Plugins de segurança do WordPress – você precisa deles?
Publicados: 2023-03-24Com o Google entregando mais de 22 milhões de resultados para “plugins de segurança do WordPress” e mais de 1.000 plug-ins de segurança listados na página oficial de plug-ins do WordPress, não há como negar sua popularidade. Mas a verdadeira questão é:você realmente precisa de um em seu site para começar?
Em virtude apenas de seus nomes e do que são anunciados como capazes de fazer pelo seu site, algumas soluções neste espaço estão se posicionando como plug-ins obrigatórios para garantir que o WordPress opere com segurança.Presumivelmente, para que você possa parar de se preocupar totalmente com a segurança.
Isso está longe da realidade.
Na verdade, usar um plug-in de segurança do WordPress mal construído pode, na verdade, tornar seu site mais lento – adicionando funcionalidades que deveriam acontecer de forma realista no nível da rede antes que a solicitação precise ser processada pelo seu servidor.
Então, sem mais delongas, vamos mergulhar de cabeça.
Você precisa de um plugin de segurança para WordPress?
Cada site é um alvo potencial para hackers mal-intencionados – alguns alvos maiores do que outros. Isso não é segredo.
A popular publicação Fast Company recentemente (no momento da redação deste artigo)teve seus sistemas violados por alguém que enviou notificações ofensivas do Apple News.
As pessoas que tentam obter acesso a sites com intenção maliciosa não visam necessariamente empresas maiores. As pequenas e médias empresas podem representar um alvo mais fácil se assumirem isso, talvez tomando menos precauções como resultado.
Além do incômodo de lidar com a situação, do tempo perdido e da perda de receita que seu site poderia ter gerado enquanto permanecia inacessível, as empresas têm a obrigação legal de proteger as informações do cliente. Esta obrigação vem com o risco de ação regulatória.
Escusado será dizer que ninguém quer ser vítima de um ataque. Mas dado que o ecossistema global de sites WordPress foi avaliado independentemente em aproximadamente US$ 635,5 bilhões (USD) – não é surpresa que vender a promessa de segurança provou ser uma boa oportunidade de negócio.
Como os hackers atacam sites WordPress
O WordPress é de código aberto, portanto, as vulnerabilidades descobertas no núcleo do WordPress e quaisquer temas ou plug-ins acabam se tornando de conhecimento público. Infelizmente, isso pode acontecer antes que o WordPress seja capaz de emitir um patch para a vulnerabilidade, criando uma janela de oportunidade para aqueles com más intenções. Os atores mal-intencionados estão cientes dessa oportunidade, permitindo que comecem a segmentar automaticamente sites quepodemestar executando o tema ou plug-in vulnerável – para ver o que é possível.
Mesmo sem essas vulnerabilidades, é bastante comum que tanto pessoas quanto bots usem ataques de força bruta para tentar obter acesso a um site. Isso envolve o envio de várias solicitações de login repetidamente em um esforço para identificar contas de usuário que usam combinações padrão ou comuns de nome de usuário e senha.
Existem muitas maneiras possíveis pelas quais um site WordPress pode ser invadido, e é por isso que uma abordagem ampla no nível do servidor é tão importante .Alguns dos riscos de hacking mais prováveis incluem o seguinte:
Ataques de força bruta : esse tipo de ataque envolve tentativas repetidas de diferentes combinações de nome de usuário e senha na tentativa de obter acesso ao painel de administração de um site.
SQL Injection : esse tipo de ataque envolve a injeção de código malicioso no banco de dados de um site, que pode ser usado para roubar informações confidenciais ou interromper a funcionalidade do site.
Cross-Site Scripting (XSS) : esse tipo de ataque envolve a injeção de código malicioso em um site, que é então executado pelo navegador do usuário.Isso pode ser usado para roubar informações confidenciais, como credenciais de login, ou para redirecionar os usuários para um site malicioso.
Injeção de arquivo : esse tipo de ataque envolve o upload de arquivos maliciosos para um site, como backdoors ou malware.Esses arquivos podem ser usados para obter acesso não autorizado ao site.
Software desatualizado : se um site não for atualizado regularmente, pode haver vulnerabilidades que podem ser exploradas por hackers.
Phishing : esse tipo de ataque engana os usuários para que forneçam informações confidenciais, como credenciais de login, números de cartão de crédito e outras informações pessoais, criando uma página de login falsa.
Por que os plug-ins de segurança não são a escolha inteligente
Em virtude de como os plug-ins funcionam, eles só funcionam quando uma solicitação chega ao servidor. Isso significa que só é possível para o plug-in de segurança desafiar as coisas no nível do PHP. Por exemplo, isso pode incluir um login com algum mecanismo para evitar possíveis acessos não autorizados assim que o servidor receber a solicitação.
O resultado disso é, obviamente, o consumo de recursos adicionais do servidor em cada solicitação ao servidor que fica entre a solicitação e o início do processamento da saída. Evidentemente, isso não é infalível: pluginvulnerabilities.com testou 31 plugins de segurança contra uma vulnerabilidade de dia zero e apenas 6 deles conseguiram se defender do ataque.
Os plug-ins de segurança do WordPress precisam ser totalmente carregados antes de começarem a processar o tráfego. Isso significa que esses plug-ins consumirão recursos mesmo que seu site não esteja sob ataque .
Também não é inédito que os próprios plug-ins de segurança do WordPress tenham suas próprias vulnerabilidades , e elas também podem ser exploradas por hackers.
Por exemplo, o Wordfence, um plugin de segurança popular com mais de 4 milhões de usuários, relatou várias vulnerabilidades, como Cross Site Scripting e Broken Access Control ao longo dos anos. Essas vulnerabilidades foram corrigidas rapidamente, mas isso não muda o fato de que os sistemas foram expostos, ainda que por pouco tempo.
Há também o perigo de que os plug-ins de segurança possam criar uma falsa sensação de segurança .Já aconteceu antes de um administrador de site instalar um plug-in de segurança popular, acreditando que protegeria seu site de todos os tipos de ataques, negligenciando outras medidas de segurança importantes, como atualizações regulares de software, senhas fortes, autenticação de dois fatores e backups.
Outro problema que vimos é onde os plug-ins de segurança causamproblemas de compatibilidade com temas existentes ou outros plug-ins.Em alguns casos, esse conflito pode resultar em deixar seu site vulnerável a ataques.
E também é bastante comum experimentarfalsos positivos ao usar plugins de segurança.Plug-ins excessivamente ansiosos podem sinalizar ações legítimas como maliciosas, o que pode levar a falsos alarmes e inconvenientes para administradores e usuários.
O ponto principal é que, quando se trata da segurança do seu site WordPress,não há solução de plug-in que você possa usar para configurá-lo e esquecê-lo .A segurança é uma fera orgânica em evolução que precisa de vigilância constante.
Existem plugins de segurança que valem a pena usar?
Então, como você protege um site WordPress?
Para começar, trabalhe com um provedor de hospedagem WordPress que traga competência em segurança, dimensionamento e desempenho – da mesma forma que fazemos na Servebolt. Fazemos o trabalho pesado relacionado a manter a infraestrutura subjacente de seus sites totalmente segura.
Além disso, você deseja que todas as solicitações maliciosas (e potencialmente maliciosas) sejam bloqueadas antes mesmo de chegarem ao seu servidor – antes que tenham a oportunidade de consumir recursos para que você possa oferecer a melhor experiência possível paravisitantes reais do site.
Um exemplo desse tipo de solução é o Cloudflare. A Cloudflare é uma empresa que fornece uma variedade de serviços de segurança na Internet, incluindo uma rede de entrega de conteúdo (CDN), sistema de nome de domínio (DNS) e um firewall de aplicativo da Web (WAF). Esses serviços trabalham juntos para proteger sites de várias formas de ataque cibernético, como ataques DDoS, injeção de SQL e script entre sites (XSS). A Cloudflare também oferece recursos adicionais, como criptografia SSL/TLS, bem como um sistema de gerenciamento de bots para aumentar ainda mais a segurança de um site.
Na Servebolt, além dessa abordagem, oferecemos dois serviços proativos gerenciados, Accelerated DomainseServebolt CDN, que podem fortalecer a segurança do seu site.Eles são criados com base na oferta Enterprise da Cloudflare e oferecemos dois domínios gratuitos para todos os clientes que se inscreverem.
Usamos produtos de segurança baseados em servidor, bem como construímos sobre o WAF da Cloudflare quando isso é implementado por nós. Adicionamos medidas de segurança adicionais para reduzir as tentativas de invasão, bem como impedir o acesso direto ao servidor ao usar o Cloudflare para reduzir as tentativas de invasão de força bruta. Essas medidas são configuradas para bloquear solicitações potencialmente prejudiciais automaticamente e não requerem nenhuma configuração ou manutenção .
Além disso, alguns plugins podem melhorar a segurança do seu site, embora não forneçam uma solução completa:
- Dois fatores :Este plug-in foi desenvolvido pela equipe do WordPress e permitea autenticação de dois fatoresusando senhas únicas baseadas em tempo (OTP, Google Authenticator), segundo fator universal (FIDO U2F, YubiKey), e-mail e verificação de backup códigos.
Se suas credenciais vazarem na Internet, seu servidor poderá ser violado, mesmo que a maior parte do tráfego malicioso seja bloqueada por um firewall.Recomendamos enfaticamente o uso da autenticação de dois fatores para impedir os malfeitores.
Uma alternativa que usamos na Servebolt é o Cloudflare Access .
- Patchstack &WPScan:Um scanner de vulnerabilidade como Patchstack ou WPScan pode ser útil para rastrear vulnerabilidades. O WP Scan, por exemplo, verifica continuamente se há ameaças ao seu servidor em um banco de dados conhecido de mais de 37.000 vulnerabilidades mantidas por profissionais de segurança do WordPress. Se uma ameaça for detectada, ela pode acionar umanotificação por e-mail ou usando um webhook personalizado com todas as informações e recomendações necessárias para resolver o problema.
Dicas para fortalecer seu site WordPress
O uso de Accelerated Domains ou Servebolt CDN protege seu site contra muitos ataques conhecidos. Eles implementam automaticamente a limitação da taxa de login e XML-RPC para proteger contra ataques maliciosos de força bruta na página de login do seu site. Mas você pode aumentar ainda mais sua segurança implementando as seguintes práticas de segurança adicionais em seu site.
Limitando o Acesso a Arquivos
Cada arquivo e pasta em seu servidor tem direitos de acesso associados a ele que especificam quem pode ler, gravar e executar o arquivo ou diretório fornecido. Embora ter permissões abertas nos ativos públicos do seu site possa não parecer grande coisa, é definitivamente uma prática ruim. Além disso, alguns arquivos confidenciais, como .htaccessewp-config.php,devem ser bloqueados com segurança.
Recomendamos que você bloqueie todos os arquivos confidenciais o máximo possível e apenas afrouxe brevemente essas permissões quando for absolutamente necessário.
Para.htaccess, você deve alterar o nível de permissão para 644 – isso concederia ao proprietário do arquivo acesso de leitura e gravação, com todos os outros usuários apenas capazes delero arquivo.
Você pode restringir ainda mais essas permissões para o arquivowp-config.phpdefinindo o modo de permissão para400 ou 440, o que significa que apenas o proprietário (ou, opcionalmente, também outros membros do grupo selecionado) podem ler o arquivo, enquanto as modificações só pode ser feita pelo usuário root.
Vamos dar uma olhada detalhada nos requisitos de permissão para diretórios específicos do WordPress:
- Diretório raiz do WordPress (/):
Todos os arquivos, exceto.htaccess, devem ser graváveis apenas por sua conta – defina o modo de permissão para 644 para todos os arquivos, exceto.htaccess.
- Área de administração do WordPress (/wp-admin/):
Todos os arquivos devem ser graváveis apenas por sua conta - defina o modo de permissão para 644 para todos os arquivos.
- Lógica do aplicativo WordPress (/wp-includes/):
Todos os arquivos devem ser graváveis apenas por sua conta - defina o modo de permissão para 644 para todos os arquivos.
- Conteúdo fornecido pelo usuário (/wp-content/):
Este diretório deve ser gravável por você e pelo processo do servidor da web - defina o modo de permissões para 664 para todos os arquivos.
No entanto, dentro do diretório /wp-content/, você pode encontrar:
- Arquivos de tema (/wp-content/themes/):
Se você quiser usar o editor de tema integrado, todos os arquivos precisam ser graváveis pelo processo do servidor da web. Se você não precisa usar o editor, todos os arquivos podem ser graváveis apenas por sua conta de usuário.
- Arquivos de plugins (/wp-content/plugins/):
Todos os arquivos devem ser graváveis apenas por sua conta de usuário. No entanto, alguns plug-ins de terceiros podem precisar de acesso de gravação. Recomendamos que você remova as permissões de gravação e as conceda apenas a plug-ins específicos caso a caso.
Desativar a execução do arquivo PHP nos diretórios selecionados
Você pode melhorar ainda mais a segurança do seu site WordPress restringindo a execução de arquivos PHP em diretórios onde não é necessário.
O primeiro local onde você deve desativá-lo é sua pasta/wp-content/porque um usuário pode carregar um script PHP malicioso e tentar executá-lo.
Você pode desabilitar a execução do PHP criando um arquivo chamado.htaccessna pasta desejada e colando o seguinte código dentro dele:
<Arquivos *.php> negar de todos </Arquivos>
O código acima cria uma regra que proíbe a execução de qualquer arquivo PHP no diretório especificado. Isso significa que mesmo que um hacker injete um código PHP malicioso em um arquivo, ele não pode ser executado no servidor, evitando qualquer dano ao seu site.
Desativar indexação e navegação de diretório
A navegação no diretório é um recurso dos servidores da Web que mostra todos os arquivos e diretórios disponíveis em um determinado diretório de um site. Quando ativado, qualquer pessoa na internet pode ver todo o conteúdo em qualquer caminho do site. Este é um grande risco de segurança, pois pode revelar informações confidenciais e configuração do servidor.
Por exemplo, se alguém visitar https://www.example.com/static , poderá ver (e baixar) todos os arquivos presentes neste caminho. É altamente recomendável desativar esse recurso. Você pode fazer isso anexando a seguinte linha ao seu arquivo.htaccess.
Opções -Índices
Use Fail2ban para interromper ataques de força bruta
Fail2ban é um utilitário para servidores que podem criar dinamicamente regras de firewall para bloquear endereços IP com base em uma condição predefinida. Você pode usá-lo com o WordPress para bloquear temporariamente um usuário se ele não conseguir fazer login 3 vezes seguidas.
Não use o nome de usuário “admin”
Para um hacker, uma conta com privilégios administrativos equivale às joias da coroa – as contas de administrador podem abrir todas as portas do servidor. Sem surpresa, esta é a primeira conta que os hackers visam. É uma boa ideia usar um nome diferente para esta conta de administrador para tornar este processo mais difícil para eles e impedir qualquer ataque de força bruta.
Se você ainda estiver usando o nome de usuário “admin”, crie uma segunda conta com um nome diferente e conceda a ela acesso de administrador.Faça login em sua segunda conta - e exclua a conta de administrador antiga.
Restringindo os privilégios do usuário do banco de dados
A segurança do banco de dados é de suma importância para qualquer site. Ao instalar vários sites em seu servidor, crie bancos de dados e usuários separados para cada site. Isso torna mais difícil para os intrusos obter acesso ao sistema completo e roubar informações pessoais.
Você também deve configurar corretamente os privilégios da conta MySQL e desabilitar quaisquer recursos desnecessários, como conexão TCP remota. Você também pode restringir as tentativas de login se o usuário do banco de dados não estiver em um local da lista de permissões. Por exemplo, você pode bloquear o acesso a conexões raiz se a conexão não tiver sido iniciada no localhost.
Além disso, o WordPress só precisa de permissões de leitura e gravação em um banco de dados MySQL para funções normais. Se você conceder apenas SELECT, INSERT, UPDATE e DELETE ao usuário do banco de dados, tudo funcionará bem. No entanto, às vezes, plugins de terceiros e atualizações do WordPress podem causar erros ao tentar alterar o esquema do banco de dados ou criar uma nova tabela. Leia as notas de lançamento e a documentação de cada plug-in com atenção se estiver usando essa medida de segurança.
Alterar o URL do wp-admin
Para tornar mais desafiador para os hackers lançar ataques de força bruta em seu site WordPress, considere alterar o URL padrão do seu painel de administração para algo obscuro. Para fazer isso, você pode usar um plug-in como WPS Hide Login ou Change wp-admin login , que permite personalizar seu URL de login facilmente.
Desativar edição de arquivo
O recurso de edição de arquivos no WordPress permite que os administradores editem arquivos de tema e plug-in diretamente do painel. Embora seja útil durante a configuração do site, isso pode representar um risco de segurança se a conta do administrador for comprometida. Desativar a funcionalidade de edição de arquivo reduz esse risco.
Isso também reduzirá as edições acidentais e garantirá uma melhor documentaçãodas alterações, pois todas as novas revisões serão rastreadas no controle de versão e precisarão passar por testes antes de serem publicadas no site.
Para desabilitar a edição de arquivos no WordPress, você pode adicionar a seguinte linha de código ao arquivo wp-config.php do seu site:
define ('DISALLOW_FILE_EDIT', verdadeiro );
Alterando o prefixo do banco de dados
O WordPress usa uma sequência de texto comum em todos os nomes de tabelas para facilitar a identificação. A alteração desse prefixo torna difícil para agentes mal-intencionados adivinhar os nomes de suas tabelas ao realizar ataques de injeção de SQL e outras formas de explorações de banco de dados.
Embora possa parecer uma melhoria pequena e insignificante, a maioria dos ataques na Internet é realizada por bots automatizados que visam apenas o fruto mais fácil. Ao alterar o valor padrão, você pode se defender contra a maioria dos ataques automatizados .
Seu prefixo de banco de dados atual é armazenado no arquivo wp-config.php em seu diretório raiz do WordPress. O valor padrão é mais ou menos assim.
$table_prefix = 'wp_';
Você pode substituir o prefixo “wp_” por um novo prefixo exclusivo de sua escolha. Lembre-se de que você só pode usar letras, números e sublinhados. Por exemplo:
$table_prefix = 'my_custom_prefix_123_';
Depois de salvar as alterações no arquivo wp-config.php, você precisará atualizar manualmente as tabelas SQL existentes com os novos nomes. Se não tiver certeza de como fazer isso, você pode usar um plugin como o Brozzme DB Prefix .
Sair automaticamente de usuários inativos
A implementação de um recurso de logout automático no WordPress pode ajudar a melhorar a segurança do seu site, encerrando automaticamente as sessões dos usuários após um período especificado de inatividade. Esse recurso pode ajudar a impedir o acesso não autorizado ao seu site caso o usuário se esqueça de fazer logout ou deixe o dispositivo sem supervisão.
Para implementar um recurso de logoff automático no WordPress, você pode usar um plug-in como o Logout inativo . Isso ajudará a proteger a privacidade dos usuários, garantindo que informações confidenciais não sejam acessíveis a indivíduos não autorizados.
Relatório pós-ação – tome medidas hoje para proteger seu site e sua reputação
30.000 sites são hackeados todos os dias , e com o WordPress alimentando 43% da web, isso representa um possível 12.900 sites WordPress sendo seriamente comprometidos todos os dias.
Infelizmente, os conselhos disponíveis on-line detalhando como manter um site WordPress seguro são vagos, desatualizados ou simplesmente errados. É esse mau conselho, a dependência apenas de plug-ins de terceiros e a suposição de que, uma vez definida a segurança, você pode esquecê-la, que resulta em muitas dessas violações.
Embora a segurança nunca esteja "acabada", não precisa ser uma dor de cabeça, e a maioria dos conselhos neste artigo é bastante simples para a maioria. Obviamente, ter uma empresa de hospedagem na web forte que leva a segurança tão a sério quanto deveria é um primeiro passo importante para a maioria.
Alguma dúvida sobre como manter seus sites WordPress seguros?Sinta-se à vontade para entrar em contato conosco e ficaremos felizes em orientá-lo sobre como o Servebolt Cloud pode ajudá-lo a oferecer a melhor experiência possível para seus visitantes. Ou, se este guia já respondeu a todas as suas perguntas e você está pronto para experimentar a abordagem Servebolt…
Interessado em hospedagem gerenciada que é empiricamente mais rápida? Experimente nossa abordagem para hospedagem WordPress :
- Escalabilidade: Nos testes de carga de trabalho do usuário real, o Servebolt apresentou tempos de resposta médios de 65 ms, tempos de resposta 4,9 vezes mais rápidos do que o segundo melhor.
- Os tempos de carregamento globais mais rápidos: os tempos médios de carregamento de página de 1,26 segundos nos colocam no topo da lista de resultados globais do WebPageTest.
- A velocidade de computação mais rápida: os servidores Servebolt fornecem velocidades de banco de dados inéditas, processando 2,44 vezes mais consultas por segundo do que a média e executando PHP 2,6 vezes mais rápido do que o segundo melhor!
- Segurança e tempo de atividade perfeitos: com 100% de tempo de atividade em todos os monitores e uma classificação A+ em nossa implementação de SSL, você pode ter certeza de que seu site está online e seguro.