3. Entender que há riscos
de segurança para seu
site WordPress
Abordar as formas de
cuidar da segurança do
seu site WordPress
Qual o objetivo desta palestra?
4. • Donos de sites WordPress
• Desenvolvedores freelancers que trabalham com WordPress
• Agências web que oferecem serviços de manutenção de sites
• Hosts
• Fornecedores de serviços gerenciados para WordPress
• Qualquer pessoa que seja responsável por um site WordPress
Quem deve se preocupar com a segurança
de sites WordPress?
5. Por que a Segurança do seu Site é Importante?
Negócio Técnico
Marca Econômico Blacklist de Sites Impactos no SEO
Problemas para o Visitante
6. Como melhorar a
segurança do meu site?
• Técnicas de segurança básicas
• Diminuir o risco do site ser comprometido
8. 1 - Vulnerabilidades de Software
• Atualizações do WordPress:
• Quando uma atualização é disponibilizada, você é notificado no menu:
Painel > Atualizações
• Para configurar atualizações automáticas no WordPress:
• Inicie sessão no seu servidor via SFTP ou SSH.
• Localize o arquivo wp-config.php, que geralmente se encontra no arquivo
raiz public_html.
• Adicione este snippet ao arquivo: define( 'WP_AUTO_UPDATE_CORE',
true );
9. 1 - Vulnerabilidades de Software
• Avalie a Segurança dos seus Plugins:
• O plugin ou o tema possui uma ampla base de instalação?
• Há muitas revisões de usuários, a média de avaliação é alta?
• Os desenvolvedores estão fornecendo suporte a seus plugins
ativamente? Eles enviam atualizações e patches de
segurança?
• Há termos de serviço e política de privacidade?
• Há alguma página de contato?
• Remova Plugins & Temas Não Usados
10. 1 - Vulnerabilidades de Software
• Atualização de Plugins
• Para aplicar atualizações manualmente para plugins no
WordPress:
• Verifique a compatibilidade entre o plugin e sua versão atual do WordPress.
• Baixe a última versão do plugin a partir de uma fonte oficial e salve a versão
no seu computador.
• Busque instruções de atualização oficiais do desenvolvedor ou revendedor do
plugin. Se não houver instruções:
• Inicie sessão no seu servidor via SFTP ou SSH.
11. 1 - Vulnerabilidades de Software
• Navegue para: /wp-content/plugins/ e baixe essa pasta para o seu
computador para servir como backup.
• Localize o diretório do plugin que você quer atualizar e delete-o do FTP.
• Atualize a última versão para o mesmo local.
• Inicie a sessão no WordPress como admin e clique em Painel > Plugins.
• Localize o plugin que você acabou de atualizar da sua lista e clique em Ativar.
12. 1 - Vulnerabilidades de Software
• Atualização de Temas
• Para atualizar temas manualmente no WordPress:
• Conecte-se ao seu site usando FTP e vá para: /wp-content/themes/,
depois baixe o arquivo do tema atual para o seu computador.
• Visite o site do tema para baixar a última versão do tema e salvá-la na sua
máquina local - você terá duas cópias da pasta do tema.
• Copie quaisquer personalizações e mudanças de códigos do seu tema
antigo e adicione-os aos novos arquivos do tema.
• Baixe a última versão do diretório do tema, complete com as
personalizações para o WordPress usando FTP.
13. 2 - Controle de Acesso
• Redução do risco:
• Senhas fortes e exclusivas;
• Restrição dos privilégios dos usuários
• Autenticação 2FA ou multi-fator
• Limitação das sessões dos usuários.
14. 2 - Controle de Acesso
• Admin
• Substitua a conta “admin” padrão:
• Inicie sessão no WordPress como administrador.
• No Painel, selecione Usuários > Adicionar Novo.
• Usando um novo endereço de email, crie uma nova conta com a função Administrador.
• Salve o novo usuário, faça log out e depois reinicie a sessão com sua nova conta de
Administrador.
• No Painel, selecione Usuários > Todos os Usuários.
• Passe seu mouse sobre o nome de usuário admin e selecione Excluir.
• Atribua posts antigos ao novo Administrador da conta.
15. 2 - Controle de Acesso
• Funções & Princípio do Privilégio Mínimo
• Recomendações:
• Crie novas contas de usuários com o nível mínimo de permissão.
• Conceda permissões temporárias e retire o acesso quando não são mais necessário.
• Exclua contas que não estão sendo mais usadas.
• Certifique-se de que a função padrão do usuário seja Assinante:
• Inicie sessão no WordPress como Administrador.
• Verifique se suas permissões de Assinante incluem somente a habilidade de iniciar sessão e
atualizar o perfil
• No Painel, selecione Configurações > Geral.
• Configure a Nova Função Padrão do Usuário para Assinante.
16. 2 - Controle de Acesso
• Senhas
• Senhas fortes devem atender aos seguintes padrões:
• Ao menos 1 caracter em caixa baixa
• Ao menos 1 caracter em caixa alta
• Ao menos 1 dígito
• Ao menos 1 caracter especial
• Ao menos 10 caracteres, com não mais do que dois
caracteres idênticos seguidos
17. 2 - Controle de Acesso
• 2FA / MFA
• Para adicionar 2FA ao WordPress usando o Google Authenticator:
• Baixe e instale o Google Authenticator para o seu iPhone ou Android.
• Instale e ative um pluging de 2FA para o WordPress como miniOrange’s 2FA.
• Selecione miniOrange 2-Factor no menu da esquerda e siga s instruções
• Uma vez obtido seu QR code, abra o Google Authenticator e clique no botão
de Adicionar na parte superior direita da tela.
• Escaneie o QR code mostrado no plugin usando a câmera do seu celular.
• Verifique o código na página do plugin.
18. 2 - Controle de Acesso
• Limite as Tentativas de Login
• Alguns plugins populares fornecem esse recurso:
19. 2 - Controle de Acesso
• Captchas Pré-Login
• Alguns plugins populares que
adicionam um CAPTCHA a sua
página de login do WordPress:
• Captcha.
• Really Simple Captcha
20. 2 - Controle de Acesso
• Restrinja o Acesso a URLs Autenticados
• Se você estiver usando um WAF, como o
Firewall Sucuri, pode restringir o acesso a
essas URLs no painel Sucuri, sem ter que
mexer nos arquivos .htaccess.
21. • Defesa em Profundidade
3 - Segurança Pró-ativa para WordPress
22. 3 - Segurança Pró-ativa para WordPress
• Conexões SFTP/SSH
23. 3 - Segurança Pró-ativa para WordPress
• Backups
• 4 requisitos:
• Fora do Site
• Automatização
• Redundância
• Testados & Funcionando
24. 3 - Segurança Pró-ativa para WordPress
• Monitoramento de Integridade
25. 3 - Segurança Pró-ativa para WordPress
• Auditoria / Alertas
• Registro de logs e aviso de ações:
• Sucessos e falhas de autenticação do usuário
• Criação/remoção de usuários
• Uploads de arquivos
• Publicação de post e de página
• Modificação/ativação de widget
• Instalação de plugin
• Modificações no tema
• Modificações nas configurações
26. 3 - Segurança Pró-ativa para WordPress
• WAF – Firewall de Sites