiro entender o que realmente é um plugin do WordPress. Plugins são simplesmente códigos PHP personalizados que o WordPress executa para estender a funcionalidade do WordPress. Para uma explicação mais detalhada e técnica, consulte O que são plugins do WordPress.
Da mesma forma, os temas do WordPress permitem a personalização dos aspectos visuais do seu site WordPress. Do ponto de vista de um invasor, há muito pouca diferença entre os dois, pois ambos podem ser abusados para executar código malicioso.
Execute menos software
Então, como você pode saber se um plugin é malicioso ou não? Essa é uma pergunta complicada, mas felizmente temos uma resposta para você. Escrevemos sobre isso em detalhes sobre como escolher o melhor plugin WordPress para o seu site WordPress.
Mesmo que você faça todas as pesquisas necessárias, também há chances de que o plug-in ainda seja uma ameaça à segurança. Portanto, uma das maneiras de reduzir seu risco é executar apenas o software que você absolutamente precisa e confia. Antes de instalar um novo plugin do WordPress, pergunte-se se você realmente precisa instalar esse plugin. Um pequeno trecho de código em um plug-in específico do site pode fazer o truque ou você precisa legitimamente de um plug-in completo?
Importante — fique muito atento aos trechos de código que você encontrar na Internet. Nunca use um pedaço de código a menos que você entenda completamente o que ele está fazendo - só porque está no StackOverflow, isso não significa que é seguro usar.
Se você tiver uma necessidade genuína de executar um plug-in, verifique se ele é mantido ativamente e atualizado regularmente, conforme explicamos em nosso guia. Como regra geral, quanto mais downloads e atualizações recentes o plugin ou tema tiver, indica que ele está em amplo uso e que está sendo mantido ativamente por seus autores. Isso não significa que o plugin nunca terá uma vulnerabilidade. No entanto, se uma vulnerabilidade for encontrada, o desenvolvedor agirá rapidamente e emitirá uma correção rapidamente.
Tente evitar plugins que não tenham muitos downloads e, criticamente, não tenham uma comunidade ativa e atualizações regulares. Se algo não recebeu uma atualização dentro de um ano, geralmente é uma bandeira vermelha.
Observe o princípio menos privilegiado
O WordPress não precisa usar o usuário root do MySQL para se conectar ao seu banco de dados. Nem todo usuário do WordPress precisa ter a função de administrador. Da mesma forma, não é uma boa ideia executar a maioria dos programas como um usuário privilegiado, a menos que haja um motivo específico para isso.
A prática recomendada de segurança sempre determina que os aplicativos sempre recebam o mínimo de privilégios possível que permita que funcionem corretamente, com quaisquer privilégios adicionais desabilitados. Esta prática é comumente referida como o princípio do privilégio mínimo.
Vamos supor hipoteticamente que o WordPress esteja se conectando a um banco de dados com uma conta de usuário privilegiada. No caso de um plug-in do WordPress contendo uma vulnerabilidade de injeção de SQL, um invasor pode não apenas executar consultas SQL como administrador, mas, em alguns casos, pode até executar comandos do sistema operacional. Se um invasor for bem-sucedido na execução de comandos do sistema operacional, ele poderá realizar reconhecimento e escalar um ataque ainda mais para outros sistemas.
Executar software com privilégios administrativos ou fornecer aos usuários mais acesso do que o necessário é causar problemas. Isso vai contra um princípio de privilégio mínimo testado e comprovado, pois permite que um invasor cause mais danos no caso de uma violação de segurança.
O bom do WordPress é que ele possui várias funções internas, que você pode usar para atribuir diferentes privilégios a diferentes usuários, dependendo de seus requisitos. Escrevemos extensivamente sobre isso em como usar as funções de usuário do WordPress para melhorar a segurança do WordPress.
Atualize seus plugins e temas do WordPress
As atualizações de plugins e temas do WordPress são importantes não apenas para se beneficiar de novas funcionalidades e correções de bugs, mas também para corrigir vulnerabilidades de segurança. Ambos os plugins e temas são fáceis de atualizar na interface do WordPress.
Alguns plugins comerciais provavelmente terão seus próprios mecanismos para manter os plugins atualizados, no entanto, na maioria dos casos, isso é transparente para os usuários. No entanto, apenas certifique-se de que, independentemente do sistema de atualização que está sendo usado, você mantenha seus plugins e temas atualizados.
Não use plugins e temas do WordPress 'nulos'
WordPress faz uso da GPL 1 . Sem entrar em muitos detalhes, a licença GPL permite que qualquer pessoa distribua gratuitamente software licenciado pela GPL. Isso inclui temas e plugins do WordPress com licença GPL comercial/premium. Como tal, pode não ser ilegal baixar um tema ou plugin premium modificado, geralmente chamado de nulled , e usá-lo gratuitamente.
No entanto, como você já deve ter adivinhado, além de não oferecer suporte ao desenvolvedor do plug-in, é muito improvável que você receba atualizações para plug-ins nulos. Além do mais, você não tem como saber se a fonte deste plugin foi modificada para fazer algo nefasto.
Mantenha o WordPress atualizado
Assim como você deve manter seus plugins e temas atualizados, você também deve fazer questão de manter a versão do WordPress que você está executando atualizada. Felizmente, isso agora é muito mais fácil do que era no passado, com atualizações de segurança críticas ocorrendo automaticamente. Claro, a menos que você desative explicitamente essa funcionalidade.
Além de novos recursos, melhorias e correções de bugs, as atualizações principais do WordPress também contêm correções de segurança que podem protegê-lo de invasores que exploram seu site WordPress e o usam para obter ganhos ilícitos.
Hospedagem WordPress
Onde e como você escolhe hospedar seu site WordPress dependerá muito de seus requisitos. Embora não haja nada de errado em hospedar e gerenciar o WordPress você mesmo, se você não for tão experiente tecnicamente ou quiser ter certeza de atender a maioria dos princípios básicos de segurança do WordPress sem fazer muito trabalho pesado, você pode optar por um provedor de hospedagem WordPress gerenciado, como Kinsta ou WP Engine.
Como temos sites hospedados em ambos os hosts, escrevemos sobre eles. Nas histórias de nossos clientes destacamos nossa experiência com eles. Para saber mais sobre sua experiência, leia nossa história do cliente WP Engine e Kinsta. A hospedagem gerenciada do WordPress abstrai muitas decisões e configurações de segurança que você precisa para se preocupar consigo mesmo.
Naturalmente, a hospedagem gerenciada do WordPress também pode não ser para você. Você pode optar por hospedar o WordPress por conta própria, especialmente se estiver com orçamento limitado. A auto-hospedagem do WordPress também oferece maior controle sobre sua instalação do WordPress. Para saber mais sobre todas as diferentes opções de hospedagem do WordPress e o que funciona melhor para você, consulte o guia para escolher a hospedagem do WordPress.
Painel do WordPress
O painel do WordPress do seu site é um lugar onde você não quer que ninguém não autorizado esteja à espreita. Embora existam alguns sites que têm motivos legítimos para permitir que usuários públicos façam login usando o painel do WordPress, esse é um grande risco de segurança e deve ser considerado com muito cuidado.
Felizmente, a maioria dos sites WordPress não possui esse requisito e, como tal, deve impedir o acesso ao painel do WordPress. Existem várias maneiras de fazer isso e você deve escolher o que funciona melhor para você.
Uma prática comum é restringir o acesso por senha protegendo as páginas do WordPress Admin (wp-admin). Outra solução seria permitir apenas o acesso a /wp-admin a um número de endereços IP selecionados.
Desativar registro
Por padrão, o WordPress não permite que usuários públicos se registrem no seu site WordPress. Para confirmar que o registro do usuário está desabilitado:
- vá para Configurações > página Geral na área do painel do WordPress
- navegue até a seção Associação
- certifique-se de que a caixa de seleção ao lado de Qualquer pessoa pode se registrar não esteja marcada.
Credenciais
Como qualquer outro site, o acesso ao seu painel do WordPress é tão forte quanto suas credenciais. Reforçar a segurança de senha forte do WordPress é o controle de segurança crucial de qualquer sistema, e o WordPress não é exceção.
Embora o WordPress não tenha nenhuma maneira de definir uma política de senha pronta para uso, um plug-in como o WPassword é absolutamente essencial para impor requisitos de força de senha em todos os seus usuários que têm acesso ao painel do WordPress.
Depois de aplicar a segurança de senha forte em seu site, use o WPScan para testar credenciais fracas do WordPress, para garantir que nenhuma conta ainda esteja usando senhas fracas.
Autenticação de dois fatores (2FA)
Outro controle de segurança essencial para o seu painel do WordPress é exigir autenticação de dois fatores. A autenticação de dois fatores (2FA) torna significativamente mais difícil para um invasor obter acesso ao seu painel do WordPress caso um invasor consiga descobrir a senha de um usuário (por exemplo, um invasor pode descobrir a senha de um usuário em uma violação de dados).
Felizmente, é muito fácil configurar a autenticação de dois fatores no WordPress. Existem vários plugins de alta qualidade que você pode usar para adicionar essa funcionalidade. Leia os melhores plugins de autenticação de dois fatores para WordPress para um destaque dos principais plugins 2FA disponíveis para WordPress.
Endurecimento do núcleo do WordPress
Mesmo que o núcleo do WordPress seja um software seguro, isso não significa que não podemos fortalecê-lo ainda mais. A seguir estão algumas estratégias de proteção específicas para o núcleo do WordPress.
Certifique-se de que o registro de depuração esteja desabilitado
O WordPress permite que os desenvolvedores registrem mensagens de depuração em um arquivo (sendo /wp-content/debug.log por padrão). Embora isso seja perfeitamente aceitável em um ambiente de desenvolvimento, lembre-se de que esse arquivo também pode ser facilmente acessado por um invasor se o mesmo arquivo e/ou configurações chegarem à produção.
A depuração do WordPress está desabilitada por padrão. Embora seja sempre melhor verificar se é — certifique-se de não ter a constante WP_DEBUG definida em seu arquivo wp-config.php, ou explicitamente defina-a como false. Consulte o guia de depuração do WordPress para obter uma lista de todas as opções de depuração.
Se por algum motivo você precisar dos logs de depuração do WordPress em seu site de vida, faça login em um arquivo fora da raiz do seu servidor web (por exemplo, /var/log/wordpress/debug.log). Para mudar o pa
define('WP_DEBUG_LOG', '/path/outside/of/webserver/root/debug.log');
Desabilitar XML-RPC
A especificação XML-RPC do WordPress foi projetada para permitir a comunicação entre diferentes sistemas. Isso significa que praticamente qualquer aplicativo pode interagir com o WordPress. A especificação WordPress XML-RPC tem sido historicamente importante para o WordPress. Permite interagir e integrar-se com outros sistemas e softwares.
O bom é que o XML-RPC foi substituído pela API REST do WordPress. Para destacar algumas das preocupações de segurança em torno do XML-RPC; sua interface tem sido a fonte de inúmeras vulnerabilidades de segurança ao longo dos anos. Ele também pode ser usado por invasores para enumeração de nome de usuário, força bruta de senha. ou ataques de negação de serviço (DoS) por meio de pingbacks XML-RPC.
Portanto, a menos que você esteja usando ativamente o XML-RPC e tenha controles de segurança apropriados, você deve desativá-lo. Como isso é algo facilmente alcançável sem instalar um plug-in de terceiros, abordaremos como fazer isso abaixo.
Embora você possa simplesmente configurar seu servidor web para bloquear o acesso a /xmlrpc.php, um método preferencial de fazer isso é desabilitar explicitamente o XML-RPC usando um filtro interno do WordPress . Basta adicionar o seguinte a um arquivo de plug-in e ativá-lo em seu site.
add_filter('xmlrpc_enabled', '__return_false');
Atenção
- É uma boa ideia fazer uso de um plugin WordPress deve usar para este e outros trechos de código semelhantes.
Restringir a API REST do WordPress
Na mesma linha do XML-RPC, a API do WordPress é a maneira moderna de aplicativos de terceiros se comunicarem com o WordPress. Embora seja seguro de usar, é aconselhável restringir algumas funções dentro dele para evitar a enumeração de usuários e outras vulnerabilidades potenciais. Ao contrário do XML-RPC, o WordPress não fornece uma maneira simples e nativa de desabilitar totalmente a API REST (costumava 2 , mas isso foi descontinuado, então é aconselhável não fazer mais isso), no entanto, você pode restringi-lo.
Como é típico do WordPress, você pode usar um plugin para conseguir isso ou pode adicionar o seguinte filtro a um arquivo de plugin e ativá-lo em seu site. O código a seguir desabilitará a API REST do WordPress para qualquer pessoa que não esteja logada retornando um código de status HTTP não autorizado (código de status 401) usando o gancho rest_authentication_errors do WordPress.
add_filter( 'rest_authentication_errors', function( $result ) { if ( ! empty( $result ) ) { return $result; } if ( ! is_user_logged_in() ) { return new WP_Error( 'rest_not_logged_in', 'You are not currently logged in.', array( 'status' => 401 ) ); } return $result; });
Além disso, a API REST do WordPress habilita JSONP por padrão. JSONP é uma técnica antiga para contornar a política de mesma origem do navegador antes que os navegadores modernos suportassem CORS (Cross-origin Resource Sharing). Como isso pode ser usado como uma etapa em um ataque de um invasor, não há motivo real para que isso seja ativado. Recomenda-se desativá-lo usando o filtro rest_jsonp_enabled do WordPress usando o seguinte trecho de PHP.
add_filter('rest_enabled', '__return_false');
Consulte a documentação do filtro para obter mais informações sobre ele.
Impedir a divulgação da versão do WordPress
Como muitos outros aplicativos da web, por padrão, o WordPress divulga sua versão em vários lugares. A divulgação de versão não é exatamente uma vulnerabilidade de segurança, mas essas informações são muito úteis para um invasor ao planejar um ataque. Como resultado, desabilitar os recursos de divulgação de versão do WordPress pode tornar um ataque um pouco mais difícil.
O WordPress vaza muitas informações de versão. Felizmente, esta essência do GitHub oferece uma lista abrangente de filtros do WordPress para desabilitar na forma de um plugin do WordPress. É claro que você pode incorporar esse código em qualquer plug-in específico do site existente ou de uso obrigatório que você já tenha.
Impedir a enumeração de usuários do WordPress
O WordPress é vulnerável a vários ataques de enumeração de usuários. Esses ataques permitem que um invasor descubra quais usuários existem, independentemente de um usuário existir ou não. Embora isso possa parecer inofensivo, lembre-se de que os invasores podem usar essas informações como parte de um ataque maior. Para obter mais informações sobre este tópico, leia como enumerar usuários do WordPress com WPScan.
Para evitar a enumeração de usuários do WordPress, você precisará garantir que os seguintes recursos do WordPress estejam desabilitados ou restritos.
- Restringir a API REST do WordPress a usuários não autenticados
- Desabilitar o XML-RPC do WordPress
- Não exponha /wp-admin e /wp-login.php diretamente à Internet pública
Além disso, você também precisará configurar seu servidor web para impedir o acesso a /?author=<number>. Se você estiver usando o Nginx, poderá usar a seguinte configuração para impedir a enumeração de usuários do WordPress.
RewriteCond %{REQUEST_URI} ^/$ RewriteCond %{QUERY_STRING} ^/?author=([0-9]*) RewriteRule .* - [R=403,L]
Como alternativa, se você estiver usando o Apache HTTP Server, poderá usar a configuração a seguir para impedir a enumeração de usuários do WordPress.
if ( $query_string ~ "author=([0-9]*)" ) { return 403; }
Desative o editor de arquivos do WordPress
Um dos recursos mais perigosos do WordPress é a capacidade de editar arquivos de dentro do próprio painel do WordPress. Não deve haver nenhuma razão legítima para que qualquer usuário precise fazer isso, e certamente não para o núcleo do WordPress. Se alguma coisa, você quer ter certeza de que sabe exatamente quais arquivos foram alterados usando um plug-in de segurança de monitoramento de integridade de arquivos (FIM) de alta qualidade.
Para ser alertado sobre alterações de arquivos, use o plugin Website File Changes Monitor, que desenvolvemos.
Qualquer alteração de arquivo em seu site deve ocorrer por meio de uma conexão segura (por exemplo, SFTP) ou, preferencialmente, rastreada em um repositório de controle de versão e implantada usando CI/CD.
Para desabilitar o editor de arquivos de plugins e temas no painel do WordPress, basta adicionar o seguinte ao seu arquivo wp-config.php.
define('DISALLOW_FILE_EDIT', true );
Desative o gerenciamento de temas e plugins
Uma boa prática recomendada de segurança do WordPress é desabilitar o gerenciamento de plugins e temas no painel do WordPress. Em vez disso, use ferramentas de linha de comando, como wp-cli, para fazer essas alterações.
Ao desabilitar as alterações de temas e plugins, você reduz drasticamente a superfície de ataque do seu site WordPress. Nesse caso, mesmo se um invasor violar com sucesso uma conta de administrador, ele não poderá fazer upload de um plug-in malicioso para escalar o ataque além do acesso ao painel do WordPress.
A constante DISALLOW_FILE_MODS definida em wp-config.php desativa as atualizações e instalação de plugins e temas através do painel. Ele também desativa todas as modificações de arquivos dentro do painel, removendo assim o Editor de Temas e o Editor de Plugins.
Para desabilitar as modificações de tema e plugin no painel do WordPress, adicione o seguinte ao seu arquivo wp-config.php.
define('DISALLOW_FILE_MODS', true );
WordPress HTTPS (SSL/TLS)
O Transport Layer Security (TLS) é absolutamente essencial para a segurança do seu WordPress, é gratuito e fácil de configurar. Nota: TLS é o protocolo que substituiu o Secure Socket Layer, SSL. No entanto, como o termo SSL é muito popular, muitos ainda se referem ao TLS como SSL.
Quando você visita seu site por HTTPS (HTTP sobre TLS), as solicitações e respostas HTTP não podem ser interceptadas e espionadas, ou pior, modificadas por um invasor.
Embora o TLS tenha mais a ver com o seu servidor web, ou Content Delivery Network (CDN) do que com a instalação do WordPress, um dos aspectos mais importantes do TLS (WordPress HTTPS) é aplicá-lo. Há uma riqueza de informações on-line sobre como configurar o WordPress HTTPS (SSL e TLS).
Se você não se sentir confortável editando arquivos de configuração e preferir mudar para WordPress HTTPS usando um plugin, você pode usar SSL Really Simple ou WP force SSL. Ambos são plugins muito bons e fáceis de usar.
Próximos passos para um WordPress ainda mais seguro
Se você chegou até aqui, ótimo, mas isso não significa que ainda não há mais endurecimento a ser feito. A seguir estão alguns itens que você pode analisar para fortalecer ainda mais o seu site WordPress.
- Fortaleça o PHP. Dado que o PHP é um componente central de qualquer site WordPress, o fortalecimento do PHP é um dos próximos passos lógicos. Nós escrevemos sobre isso extensivamente em Melhor configuração de segurança PHP para sites WordPress.
- Use plugins de segurança respeitáveis. Plugins de segurança de qualidade oferecem recursos de segurança avançados não incluídos no WordPress nativamente. Há uma grande quantidade de plugins de segurança do WordPress por aí. No entanto, certifique-se de escolher plugins com boa reputação e, de preferência, aqueles em que suporte premium ou comercial esteja disponível, como nossos plugins de segurança de alta qualidade para WordPress.
- Execute uma auditoria de permissões de arquivo. Para sites WordPress executados no Linux, permissões de arquivo incorretas podem permitir que usuários não autorizados obtenham acesso a arquivos potencialmente confidenciais. Para obter mais informações sobre este assunto, consulte nosso guia para configurar o site WordPress seguro e as permissões do servidor web.
- Execute uma auditoria de arquivo de backup. Arquivos de backup deixados acidentalmente acessíveis podem vazar informações confidenciais. Isso inclui configuração contendo segredos que podem permitir que invasores obtenham controle sobre toda a instalação do WordPress.
- Fortaleça seu servidor web
- Reforçar o MySQL
- Adicione os cabeçalhos de segurança HTTP necessários
- Certifique-se de ter um sistema de backup WordPress funcionando.
- Use um serviço de proteção contra DDoS
- Implementar uma política de segurança de conteúdo
- Gerencie backup exposto e arquivos não referenciados.
Conclusão – este é apenas o primeiro passo da jornada de segurança do WordPress
Parabéns! Se você seguiu todos os conselhos acima e implementou todas as práticas recomendadas de segurança, seu site WordPress está seguro. No entanto, a segurança do WordPress não é uma correção única – é um processo em constante evolução. Há uma grande diferença entre proteger um site WordPress (estado único) e mantê-lo seguro por anos.
A proteção é apenas uma das quatro etapas do processo de segurança do WordPress (roda de segurança do WordPress). Para um site WordPress seguro durante todo o ano, você deve seguir o processo de segurança iterativo do WordPress de teste > fortalecimento > monitoramento > melhoria. Você precisa testar e verificar continuamente o estado de segurança do seu site WordPress, fortalecer o software, monitorar o sistema e melhorar sua configuração com base no que você vê e aprende. Por exemplo:
- uma ferramenta como o WPScan pode ajudá-lo a testar a postura de segurança do seu site WordPress
- um firewall WordPress pode proteger seu site WordPress contra ataques de hack conhecidos maliciosos
- um log de atividades do WordPress pode ajudá-lo a percorrer um longo caminho – mantendo um registro de todas as alterações que ocorrem em seu site, você pode melhorar a responsabilidade do usuário, saber o que cada usuário está fazendo e também ficar de olho em todas as atividades ocultas
- ferramentas como nossos plugins de segurança e gerenciamento do WordPress podem ajudá-lo a garantir a segurança das senhas, fortalecer o processo de segurança do WordPress, ser alertado sobre alterações de arquivos e muito mais
Você tem todas as ferramentas certas para manter seu site seguro. Mesmo se você executar um pequeno site WordPress, reserve um tempo para trabalhar gradualmente neste guia. Certifique-se de não acabar trabalhando na construção de um ótimo site, apenas para tê-lo saqueado por um ataque direcionado ao WordPress.
Não existe segurança 100% eficaz. No entanto, você está tornando consideravelmente mais difícil para um invasor se estabelecer e atacar com sucesso seu site WordPress aplicando as várias técnicas de proteção abordadas neste guia. Lembre-se de que, quando os invasores estão mirando na próxima vítima, você não precisa ser mais esperto que eles. Você só precisa ser mais seguro do que o próximo site vulnerável!