WordPress

Segurança básica para WordPress

logotipo wordpress cadeado

Quando se inicia neste negócio de criação de websites, tudo parece ser perfeitamente funcional, prático e inquebrável. Mas à medida que se ganha experiência no sector, percebe-se que tudo o que reluz não é ouro:

  • As coisas nem sempre funcionam como se quer
  • Os websites ou parte deles avariam-se
  • Uma atualização pode piorar um problema que já tinha

O WordPress gere 60% dos websites que utilizam um CMS como motor principal. O WordPress é uma ferramenta poderosa, não há dúvida nisso.

Contudo, o facto de o WordPress estar tão bem estabelecido no mundo digital (e o simples facto de a grande maioria dos websites do mundo correr nele) também o torna uma ferramenta que os hackers atacam frequentemente.

Embora não existam sistemas informáticos, websites ou qualquer sistema que seja infalível (basta perguntar aos bancos e às grandes empresas), na realidade o WordPress é bastante seguro se seguir várias regras que o ajudam a manter os ataques sob controlo.


Razões pelas quais alguém quereria atacar o nosso website

logo hacker

Existem várias razões para alguém querer obter acesso ao ambiente de trabalho ou servidor em que um website está a funcionar, mas há três razões principais para os ataques:

Para obter dinheiro

Por exemplo, alterando os endereços de login ou API’s que utilizamos para rentabilizar o nosso website.

Podemos aperceber-nos que algo não está certo quando, após vários dias sem receber rendimentos, descobrimos que o API, o utilizador ou a conta de rendimentos correntes do nosso sistema de monetização foi alterado.

Se for um e-commerce que vende online e numa quebra de segurança conseguirem roubar os números de cartão de crédito dos seus clientes, por exemplo, perderá credibilidade e a confiança dos utilizadores no seu website. Se a fuga de dados for grande e/ou muito sensível, poderá mesmo ter problemas legais.

Para obter dados

Os dados de registo do utilizador, no caso, por exemplo, de websites que rentabilizam as suas newsletters e necessitam que o utilizador se registe para as enviar (nomes, dados pessoais, língua, endereço electrónico…) são um pedaço muito valioso sob a forma de uma base de dados que vale a pena o esforço.

Para eliminar a concorrência

O Google penaliza os websites que não funcionam corretamente ou que violam as diretrizes de conteúdo e qualidade estabelecidas pela empresa.

Fazer jogo sujo contra um concorrente obtendo acesso ao seu website de forma fraudulenta para “maltratá-lo” adicionando links de spam, criando páginas de baixa qualidade ou excluindo URLs de forma massiva que acabarão inundando o website com erros 404 com a estratégia de fazer o Google acreditar que é um website de baixa qualidade.

Se a confusão não for resolvida a tempo, o Google penalizará o website, o website cairá no SERPS, perderá visibilidade e a empresa atacante terá um concorrente a menos.


Proteger o seu WordPress de ataques

Embora o WordPress faça o seu melhor para evitar que o nosso website seja enviado para o cemitério, também podemos fazer a nossa parte para dificultar quem o deseja fazer.

Se quiser evitar desgostos e sobressaltos de ter o seu WordPress pirateado, comece a trabalhar nas seguintes tarefas que menciono abaixo.

Escolher uma boa palavra-passe

Uma palavra-passe não é segura por ser mais longa ou ter mais ou menos caracteres, mas devido a uma combinação de ambos.

Como escolher uma palavra-passe do wordpress segura

Dado a capacidade de processamento dos computadores atuais (cerca de 8.000 milhões de cálculos por segundo) uma palavra-passe só pode ser considerada segura contra ataques de força bruta se tiver mais de 20 caracteres e incluir minúsculas, maiúsculas, números, símbolos especiais e se estes forem combinados de forma aleatória.

Neste artigo explico como conceber palavras-passe fortes e seguras e como gerir um grande número de palavras-passe incontestáveis sem enlouquecer ou ter de as escrever numa folha de excel.

Exato: Passar tempo a gerar boas palavras-passe e depois colá-las numa folha de excel? Não me parece uma muito boa ideia.


Manter o website actualizado

As atualizações não são meros caprichos concebidos para acrescentar mais funcionalidade a um theme ou plugin. Também corrigem buracos de segurança que podem comprometer a estabilidade de um website.

Ter o nosso WordPress, theme e plugins desactualizados significa ganhar números para ter um website instável e mais propenso a ataques.


Altere o seu endereço de início de sessão WordPress

O endereço de login padrão para todo o WordPress a nível mundial é nomedowebsite.com/wp-admin o /wp-login. Assim, se sabe que um website é um WordPress, pode verificar se os administradores alteraram esse endereço de acesso adicionando /wp-admin o /wp-login a la URL inicial*.

*Pode verificar se um website funciona com WordPress em menos de um minuto, analisando o seu código fonte ou passando o URL por uma ferramenta tipo WhatCMS).

A propósito: como podem ver, o endereço de acesso ao meu sítio web não é spagenciaseo.com/wp-admin, mas outro. 😉

Ao alterar o endereço de acesso por defeito do nosso WordPress, evitamos de forma directa os chamados ataques de força bruta (testes de palavras-passe aleatórias), como veremos na secção seguinte.

Para alterar o endereço de login do WordPress de forma rápida e simples, utilizo um plugin muito leve e eficaz: WPS Hide Login.

Para alterar o endereço de início de sessão predefinido, utilizando WPS Hide Login basta introduzir o URL que pretende utilizar como endereço de início de sessão e dizer ao plugin o que pretende que aconteça quando alguém quiser aceder ao endereço de início de sessão predefinido.

Introduza o novo endereço de inicio de sessão, o que pretende que aconteça quando alguém quiser introduzir o endereço predefinido e clique em Guardar Alterações. Rápido mas eficaz.

Se se esquecer do endereço de login definido, terá de desativar o plugin através dos ficheiros do servidor e o endereço de login predefinido do WordPress será definido novamente.


Evite os ataques de força bruta

Os ataques de força bruta são realizados mediante o método de tentativa e erro: experiências aleatórias de palavras-passe até que uma delas esteja correta. Se a senha for fraca, estamos a ganhar pontos para que os atacantes tenham acesso ao nosso website.

Se não tivermos alterado o endereço padrão de acesso do nosso WordPress, como foi explicado na secção anterior, os atacantes apenas têm de apontar os seus robots para a página de acesso do WordPress e programá-los para testar as palavras-passe de forma aleatória e ininterrupta.

Mas existem formas de evitar que alguém experimente palavras-passe sem pausas: os sistemas de anti brute force

Plugins para evitar os ataques de força bruta

Existem plugins leves e eficazes que bloqueiam um endereço ip quando este excede o número de tentativas de acesso que tenhamos especificado.

Loginizer Brute Force
WPS Limit Login

Eu, tanto utilizo Loginizer como o WPS Limit Login (mesmos desenvolvedores que a WPS Hide Login).

Instale um destes sistemas, programe-o correctamente e está feito.

Ataques de força bruta realizados por robots automatizados e que foram registados pelo Plugin Loginizer (o website atacado não é spagenciaseo.com).

Como se pode ver na imagem anterior, em média há uma ou duas tentativas de login usando uma palavra-passe aleatória a aproximadamente cada 10 minutos (e já vi websites com registos muito piores do que este). Os bots atacam os URLs de login padrão do WordPress (e também sabem qual é o utilizador administrativo, fácil de passar pelo id do autor), o que significa que se o alterarmos, evitaremos estes ataques.

Na minha experiência, todos os WordPress com quem trabalhei (TODOS) são atacados por sistemas de força bruta. Por outras palavras: sempre que coloquei um sistema de registo de ataques por força bruta, acabei sempre por obter dados instantâneos. Portanto, com efeito: o seu WordPress também está provavelmente a sofrer de um sistema automatizado que está a testar as palavras-passe neste preciso momento.


Implementar um sistema de autenticação em duas etapas

Se quiser ir a algo mais profissional e ter um WordPress à prova de bombas, pode combinar tudo o que foi dito acima com um sistema de autenticação de dois fatores ou Two Factor Authentication (2FA).

Um sistema 2FA é o mesmo que o banco faz para confirmar uma transferência: pede-lhe o número do cartão de coordenadas e pede-lhe também o código que acabou de lhe ser enviado por SMS.

Um resumo do que NÃO deve fazer

Para colocar tudo no seu lugar e resumindo, os ingredientes para um website inseguro são os seguintes:

Usar uma palavra-passe fraca, ou pior, usar a mesma palavra-passe fraca para tudo.

Não ter o nosso WordPress, themes e plugins devidamente atualizados para a versão mais recente

Não alterar o endereço de início de sessão por defeito do WordPress

Não possuir um sistema de rejeição de ataques por força bruta


Resolver um desastre

Se o nosso website foi pirateado e nos apercebemos disso, temos de desfazer todas as alterações que os atacantes fizeram aos sistemas. Contudo, isto pode ser um trabalho árduo e muitas vezes impossível. Por isso que é extremamente importante trabalhar com fornecedores de alojamento competentes que possam dar uma mão quando a situação se torna difícil.

Trabalho principalmente com Loading.es, pela simples razão de que oferece um sistema de serviço ao cliente eficiente e muito rápido, um ambiente de gestão de servidores de fácil utilização e uma política de cópias de segurança de alta qualidade.

Loading.es oferece instalação WordPress com dois cliques, SSL grátis e alojamento rápido SSD desde 47€ mais IVA ao ano. Clique no banner para mais informações

As cópias de segurança

Dispor de backups diários é crucial para poder desfazer um desastre sob a forma de vírus, malware ou hacking do nosso website. Se soubermos a data em que o website foi pirateado, podemos simplesmente restaurar uma cópia de segurança dos ficheiros e bases de dados para uma data anterior ao ataque.

No entanto, se não fizermos mais nada, é provável que o website seja atacado outra vez da mesma forma: teremos de trabalhar para implementar as medidas de segurança necessárias para evitar que o website seja atacado de novo.

Cópias de segurança disponíveis para restauração nos servidores Loading.es: é feita uma cópia de hora a hora durante os primeiros três dias e as cópias de segurança estão disponíveis por até 2 meses.