A segurança em servidores e plataformas web é um aspecto muito importante, mas nem todos os administradores têm isso em conta - muitos não separam qualquer “tempinho” para cuidar dessas configurações. Por isso, neste post, queremos compartilhar com você uma série de dicas e boas práticas para reforçar as configurações de segurança e proteger o seu site produzido em WordPress.
Mantendo nosso servidor atualizado e com as configurações de segurança apropriadas, podemos proteger a privacidade, integridade e disponibilidade dos recursos que estão sob o controle do administrador do servidor.
Confira algumas características que devemos ter em conta na hora de contratar um hosting:
- Provedor que se preocupe com a segurança dos processos e produtos.
- Que proporcione as últimas versões mais estáveis para todo o software do servidor.
- Métodos confiáveis de backup e restauração dos mesmos.
Destacamos duas perguntas frequentes, que podem surgir na hora de proteger a nossa informação: que dados devem ser protegidos? Por meio de quais metodologias? Um dos aspectos fundamentais são as vulnerabilidades, por isso, em primeiro lugar, devemos garantir que o sistema operacional (que oferece o serviço) esteja livre de malware, pois uma infecção pode comprometer o rendimento e o serviço. Esse ponto está relacionado com o uso de uma solução antivírus atualizada. Além disso, é necessário contar com todas as atualizações do sistema operacional, pois um sistema desatualizado pode expor falhas ou brechas de segurança que podem se transformar em possíveis aberturas de exploração para um cibercriminoso. Veja algumas dicas de como configurar o seu WordPress:
- Mova o diretório wp-content: essa ação ajuda a proteger o site contra os ataques automatizados Zero-Day.
- Altere o nome de usuário admin: esse usuário vem como “padrão”, por isso, é um dos primeiros alvos de um cibercriminoso na hora de realizar um ataque de força bruta. Nas versões mais recentes do WordPress, é possível selecionar o nome de usuário durante a instalação.
- Instale o mínimo de plugins: muitos são susceptíveis a Cross-Site Scripting (XSS) e a injeção de SQL; com a instalação de poucos plugins, os vetores de ataques serão reduzidos.
- Mova o wp-config.php para fora do diretório raiz: caso esse arquivo seja movido para uma pasta acima do diretório raiz, conseguiremos esconder a configuração do nosso WordPress.
- Exclua a lista de diretórios no servidor: o WordPress sofre Full Path Disclosure, o que ajuda a realizar ataques como Path Transversal.
- Administre através do SSL: às vezes, o painel de administração é usado pelo protocolo sem criptografia HTTP, mas se acessamos com o uso do HTTPS, estaremos enviando os dados criptografados, dificultando a intercepção de informações e, além disso, evitando ataques do tipo MITM.
- Use a base de dados sem privilégios de administrador quando não seja solicitado: por padrão, o WordPress usa apenas uma base de dados de usuários para todos. No entanto, com alguns ajustes de código, é possível usar um usuário de uma base com menos privilégios para usuários anônimos, reduzindo consideravelmente os riscos.
- Mantenha os usuários com privilégios mínimos: existe a possibilidade de que um usuário com privilégios de administrador tenha uma senha fraca. Concedendo aos usuários apenas os privilégios indispensáveis, é possível reduzir as possibilidades de que suas contas sejam comprometidas.
- Retire o “Powered by WordPress” do rodapé da página: os cibercriminosos usam esse rodapé da página para encontrar potenciais vítimas vulneráveis.
- Lista branca de IP para acessar ao wp-login.php: em geral, os administradores acessam ao seu blog por meio do mesmo endereço IP, por isso, os endereços são configurados como “de confiança” para o acesso.
- Use um sistema de detecção de intrusos: essa ação nos permite reagir muito mais rápido contra um incidente.
- Evite o armazenamento de cópias de segurança em unidades públicas: assim você retira a possibilidade de que um atacante realiza o download de dados ou aplique informática forense para obter informações sensíveis.
No Laboratório de Pesquisa da ESET, acreditamos que a segurança é muito importante para as plataformas e equipamentos, por isso, investimos em constantes pesquisas para oferecer as melhores dicas sobre como prevenir a perda de informções e, inclusive, o controle dos servidores.