Os desenvolvedores do WordPress levam a seguran\u00e7a muito a s\u00e9rio, mas como em qualquer outro sistema, existem potenciais problemas de seguran\u00e7a que podem surgir se algumas precau\u00e7\u00f5es b\u00e1sicas de seguran\u00e7a n\u00e3o forem tomadas. Este artigo ir\u00e1 listar algumas formas comuns de vulnerabilidades, e as provid\u00eancias que voc\u00ea pode tomar para manter sua instala\u00e7\u00e3o do WordPress segura.<\/p>\n
<\/p>\n
Este artigo n\u00e3o \u00e9 o guia r\u00e1pido e definitivo para resolver suas preocupa\u00e7\u00f5es com a seguran\u00e7a. Se voc\u00ea tem preocupa\u00e7\u00f5es espec\u00edficas ou d\u00favidas, discuta-as com usu\u00e1rios em quem voc\u00ea confie que tenham conhecimento suficiente de seguran\u00e7a em computadores e WordPress.<\/p>\n
<\/p>\n
Fundamentalmente, a seguran\u00e7a n\u00e3o \u00e9 apenas possuir sistemas perfeitamente seguros, que poderiam muito bem ser imposs\u00edveis de encontrar e\/ou manter. Um servidor seguro protege a privacidade, integridade e disponibilidade dos recursos que est\u00e3o sob o controle do seu administrador.<\/p>\n
Entre as qualidades de um provedor de hospedagem confi\u00e1vel est\u00e3o:<\/p>\n
<\/p>\n
Tenha em mente algumas diretrizes gerais enquanto pensa sobre cada aspecto de seguran\u00e7a do seu sistema:<\/p>\n
Fa\u00e7a escolhas seguras que reduzir\u00e3o os pontos pass\u00edveis de invas\u00e3o por pessoas mal-intencionadas.<\/p>\n
Sua instala\u00e7\u00e3o deve estar configurada para minimizar o tamanho do estrago que pode ser causado caso o sistema venha a ser comprometido ou invadido.<\/p>\n
Mantenha backups e confira o estado da sua instala\u00e7\u00e3o do WordPress regularmente. Tra\u00e7ar um plano de backup e recupera\u00e7\u00e3o da instala\u00e7\u00e3o no caso de uma cat\u00e1strofe pode ajudar a estar novamente online muito mais r\u00e1pido caso haja um problema.<\/p>\n
Tenha certeza que os computadores que voc\u00ea usa para postar no WordPress est\u00e3o livres de spyware, malware e outros tipos de infec\u00e7\u00f5es e v\u00edrus. Toda a seguran\u00e7a do mundo no WordPress e no seu servidor web n\u00e3o far\u00e3o a menor diferen\u00e7a se houver um keylogger instalado no seu computador.<\/p>\n
Mantenha sempre atualizados o seu sistema operacional e os softwares instalados, principalmente o seu navegador, para garantir sua prote\u00e7\u00e3o contra vulnerabilidades.<\/p>\n
<\/p>\n
Como muitos dos mais modernos pacotes de software, o WordPress \u00e9 atualizado regularmente para evitar e resolver novas amea\u00e7as que possam surgir. Melhorar a seguran\u00e7a do software \u00e9 uma preocupa\u00e7\u00e3o constante, e por isso \u00e9 importante manter a sua instala\u00e7\u00e3o sempre atualizada com a vers\u00e3o mais recente do WordPress. As vers\u00f5es antigas do WordPress n\u00e3o recebem atualiza\u00e7\u00f5es de seguran\u00e7a.<\/p>\n
<\/p>\n
A vers\u00e3o mais recente do WordPress est\u00e1 sempre dispon\u00edvel no site principal em http:\/\/wordpress.org e a vers\u00e3o em Portugu\u00eas Brasileiro em http:\/\/br.wordpress.org. N\u00e3o existem vers\u00f5es oficiais dispon\u00edveis em outros sites – nunca baixe ou instale o WordPress de qualquer outro endere\u00e7o que n\u00e3o o http:\/\/wordpress.org.<\/p>\n
O WordPress conta com atualiza\u00e7\u00f5es autom\u00e1ticas desde a vers\u00e3o 2.7. Use esta funcionalidade para facilitar o processo de atualiza\u00e7\u00e3o constante. Voc\u00ea tamb\u00e9m pode usar o Painel de Administra\u00e7\u00e3o para se manter informado dos updates. Leia o artigo indicado no Painel de Administra\u00e7\u00e3o ou no WordPress Developer Blog para saber quais passos tomar para se atualizar e manter o sistema seguro.<\/p>\n
Se uma vulnerabilidade \u00e9 descoberta no WordPress e uma nova vers\u00e3o \u00e9 lan\u00e7ada para resolver o problema, a informa\u00e7\u00e3o necess\u00e1ria para explorar a falha j\u00e1 estar\u00e1 certamente em dom\u00ednio p\u00fablico. Isto faz com que as vers\u00f5es antigas estejam mais propensas a sofrerem ataques, e \u00e9 um dos principais motivos pra que voc\u00ea mantenha seu WordPress atualizado.<\/p>\n
Se voc\u00ea \u00e9 um administrador e mant\u00e9m v\u00e1rios sites com WordPress, considere usar o Subversion para gerenci\u00e1-los de forma mais simples.<\/p>\n
Se voc\u00ea encontrou uma falha de seguran\u00e7a no WordPress, voc\u00ea pode ajudar a soluciona-la reportando o que encontrou. Veja a p\u00e1gina Security_FAQ para mais informa\u00e7\u00f5es sobre como proceder nesse caso.<\/p>\n
Se voc\u00ea encontrou um bug, tamb\u00e9m reporte. Veja como fazer isso na p\u00e1gina Submitting_Bugs. Voc\u00ea pode ter descoberto uma vulnerabilidade, ou um bug que pode levar a uma falha.<\/p>\n
O servidor rodando WordPress, e os outros softwares nele, podem ter falhas de seguran\u00e7a. Por isso, tenha certeza que est\u00e1 rodando vers\u00f5es est\u00e1veis e seguras do seu servidor e dos outros softwares instalados, ou contrate um provedor de hospedagem confi\u00e1vel e que cuide desses assuntos para voc\u00ea.<\/p>\n
Se voc\u00ea est\u00e1 em um servidor compartilhado (que hospeda mais sites, al\u00e9m do seu) e um outro site no mesmo servidor est\u00e1 comprometido, o seu site tamb\u00e9m pode, potencialmente, ser atingido, mesmo que voc\u00ea siga todas as dicas deste guia. Pergunte ao seu provedor sobre as medidas de seguran\u00e7a que eles tomam para proteg\u00ea-lo.<\/p>\n
<\/p>\n
Os dois lados da rede — o lado do servidor WordPress e o lado da rede do cliente — devem ser confi\u00e1veis. Isso significa atualizar as regras do firewall do seu roteador em casa e tamb\u00e9m tomar cuidado com quais redes voc\u00ea usa para trabalhar. Uma lan-house movimentada onde voc\u00ea est\u00e1 enviando senhas em uma conex\u00e3o n\u00e3o-criptografada, wireless ou n\u00e3o, n\u00e3o \u00e9 uma rede confi\u00e1vel.<\/p>\n
O seu provedor de hospedagem deve garantir que a rede dele n\u00e3o seja comprometida por ataques, e voc\u00ea deve fazer o mesmo. Falhas de seguran\u00e7a em redes podem permitir que senhas e outras informa\u00e7\u00f5es sens\u00edveis sejam interceptadas.<\/p>\n
<\/p>\n
Muitas amea\u00e7as potenciais podem ser evitadas com bons h\u00e1bitos de seguran\u00e7a. Uma senha forte \u00e9 um aspecto muito importante disso.<\/p>\n
O objetivo da sua senha \u00e9 dificultar que outras pessoas possam adivinhar e tamb\u00e9m para evitar que ataques de for\u00e7a bruta sejam bem-sucedidos. Existem diversos geradores autom\u00e1ticos de senhas que podem ser usados para criar senhas seguras.<\/p>\n
O WordPress tamb\u00e9m tem um medidor de seguran\u00e7a das senhas, que \u00e9 exibido sempre que voc\u00ea est\u00e1 definindo ou alterando uma senha no WordPress. Use sempre esta ferramenta para garantir que est\u00e1 usando senhas adequadas.<\/p>\n
Quando estiver escolhendo uma senha, evite:<\/p>\n
Uma senha forte n\u00e3o serve s\u00f3 para proteger o seu conte\u00fado. Um hacker que tenha acesso \u00e0 sua conta de administra\u00e7\u00e3o ter\u00e1 poderes para instalar scripts maliciosos que inclusive poder\u00e3o comprometer todo o servidor.<\/p>\n
<\/p>\n
Se o seu provedor de hospedagem permitir, prefira sempre usar conex\u00f5es criptografadas SFTP para acessar o seu servidor. Se voc\u00ea n\u00e3o ter certeza se este servi\u00e7o est\u00e1 dispon\u00edvel, pergunte \u00e0 empresa de hospedagem.<\/p>\n
Usar o SFTP funciona da mesma forma que o FTP, exceto que a sua senha e outras informa\u00e7\u00f5es s\u00e3o transmitidas de forma criptografada entre o seu computador e o site. Isso significa que a sua senha nunca \u00e9 enviada em aberto e ent\u00e3o n\u00e3o pode ser interceptada por um hacker.<\/p>\n
<\/p>\n
O diret\u00f3rio raiz do WordPress: todos os arquivos devem ter permiss\u00e3o de escrita somente pelo seu usu\u00e1rio, exceto o .htaccess se voc\u00ea quiser que o WordPress gere automaticamente as regras de reescrita para voc\u00ea.<\/p>\n
\/wp-admin\/<\/p>\n
A \u00e1rea de administra\u00e7\u00e3o do WordPress: todos os arquivos devem ter permiss\u00e3o de escrita somente pelo seu usu\u00e1rio.<\/p>\n
\/wp-includes\/<\/p>\n
A maior parte da l\u00f3gica de sistema do WordPress: todos os arquivos devem ter permiss\u00e3o de escrita somente pelo seu usu\u00e1rio.<\/p>\n
\/wp-content\/<\/p>\n
Conte\u00fado inserido pelos usu\u00e1rios: estes arquivos devem ter permiss\u00e3o de escrita por todos os usu\u00e1rios (propriet\u00e1rio\/usu\u00e1rio, grupos e p\u00fablico).<\/p>\n
Dentro de \/wp-content\/ voc\u00ea vai encontrar:<\/p>\n
\/wp-content\/themes\/<\/em><\/p>\n Arquivos de temas\/templates. Se voc\u00ea quiser utilizar o editor de temas do painel de administra\u00e7\u00e3o, todos os arquivos devem ter permiss\u00e3o de escrita. Se n\u00e3o, todos podem ser escritos somente pela sua conta de usu\u00e1rio.<\/p>\n \/wp-content\/plugins\/<\/em><\/p>\n Arquivos de plugins: todos os arquivos devem ter permiss\u00e3o de escrita somente pelo seu usu\u00e1rio.<\/p>\n Outras pastas que podem existir em \/wp-content\/ devem estar documentadas pelos temas ou plugins que as necessitam. As permiss\u00f5es podem variar.<\/p>\n <\/p>\n Se voc\u00ea tem acesso ao seu servidor, poder\u00e1 alterar as permiss\u00f5es de arquivos recursivamente utilizando os comandos a seguir:<\/p>\n Para diret\u00f3rios:<\/p>\n find \/caminho\/para\/a\/pasta\/do\/wordpress\/ -type d -exec chmod 755 {} \\;<\/em><\/p>\n Para arquivos:<\/p>\n find \/caminho\/para\/a\/pasta\/do\/wordpress\/ -type f -exec chmod 644 {} \\;<\/em><\/p>\n <\/p>\n Quando voc\u00ea faz uma atualiza\u00e7\u00e3o autom\u00e1tica do WordPress, todas as opera\u00e7\u00f5es s\u00e3o feitas pelo usu\u00e1rio propriet\u00e1rio dos arquivos, n\u00e3o pelo usu\u00e1rio do servidor web. Todos os arquivos s\u00e3o configurados como 0644 e todos os diret\u00f3rios como 0755, com permiss\u00e3o de escrita somente pelo usu\u00e1rio e de leitura para todos, inclusive o servidor.<\/p>\n <\/p>\n Se voc\u00ea tem v\u00e1rios sites no mesmo servidor, \u00e9 importante considerar mant\u00ea-los em bancos de dados diferentes, cada um gerenciado por um usu\u00e1rios isolado. A melhor hora para fazer isso \u00e9 na Instala\u00e7\u00e3o. Isto \u00e9 uma estrat\u00e9gia de conten\u00e7\u00e3o: se um invasor conseguir quebrar uma das suas instala\u00e7\u00f5es do WordPress, essa medida dificultar\u00e1 muito que ele consiga alterar os outros sites.<\/p>\n Se voc\u00ea mesmo administra o MySQL, tenha certeza que compreende bem a configura\u00e7\u00e3o do MySQL e desabilite algumas funcionalidades desnecess\u00e1rias (como aceitar conex\u00f5es TCP remotas). Leia o artigo Secure MySQL Database Design para uma boa introdu\u00e7\u00e3o a este assunto.<\/p>\n <\/p>\n Colocar uma prote\u00e7\u00e3o de senha ao \/wp-admin\/ no lado do servidor adiciona uma 2\u00aa camada de prote\u00e7\u00e3o ao redor do seu Painel de Administra\u00e7\u00e3o, login e arquivos. Isso exige que um invasor ou bot ataque esta segunda camada de prote\u00e7\u00e3o, ao inv\u00e9s dos seus arquivos. Muitos dos ataques ao WordPress s\u00e3o feitos de forma aut\u00f4noma, por softwares e bots maliciosos.<\/p>\n Mas simplesmente bloquear o diret\u00f3rio \/wp-admin\/ pode desabilitar algumas funcionalidades do WordPress, como o handler de AJAX em \/wp-admin\/admin-ajax.php. Veja a se\u00e7\u00e3o #Recursos para mais documenta\u00e7\u00e3o sobre a forma correta de proteger seu \/wp-admin\/ com uma senha.<\/p>\n Os ataques mais comuns a uma instala\u00e7\u00e3o WordPress geralmente caem em duas categorias:<\/p>\n Enviam pedidos HTTP para o servidor, especialmente programados para explorar a carga \u00fatil procurando vulnerabilidades espec\u00edficas. Estes incluem plugins e softwares antigos ou desatualizados.<\/p>\n Tentam ganhar acesso ao seu site usando ataques de “for\u00e7a bruta”, para adivinhar a sua senha.<\/p>\n A melhor implementa\u00e7\u00e3o dessa segunda camada de seguran\u00e7a por senha \u00e9 exigir uma conex\u00e3o criptografada HTTP SSL para a administra\u00e7\u00e3o do site, de forma que toda a comunica\u00e7\u00e3o e dados sens\u00edveis seja criptografada. Veja Administration Over SSL<\/p>\n <\/p>\n Uma segunda camada de prote\u00e7\u00e3o pode ser adicionada nas partes onde os scripts geralmente n\u00e3o devem ser acessados por nenhum usu\u00e1rio. Uma forma de fazer isso \u00e9 usar mod_rewrite para bloquear os scripts no arquivo .htaccess.<\/p>\n <\/p>\n # Block the include-only files.<\/p>\n RewriteEngine On<\/p>\n RewriteBase \/<\/p>\n RewriteRule ^wp-admin\/includes\/ – [F,L]<\/p>\n RewriteRule !^wp-includes\/ – [S=3]<\/p>\n RewriteRule ^wp-includes\/[^\/]+\\.php$ – [F,L]<\/p>\n RewriteRule ^wp-includes\/js\/tinymce\/langs\/.+\\.php – [F,L]<\/p>\n RewriteRule ^wp-includes\/theme-compat\/ – [F,L]<\/p>\n # BEGIN WordPress<\/p>\n <\/p>\n Note que isto n\u00e3o deve funcionar bem em instala\u00e7\u00f5es MultiSite, j\u00e1 que RewriteRule ^wp-includes\/[^\/]+\\.php$ – [F,L] evitaria que o arquivo ms-files.php gere imagens. Retirar esta linha permitir\u00e1 o funcionamento, oferecendo um pouco menos de seguran\u00e7a.<\/p>\n <\/p>\n Voc\u00ea pode mover o arquivo wp-config.php para o diret\u00f3rio logo acima da sua instala\u00e7\u00e3o do WordPress. Assim, para sites instalados na raiz do servidor, o arquivo wp-config.php podera ficar for da \u00e1rea acess\u00edvel.<\/p>\n Note que o wp-config.php poder\u00e1 ficar apenas UM n\u00edvel acima da instala\u00e7\u00e3o do WordPress (onde est\u00e1 a pasta wp-includes). Permita tamb\u00e9m que somente o seu usu\u00e1rio (e o do servidor) possam acessar este arquivo (geralmente isso significa uma permiss\u00e3o 0400 ou 0440).<\/p>\n Se voc\u00ea usa .htaccess no seu servidor, voc\u00ea pode tamb\u00e9m inserir o c\u00f3digo abaixo no arquivo, para negar acesso a qualquer um que esteja navegando atr\u00e1s dele:<\/p>\n <files wp-config.php><\/p>\n order allow,deny<\/p>\n deny from all<\/p>\n <\/files><\/p>\n Criptografia SSL<\/p>\n Artigo principal: Administration Over SSL.<\/p>\n <\/p>\n Em primeiro lugar, mantenha sempre todos os seus plugins atualizados. Se voc\u00ea n\u00e3o est\u00e1 mais usando algum plugin, delete os arquivos do servidor.<\/p>\n Alguns plugins prometem eliminar pedidos suspeitos baseados em listas de regras de bancos de dados e\/ ou whitelists. BlogSecurity’s WPIDS plugin instala o PHPIDS, uma camada de seguran\u00e7a gen\u00e9rica para aplica\u00e7\u00f5es PHP, enquanto o WordPress Firewall usa algumas regras pr\u00e9-configuradas, criadas para o WordPress, al\u00e9m de uma whitelist para eliminar ataques sem muitas configura\u00e7\u00f5es.<\/p>\n Se um plugin exige permiss\u00e3o de escrita para os arquivos e ou pastas do WordPress, pesquise o c\u00f3digo para saber se ele \u00e9 bem-intencionado, ou confira com algum usu\u00e1rio mais experiente em quem voc\u00ea confie. Se tiver d\u00favidas, pergunte nos Forums de Suporte e\/ou no Canal IRC.<\/p>\n Como dissemos, uma parte do objetivo de blindar o WordPress \u00e9 conter o estrago causado quando um ataque tiver sucesso. Plugins que permitem a execu\u00e7\u00e3o de c\u00f3digos PHP arbitr\u00e1rios ou outros c\u00f3digos a partir de entradas no banco de dados aumentam a possibilidade de danos em caso de ataques bem sucedidos.<\/p>\n Uma forma de evitar o uso destes plugins \u00e9 usar custom page templates que executem as fun\u00e7\u00f5es. Uma parte da seguran\u00e7a que essa medida garante s\u00f3 \u00e9 efetiva quando voc\u00ea pro\u00edbe a edi\u00e7\u00e3o de arquivos por dentro do WordPress.<\/p>\n <\/p>\n Seguran\u00e7a por obscuridade \u00e9 comumente tida como uma estrat\u00e9gia prim\u00e1ria pouco segura. No entanto, existem algumas \u00e1reas do WordPress em que obscurescer algumas informa\u00e7\u00f5es pode ajudar na seguran\u00e7a:<\/p>\n Renomeie a conta de administra\u00e7\u00e3o: Em novas instala\u00e7\u00f5es, voc\u00ea pode simplesmente criar uma nova conta de administrador e excluir a conta admin padr\u00e3o. Em uma instala\u00e7\u00e3o j\u00e1 existente, voc\u00ea pode renomear a conta atual pela linha de comando do MySQL usando UPDATE wp_users SET user_login = ‘newuser’ WHERE user_login = ‘admin’;, ou usando um front-end como o phpMyAdmin.<\/p>\n Altere o table_prefix: Muitos dos ataques conhecidos que visam invadir sites em WordPress assumem que o table_prefix \u00e9 o padr\u00e3o: “wp_”. Modificar isto pode bloquear pelo menos alguns ataques de inje\u00e7\u00e3o SQL.<\/p>\n <\/p>\n Fa\u00e7a backup dos seus dados regularmente, incluindo seus bancos de dados MySQL. Veja o artigo principal: Backing Up Your Database).<\/p>\n A integridade dos dados \u00e9 cr\u00edtica para se ter downloads confi\u00e1veis. Criptografar o backup, manter registros independentes dos hashes MD5 de cada arquivo de backup e\/ou colocar os backups em m\u00eddias de somente-leitura aumenta a confian\u00e7a de que seus dados n\u00e3o foram adulterados.<\/p>\n Uma estrat\u00e9gia segura de backup pode incluir manter um set regular de imagens temporais de toda a sua instala\u00e7\u00e3o do WordPress (inclusive os arquivos do core e o banco de dados) em um local seguro e confi\u00e1vel. Pense em um site que faz imagens semanalmente. Uma estrat\u00e9gia como essa significa que se o site for comprometido no dia 1\u00ba de Maio mas o dano s\u00f3 for percebido no dia 12, o propriet\u00e1rio ter\u00e1 backups anteriores \u00e0 data da invas\u00e3o, que poder\u00e3o ajudar na re-constru\u00e7\u00e3o do site e tamb\u00e9m backups posteriores, que podem ajudar a determinar como a invas\u00e3o aconteceu.<\/p>\n <\/p>\n Os desenvolvedores do WordPress levam a seguran\u00e7a muito a s\u00e9rio, mas como em qualquer outro sistema, existem potenciais problemas de<\/p>\n","protected":false},"author":5,"featured_media":15259,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","_editorskit_title_hidden":false,"_editorskit_reading_time":0,"_editorskit_is_block_options_detached":false,"_editorskit_block_options_position":"{}","footnotes":""},"categories":[25],"tags":[],"class_list":["post-15257","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-geral"],"yoast_head":"\nModificando as permiss\u00f5es de arquivos<\/h3>\n
Sobre as atualiza\u00e7\u00f5es autom\u00e1ticas<\/h3>\n
Seguran\u00e7a do Banco de Dados<\/h3>\n
Blindando o wp-admin<\/h3>\n
Blindando o wp-includes<\/h3>\n
Blindando o wp-config.php<\/h3>\n
Plugins<\/h3>\n
Plugins de Firewall<\/em><\/h4>\n
Plugins que necessitam de acesso para escrita<\/em><\/h4>\n
Plugins de execu\u00e7\u00e3o de c\u00f3digo<\/em><\/h4>\n
Seguran\u00e7a por obscuridade<\/h3>\n
Backup dos dados<\/h3>\n
Precisando de um servidor de hospedagem seguro para WordPress? A SoloWeb tem planos que cabem no seu bolso, entre em contato com nossa equipe atrav\u00e9s dos nossos canais de atendimento.<\/h5>\n
**Planos de hospedagem a partir de 9,90<\/h6>\n
*Essas dicas de seguran\u00e7a foi retirado direto do site do WordPress.<\/h6>\n","protected":false},"excerpt":{"rendered":"