Dicas de segurança para o WordPress [2]

Houve um aumento no número de invasões de sistemas na web que não é proporcionada por scripts de brute force ou sql injection, mas sim falhas descobertas em plataformas de gerenciamento de conteúdo (CMS). Com esse artigo, pretendo demonstrar a importância de manter as plataformas sempre atualizadas, a fim de garantir que o seu site não fique vulnerável a invasões.

CMS existe pela comodidade

Desde a criação dos primeiros CMS, o pensamento de ter um padrão de desenvolvimento e a comodidade de não ter de reescrever toda a base estrutural dos código agitou a web. Novas comunidades de desenvolvimento foram formadas e diversos desenvolvedores passaram a adotar as plataformas no dia-a-dia de seus trabalhos. Atualmente não é difícil encontrarmos CMS como o Joomla! ou o WordPress como base estrutural de grandes portais de conteúdo, e-commerces, webapplications, etc.

Não há precisão quanto a números, porém é certo que os CMS já são utilizados por milhões de websites em todo o mundo, com repositórios espalhados pelos continentes e novos plugins sendo desenvolvidos diariamente. A produção de websites para clientes com base em um CMS pode fazer com que o processo seja facilitado, além de permitir que o próprio cliente atualize o conteúdo do seu website facilmente, sem que dependa do desenvolvedor a cada nova atualização.

A adoção destas plataformas ágeis de desenvolvimento tem sido fundamental para aproximar novos desenvolvedores do mercado, que já são criados a partir da ideologia de que o CMS é imprescindível para a criação de uma boa aplicação web. Porém, nem tudo são flores, a falta de atualização das plataformas pode acarretar na perda de todo o trabalho que o usuário teve para a criação do conteúdo, além da perda das personalizações. Falaremos sobre isso adiante.

Tome cuidado com os plugins

Apesar de muitos dos plugins serem seguros – principalmente aqueles que são hospedados nos repositórios oficiais das comunidades, é necessário tomar cuidado na utilização dos mesmos. Por terem acesso nativo ao CMS, podem efetuar modificações e/ou servirem como fonte de defaces.

Mesmo os plugins mais utilizados também podem ser fontes de problemas. Recentemente, três plugins muito utilizados pela comunidade do WordPress tiveram uma atualização infectada por códigos maliciosos, afetando milhões de usuários. O problema aconteceu por conta do roubo das senhas de atualização do repositório oficial do WordPress dos plugins, o que fez um alerta de falsa atualização. Quem baixou, pode ter tido as senhas expostas aos criminosos.

É bom lembrar: Antes de efetuar um upgrade de seu CMS, confira nos canais oficiais da empresa se realmente trata-se de uma atualização segura, requerida pela empresa. Normalmente as atualizações são notificadas através da dashboard de administração da plataforma, que sempre são acompanhadas do link onde a explicação para o upgrade é divulgada no portal oficial da comunidade.

Sem lenga-lenga: Mantenha o seu CMS atualizado!

Vamos direto ao assunto: Mantenha sempre o seu CMS atualizado, de acordo com os upgrades obrigatórios disponibilizados pela comunidade oficial.

Há muitos casos na web de sistemas que são invadidos por conta de sistemas desatualizados. Muitas das atualizações dos CMS são ocasionados por conta do descobrimento de vulnerabilidades na versão anterior. Seja por códigos mal desenvolvidos ou por brechas descobertas por crackers, rapidamente a comunidade atualiza a versão oficial da plataforma e a disponibiliza para seus usuários. Ficar um dia sequer sem a atualização do seu CMS pode expô-lo a falhas críticas de segurança.

Além disso, atualizações de plugins e temas (caso você use algum tema free ou premium comprado por alguma empresa terceira) também pode ser de grande importância para evitar falhas ou invasões. Falando em temas free, tome cuidado na fonte de download da plataforma, caso contrário algum exploit poderá ser usado para invadir os seus dados posteriormente.

Esconda a versão do seu WordPress

Por padrão, o WordPress divulga em seu código automaticamente a versão do CMS que está sendo utilizada. Isto é um prato cheio para os criminosos de plantão, que se utilizam de robôs que vasculham a web procurando pelas TAGs de version do WP. Se você não conseguir de forma alguma manter o seu WP atualizado, recomenda-se fortemente que você siga o procedimento abaixo:

  1. Abra o arquivo functions.php do seu tema utilizado;
  2. Adicione a linha: remove_action(‘wp_head’, ‘wp_generator’);
    (todo o conteúdo em vermelho)
  3. Atualize o arquivo.

Pronto, o seu WordPress não irá mais divulgar a versão utilizada.

Como no CMS, a escolha é sua

Comecei este artigo falando sobre a opção de escolha e a comodidade. Investir na segurança do seu CMS é tão simples, que basta ficar ligado nas atualizações dos plugins, temas e core do sistema que você já fará 99% do esforço necessário para não ser invadido. Neste caso, como em todos os outros, a escolha pela segurança é apenas sua. É você quem poderá definir entre a invasão ou não dos sistemas que utiliza – pelo menos nas situações de defaces de plataformas desatualizadas.

Para baixar a nova versão do seu WP, basta atualizá-lo automaticamente pelo próprio painel de controle. Lembre-se de fazer o backup do seu banco de dados antes de prosseguir com a atualização.

Atenção!

Não há comentários. Seja o primeiro a comentar.

Assinar feed dos Comentários

Deixe seu Comentário