SlideShare uma empresa Scribd logo

Como melhorar a segurança do seu site WordPress

Transferir como PPTX, PDF
Sucuri
Sucuri

Apresentação de um guia simples e prático para aumentar a segurança dos sites WordPress. https://sucuri.net/pt/guias/seguranca-para-wordpress

Tecnologia
1 de 38
Juliana Lewis julianadflewis Especialista em Marketing da Sucuri juliana@sucuri.net
Entender que há riscos de segurança para seu site WordPress Abordar as formas de cuidar da segurança do seu site WordPress Qual o objetivo desta palestra?
• Donos de sites WordPress • Desenvolvedores freelancers que trabalham com WordPress • Agências web que oferecem serviços de manutenção de sites • Hosts • Fornecedores de serviços gerenciados para WordPress • Qualquer pessoa que seja responsável por um site WordPress Quem deve se preocupar com a segurança de sites WordPress?
Por que a Segurança do seu Site é Importante? Negócio Técnico Marca Econômico Blacklist de Sites Impactos no SEO Problemas para o Visitante
Como melhorar a segurança do meu site? • Técnicas de segurança básicas • Diminuir o risco do site ser comprometido
1 - Vulnerabilidades de Software
1 - Vulnerabilidades de Software • Atualizações do WordPress: • Quando uma atualização é disponibilizada, você é notificado no menu: Painel > Atualizações • Para configurar atualizações automáticas no WordPress: • Inicie sessão no seu servidor via SFTP ou SSH. • Localize o arquivo wp-config.php, que geralmente se encontra no arquivo raiz public_html. • Adicione este snippet ao arquivo: define( 'WP_AUTO_UPDATE_CORE', true );
1 - Vulnerabilidades de Software • Avalie a Segurança dos seus Plugins: • O plugin ou o tema possui uma ampla base de instalação? • Há muitas revisões de usuários, a média de avaliação é alta? • Os desenvolvedores estão fornecendo suporte a seus plugins ativamente? Eles enviam atualizações e patches de segurança? • Há termos de serviço e política de privacidade? • Há alguma página de contato? • Remova Plugins & Temas Não Usados
1 - Vulnerabilidades de Software • Atualização de Plugins • Para aplicar atualizações manualmente para plugins no WordPress: • Verifique a compatibilidade entre o plugin e sua versão atual do WordPress. • Baixe a última versão do plugin a partir de uma fonte oficial e salve a versão no seu computador. • Busque instruções de atualização oficiais do desenvolvedor ou revendedor do plugin. Se não houver instruções: • Inicie sessão no seu servidor via SFTP ou SSH.
1 - Vulnerabilidades de Software • Navegue para: /wp-content/plugins/ e baixe essa pasta para o seu computador para servir como backup. • Localize o diretório do plugin que você quer atualizar e delete-o do FTP. • Atualize a última versão para o mesmo local. • Inicie a sessão no WordPress como admin e clique em Painel > Plugins. • Localize o plugin que você acabou de atualizar da sua lista e clique em Ativar.
1 - Vulnerabilidades de Software • Atualização de Temas • Para atualizar temas manualmente no WordPress: • Conecte-se ao seu site usando FTP e vá para: /wp-content/themes/, depois baixe o arquivo do tema atual para o seu computador. • Visite o site do tema para baixar a última versão do tema e salvá-la na sua máquina local - você terá duas cópias da pasta do tema. • Copie quaisquer personalizações e mudanças de códigos do seu tema antigo e adicione-os aos novos arquivos do tema. • Baixe a última versão do diretório do tema, complete com as personalizações para o WordPress usando FTP.
2 - Controle de Acesso • Redução do risco: • Senhas fortes e exclusivas; • Restrição dos privilégios dos usuários • Autenticação 2FA ou multi-fator • Limitação das sessões dos usuários.
2 - Controle de Acesso • Admin • Substitua a conta “admin” padrão: • Inicie sessão no WordPress como administrador. • No Painel, selecione Usuários > Adicionar Novo. • Usando um novo endereço de email, crie uma nova conta com a função Administrador. • Salve o novo usuário, faça log out e depois reinicie a sessão com sua nova conta de Administrador. • No Painel, selecione Usuários > Todos os Usuários. • Passe seu mouse sobre o nome de usuário admin e selecione Excluir. • Atribua posts antigos ao novo Administrador da conta.
2 - Controle de Acesso • Funções & Princípio do Privilégio Mínimo • Recomendações: • Crie novas contas de usuários com o nível mínimo de permissão. • Conceda permissões temporárias e retire o acesso quando não são mais necessário. • Exclua contas que não estão sendo mais usadas. • Certifique-se de que a função padrão do usuário seja Assinante: • Inicie sessão no WordPress como Administrador. • Verifique se suas permissões de Assinante incluem somente a habilidade de iniciar sessão e atualizar o perfil • No Painel, selecione Configurações > Geral. • Configure a Nova Função Padrão do Usuário para Assinante.
2 - Controle de Acesso • Senhas • Senhas fortes devem atender aos seguintes padrões: • Ao menos 1 caracter em caixa baixa • Ao menos 1 caracter em caixa alta • Ao menos 1 dígito • Ao menos 1 caracter especial • Ao menos 10 caracteres, com não mais do que dois caracteres idênticos seguidos
2 - Controle de Acesso • 2FA / MFA • Para adicionar 2FA ao WordPress usando o Google Authenticator: • Baixe e instale o Google Authenticator para o seu iPhone ou Android. • Instale e ative um pluging de 2FA para o WordPress como miniOrange’s 2FA. • Selecione miniOrange 2-Factor no menu da esquerda e siga s instruções • Uma vez obtido seu QR code, abra o Google Authenticator e clique no botão de Adicionar na parte superior direita da tela. • Escaneie o QR code mostrado no plugin usando a câmera do seu celular. • Verifique o código na página do plugin.
2 - Controle de Acesso • Limite as Tentativas de Login • Alguns plugins populares fornecem esse recurso:
2 - Controle de Acesso • Captchas Pré-Login • Alguns plugins populares que adicionam um CAPTCHA a sua página de login do WordPress: • Captcha. • Really Simple Captcha
2 - Controle de Acesso • Restrinja o Acesso a URLs Autenticados • Se você estiver usando um WAF, como o Firewall Sucuri, pode restringir o acesso a essas URLs no painel Sucuri, sem ter que mexer nos arquivos .htaccess.
• Defesa em Profundidade 3 - Segurança Pró-ativa para WordPress
3 - Segurança Pró-ativa para WordPress • Conexões SFTP/SSH
3 - Segurança Pró-ativa para WordPress • Backups • 4 requisitos: • Fora do Site • Automatização • Redundância • Testados & Funcionando
3 - Segurança Pró-ativa para WordPress • Monitoramento de Integridade
3 - Segurança Pró-ativa para WordPress • Auditoria / Alertas • Registro de logs e aviso de ações: • Sucessos e falhas de autenticação do usuário • Criação/remoção de usuários • Uploads de arquivos • Publicação de post e de página • Modificação/ativação de widget • Instalação de plugin • Modificações no tema • Modificações nas configurações
3 - Segurança Pró-ativa para WordPress • WAF – Firewall de Sites
Tenha um Plano Quadro Básico da Segurança de Sites
IDENTIFICAÇÃO PROTEÇÃO DETECÇÃO RESPOSTA RECUPERAÇÃO
IDENTIFICAÇÃO PROTEÇÃO DETECÇÃO RESPOSTA RECUPERAÇÃO
• • • Controle de Acesso IDENTIFICAÇÃO PROTEÇÃO DETECÇÃO RESPOSTA RECUPERAÇÃO
• • • Hospedagem • • • Controle de Acesso IDENTIFICAÇÃO PROTEÇÃO DETECÇÃO RESPOSTA RECUPERAÇÃO
• • • Hospedagem • • • • Vulnerabilidades de Software • • • Controle de Acesso IDENTIFICAÇÃO PROTEÇÃO DETECÇÃO RESPOSTA RECUPERAÇÃO
• • • • • • IDENTIFICAÇÃO PROTEÇÃO DETECÇÃO RESPOSTA RECUPERAÇÃO
• • • • • • • IDENTIFICAÇÃO PROTEÇÃO DETECÇÃO RESPOSTA RECUPERAÇÃO
• • • IDENTIFICAÇÃO PROTEÇÃO DETECÇÃO RESPOSTA RECUPERAÇÃO
Plataforma de Segurança de Sites da Sucuri
Referências e Links • https://sucuri.net/pt/guias/seguranca-para-wordpress.php • https://sucuri.net/pt/firewall-de-sites/ • https://blog.sucuri.net/portugues/2015/04/como-criar-uma-estrategia-de-backup-de-sites- 2.html • https://blog.sucuri.net/portugues/2016/10/explicando-a-defesa-em-profundidade-na- seguranca-de-sites.html • https://blog.sucuri.net/portugues/2017/04/o-principio-privilegio-minimo.html • https://blog.sucuri.net/portugues/2017/11/por-que-os-hackers-atacam-sites- pequenos.html
Obrigada! Juliana Lewis @julianadflewis Imagens do: AJ Syed Ali @designimation02

Recomendados

Wordpress e suas funções
Wordpress e suas funçõesWordpress e suas funções
Wordpress e suas funçõesDaniel Marcos
 
Blindando aplicações com CMS Joomla!
Blindando aplicações com CMS Joomla!Blindando aplicações com CMS Joomla!
Blindando aplicações com CMS Joomla!Júlio Coutinho
 
Segurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerceSegurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerceThauã Cícero Santos Silva
 
Wordpress basico
Wordpress basicoWordpress basico
Wordpress basicoPaulo Henrique
 
Como criar um blog - Usando o wordpress no seu próprio domínio
Como criar um blog - Usando o wordpress no seu próprio domínioComo criar um blog - Usando o wordpress no seu próprio domínio
Como criar um blog - Usando o wordpress no seu próprio domínioBeto Tercette
 
Wordpress multisite
Wordpress multisiteWordpress multisite
Wordpress multisiteRicardo Correia
 
Curso Wordpress para iniciantes
Curso Wordpress para iniciantesCurso Wordpress para iniciantes
Curso Wordpress para iniciantesMultimidia e Arte
 
WordPress - Segurança, Performance e Optimização
WordPress - Segurança, Performance e OptimizaçãoWordPress - Segurança, Performance e Optimização
WordPress - Segurança, Performance e Optimizaçãowebtugahosting
 

Recomendados

Wordpress e suas funções
Wordpress e suas funçõesWordpress e suas funções
Wordpress e suas funçõesDaniel Marcos
 
Blindando aplicações com CMS Joomla!
Blindando aplicações com CMS Joomla!Blindando aplicações com CMS Joomla!
Blindando aplicações com CMS Joomla!Júlio Coutinho
 
Segurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerceSegurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerceThauã Cícero Santos Silva
 
Wordpress basico
Wordpress basicoWordpress basico
Wordpress basicoPaulo Henrique
 
Como criar um blog - Usando o wordpress no seu próprio domínio
Como criar um blog - Usando o wordpress no seu próprio domínioComo criar um blog - Usando o wordpress no seu próprio domínio
Como criar um blog - Usando o wordpress no seu próprio domínioBeto Tercette
 
Wordpress multisite
Wordpress multisiteWordpress multisite
Wordpress multisiteRicardo Correia
 
Curso Wordpress para iniciantes
Curso Wordpress para iniciantesCurso Wordpress para iniciantes
Curso Wordpress para iniciantesMultimidia e Arte
 
WordPress - Segurança, Performance e Optimização
WordPress - Segurança, Performance e OptimizaçãoWordPress - Segurança, Performance e Optimização
WordPress - Segurança, Performance e Optimizaçãowebtugahosting
 
Como Limpar Seu Site WordPress
Como Limpar Seu Site WordPressComo Limpar Seu Site WordPress
Como Limpar Seu Site WordPressSucuri
 
Top Plugins de Segurança para WordPress
Top Plugins de Segurança para WordPressTop Plugins de Segurança para WordPress
Top Plugins de Segurança para WordPressTales Augusto
 
Wordpress101
Wordpress101Wordpress101
Wordpress101Ricardo Coelho
 
Wordpress - Além dos blogs
Wordpress - Além dos blogsWordpress - Além dos blogs
Wordpress - Além dos blogsJoão Marcos Silva
 
Walker Leite apresenta usando o WordPress como backend de aplicação
Walker Leite apresenta usando o WordPress como backend de aplicaçãoWalker Leite apresenta usando o WordPress como backend de aplicação
Walker Leite apresenta usando o WordPress como backend de aplicaçãoWordCamp Floripa
 
Apostila Wordpress
Apostila WordpressApostila Wordpress
Apostila Wordpressgabrielaenathy
 
Minicurso FEAPA - WordPress: Plataforma para criação de sites
Minicurso FEAPA - WordPress: Plataforma para criação de sitesMinicurso FEAPA - WordPress: Plataforma para criação de sites
Minicurso FEAPA - WordPress: Plataforma para criação de sitesJosé Stélio Malcher Jr.
 
Login de usuários: podemos fazer algo melhor que usar senhas ou serviços cent...
Login de usuários: podemos fazer algo melhor que usar senhas ou serviços cent...Login de usuários: podemos fazer algo melhor que usar senhas ou serviços cent...
Login de usuários: podemos fazer algo melhor que usar senhas ou serviços cent...Francois Marier
 
Aprendendo a criar plugins para o Wordpress - Richard Barros
Aprendendo a criar plugins para o Wordpress - Richard BarrosAprendendo a criar plugins para o Wordpress - Richard Barros
Aprendendo a criar plugins para o Wordpress - Richard BarrosRichard Barros
 
Leia Me Do Dreamweaver C5
Leia Me Do Dreamweaver C5Leia Me Do Dreamweaver C5
Leia Me Do Dreamweaver C5diego mauricio choque rodriguez
 
Apresentação "O CMS Seguro"
Apresentação "O CMS Seguro"Apresentação "O CMS Seguro"
Apresentação "O CMS Seguro"ISCTE
 
WordPress
WordPressWordPress
WordPressValério Souza
 
Como manter o WordPress seguro
Como manter o WordPress seguroComo manter o WordPress seguro
Como manter o WordPress seguroRudá Almeida
 
WordPress Braga Meetup - Segurança, Performance e Optimização
WordPress Braga Meetup - Segurança, Performance e OptimizaçãoWordPress Braga Meetup - Segurança, Performance e Optimização
WordPress Braga Meetup - Segurança, Performance e OptimizaçãoTeotonio Leiras
 
BITS | BrasilCMS | wordpress
BITS | BrasilCMS | wordpressBITS | BrasilCMS | wordpress
BITS | BrasilCMS | wordpressJackson F. de A. Mafra
 
Treinamento neteye-v2-6
Treinamento neteye-v2-6Treinamento neteye-v2-6
Treinamento neteye-v2-6DeServ - Tecnologia e Servços
 
Vale Security Conference - 2011 - 6 - Thiago Bordini
Vale Security Conference - 2011 - 6 - Thiago BordiniVale Security Conference - 2011 - 6 - Thiago Bordini
Vale Security Conference - 2011 - 6 - Thiago BordiniVale Security Conference
 
#MINI-CURSO - ModSecurity: Servidor Web Apache com um Módulo de Segurança
#MINI-CURSO - ModSecurity: Servidor Web Apache com um Módulo de Segurança#MINI-CURSO - ModSecurity: Servidor Web Apache com um Módulo de Segurança
#MINI-CURSO - ModSecurity: Servidor Web Apache com um Módulo de SegurançaPaulo Henrique
 
Segurança da informação palestra wordcamp sp 2016
Segurança da informação palestra wordcamp sp 2016Segurança da informação palestra wordcamp sp 2016
Segurança da informação palestra wordcamp sp 2016Thauã Cícero Santos Silva
 
Como criar um plugin sem ser desenvolvedor
Como criar um plugin sem ser desenvolvedorComo criar um plugin sem ser desenvolvedor
Como criar um plugin sem ser desenvolvedorMarcos Alexandre
 
Logs: Understanding Them to Better Manage Your WordPress Site
Logs: Understanding Them to Better Manage Your WordPress SiteLogs: Understanding Them to Better Manage Your WordPress Site
Logs: Understanding Them to Better Manage Your WordPress SiteSucuri
 
Webinar: Personal Online Privacy - Sucuri Security
Webinar: Personal Online Privacy - Sucuri SecurityWebinar: Personal Online Privacy - Sucuri Security
Webinar: Personal Online Privacy - Sucuri SecuritySucuri
 

Mais conteúdo relacionado

Semelhante a Como melhorar a segurança do seu site WordPress

Como Limpar Seu Site WordPress
Como Limpar Seu Site WordPressComo Limpar Seu Site WordPress
Como Limpar Seu Site WordPressSucuri
 
Top Plugins de Segurança para WordPress
Top Plugins de Segurança para WordPressTop Plugins de Segurança para WordPress
Top Plugins de Segurança para WordPressTales Augusto
 
Walker Leite apresenta usando o WordPress como backend de aplicação
Walker Leite apresenta usando o WordPress como backend de aplicaçãoWalker Leite apresenta usando o WordPress como backend de aplicação
Walker Leite apresenta usando o WordPress como backend de aplicaçãoWordCamp Floripa
 
Minicurso FEAPA - WordPress: Plataforma para criação de sites
Minicurso FEAPA - WordPress: Plataforma para criação de sitesMinicurso FEAPA - WordPress: Plataforma para criação de sites
Minicurso FEAPA - WordPress: Plataforma para criação de sitesJosé Stélio Malcher Jr.
 
Login de usuários: podemos fazer algo melhor que usar senhas ou serviços cent...
Login de usuários: podemos fazer algo melhor que usar senhas ou serviços cent...Login de usuários: podemos fazer algo melhor que usar senhas ou serviços cent...
Login de usuários: podemos fazer algo melhor que usar senhas ou serviços cent...Francois Marier
 
Aprendendo a criar plugins para o Wordpress - Richard Barros
Aprendendo a criar plugins para o Wordpress - Richard BarrosAprendendo a criar plugins para o Wordpress - Richard Barros
Aprendendo a criar plugins para o Wordpress - Richard BarrosRichard Barros
 
Apresentação "O CMS Seguro"
Apresentação "O CMS Seguro"Apresentação "O CMS Seguro"
Apresentação "O CMS Seguro"ISCTE
 
Como manter o WordPress seguro
Como manter o WordPress seguroComo manter o WordPress seguro
Como manter o WordPress seguroRudá Almeida
 
WordPress Braga Meetup - Segurança, Performance e Optimização
WordPress Braga Meetup - Segurança, Performance e OptimizaçãoWordPress Braga Meetup - Segurança, Performance e Optimização
WordPress Braga Meetup - Segurança, Performance e OptimizaçãoTeotonio Leiras
 
Vale Security Conference - 2011 - 6 - Thiago Bordini
Vale Security Conference - 2011 - 6 - Thiago BordiniVale Security Conference - 2011 - 6 - Thiago Bordini
Vale Security Conference - 2011 - 6 - Thiago BordiniVale Security Conference
 
#MINI-CURSO - ModSecurity: Servidor Web Apache com um Módulo de Segurança
#MINI-CURSO - ModSecurity: Servidor Web Apache com um Módulo de Segurança#MINI-CURSO - ModSecurity: Servidor Web Apache com um Módulo de Segurança
#MINI-CURSO - ModSecurity: Servidor Web Apache com um Módulo de SegurançaPaulo Henrique
 
Segurança da informação palestra wordcamp sp 2016
Segurança da informação palestra wordcamp sp 2016Segurança da informação palestra wordcamp sp 2016
Segurança da informação palestra wordcamp sp 2016Thauã Cícero Santos Silva
 
Como criar um plugin sem ser desenvolvedor
Como criar um plugin sem ser desenvolvedorComo criar um plugin sem ser desenvolvedor
Como criar um plugin sem ser desenvolvedorMarcos Alexandre
 

Semelhante a Como melhorar a segurança do seu site WordPress (20)

Como Limpar Seu Site WordPress
Como Limpar Seu Site WordPressComo Limpar Seu Site WordPress
Como Limpar Seu Site WordPress
 
Top Plugins de Segurança para WordPress
Top Plugins de Segurança para WordPressTop Plugins de Segurança para WordPress
Top Plugins de Segurança para WordPress
 
Wordpress101
Wordpress101Wordpress101
Wordpress101
 
Wordpress - Além dos blogs
Wordpress - Além dos blogsWordpress - Além dos blogs
Wordpress - Além dos blogs
 
Walker Leite apresenta usando o WordPress como backend de aplicação
Walker Leite apresenta usando o WordPress como backend de aplicaçãoWalker Leite apresenta usando o WordPress como backend de aplicação
Walker Leite apresenta usando o WordPress como backend de aplicação
 
Apostila Wordpress
Apostila WordpressApostila Wordpress
Apostila Wordpress
 
Minicurso FEAPA - WordPress: Plataforma para criação de sites
Minicurso FEAPA - WordPress: Plataforma para criação de sitesMinicurso FEAPA - WordPress: Plataforma para criação de sites
Minicurso FEAPA - WordPress: Plataforma para criação de sites
 
Login de usuários: podemos fazer algo melhor que usar senhas ou serviços cent...
Login de usuários: podemos fazer algo melhor que usar senhas ou serviços cent...Login de usuários: podemos fazer algo melhor que usar senhas ou serviços cent...
Login de usuários: podemos fazer algo melhor que usar senhas ou serviços cent...
 
Aprendendo a criar plugins para o Wordpress - Richard Barros
Aprendendo a criar plugins para o Wordpress - Richard BarrosAprendendo a criar plugins para o Wordpress - Richard Barros
Aprendendo a criar plugins para o Wordpress - Richard Barros
 
Leia Me Do Dreamweaver C5
Leia Me Do Dreamweaver C5Leia Me Do Dreamweaver C5
Leia Me Do Dreamweaver C5
 
Apresentação "O CMS Seguro"
Apresentação "O CMS Seguro"Apresentação "O CMS Seguro"
Apresentação "O CMS Seguro"
 
WordPress
WordPressWordPress
WordPress
 
Como manter o WordPress seguro
Como manter o WordPress seguroComo manter o WordPress seguro
Como manter o WordPress seguro
 
WordPress Braga Meetup - Segurança, Performance e Optimização
WordPress Braga Meetup - Segurança, Performance e OptimizaçãoWordPress Braga Meetup - Segurança, Performance e Optimização
WordPress Braga Meetup - Segurança, Performance e Optimização
 
BITS | BrasilCMS | wordpress
BITS | BrasilCMS | wordpressBITS | BrasilCMS | wordpress
BITS | BrasilCMS | wordpress
 
Treinamento neteye-v2-6
Treinamento neteye-v2-6Treinamento neteye-v2-6
Treinamento neteye-v2-6
 
Vale Security Conference - 2011 - 6 - Thiago Bordini
Vale Security Conference - 2011 - 6 - Thiago BordiniVale Security Conference - 2011 - 6 - Thiago Bordini
Vale Security Conference - 2011 - 6 - Thiago Bordini
 
#MINI-CURSO - ModSecurity: Servidor Web Apache com um Módulo de Segurança
#MINI-CURSO - ModSecurity: Servidor Web Apache com um Módulo de Segurança#MINI-CURSO - ModSecurity: Servidor Web Apache com um Módulo de Segurança
#MINI-CURSO - ModSecurity: Servidor Web Apache com um Módulo de Segurança
 
Segurança da informação palestra wordcamp sp 2016
Segurança da informação palestra wordcamp sp 2016Segurança da informação palestra wordcamp sp 2016
Segurança da informação palestra wordcamp sp 2016
 
Como criar um plugin sem ser desenvolvedor
Como criar um plugin sem ser desenvolvedorComo criar um plugin sem ser desenvolvedor
Como criar um plugin sem ser desenvolvedor
 

Mais de Sucuri

Logs: Understanding Them to Better Manage Your WordPress Site
Logs: Understanding Them to Better Manage Your WordPress SiteLogs: Understanding Them to Better Manage Your WordPress Site
Logs: Understanding Them to Better Manage Your WordPress SiteSucuri
 
Webinar: Personal Online Privacy - Sucuri Security
Webinar: Personal Online Privacy - Sucuri SecurityWebinar: Personal Online Privacy - Sucuri Security
Webinar: Personal Online Privacy - Sucuri SecuritySucuri
 
Why Do Hackers Hack?
Why Do Hackers Hack?Why Do Hackers Hack?
Why Do Hackers Hack?Sucuri
 
What Are the Most Common Types of Hacks?
What Are the Most Common Types of Hacks?What Are the Most Common Types of Hacks?
What Are the Most Common Types of Hacks?Sucuri
 
Steps to Keep Your Site Clean
Steps to Keep Your Site CleanSteps to Keep Your Site Clean
Steps to Keep Your Site CleanSucuri
 
2018 Hacked Website Trends
2018 Hacked Website Trends2018 Hacked Website Trends
2018 Hacked Website TrendsSucuri
 
Sucuri Webinar: What is SEO Spam and How to Fight It
Sucuri Webinar: What is SEO Spam and How to Fight ItSucuri Webinar: What is SEO Spam and How to Fight It
Sucuri Webinar: What is SEO Spam and How to Fight ItSucuri
 
Sucuri Webinar: How To Know For Sure You Can Trust A Plugin
Sucuri Webinar: How To Know For Sure You Can Trust A PluginSucuri Webinar: How To Know For Sure You Can Trust A Plugin
Sucuri Webinar: How To Know For Sure You Can Trust A PluginSucuri
 
Sucuri Webinar: Tis the Season for Credit Card Scraping and Malware Trends
Sucuri Webinar: Tis the Season for Credit Card Scraping and Malware Trends Sucuri Webinar: Tis the Season for Credit Card Scraping and Malware Trends
Sucuri Webinar: Tis the Season for Credit Card Scraping and Malware Trends Sucuri
 
Sucuri Webinar: WAF (Firewall) and CDN Feature Benefit Guide
Sucuri Webinar: WAF (Firewall) and CDN Feature Benefit GuideSucuri Webinar: WAF (Firewall) and CDN Feature Benefit Guide
Sucuri Webinar: WAF (Firewall) and CDN Feature Benefit GuideSucuri
 
Sucuri Webinar: Leveraging Sucuri's API
Sucuri Webinar: Leveraging Sucuri's APISucuri Webinar: Leveraging Sucuri's API
Sucuri Webinar: Leveraging Sucuri's APISucuri
 
Sucuri Webinar: Website Security Primer for Digital Marketers
Sucuri Webinar: Website Security Primer for Digital MarketersSucuri Webinar: Website Security Primer for Digital Marketers
Sucuri Webinar: Website Security Primer for Digital MarketersSucuri
 
Sucuri Webinar: Sucuri Introduces the Sales Enablement Department
Sucuri Webinar: Sucuri Introduces the Sales Enablement DepartmentSucuri Webinar: Sucuri Introduces the Sales Enablement Department
Sucuri Webinar: Sucuri Introduces the Sales Enablement DepartmentSucuri
 
Sucuri Webinar: How Caching Options Can Impact Your Website Speed
Sucuri Webinar: How Caching Options Can Impact Your Website SpeedSucuri Webinar: How Caching Options Can Impact Your Website Speed
Sucuri Webinar: How Caching Options Can Impact Your Website SpeedSucuri
 
Sucuri Webinar: Simple Steps To Secure Your Online Store
Sucuri Webinar: Simple Steps To Secure Your Online StoreSucuri Webinar: Simple Steps To Secure Your Online Store
Sucuri Webinar: Simple Steps To Secure Your Online StoreSucuri
 
Sucuri Webinar: Getting Started with Sucuri
Sucuri Webinar: Getting Started with SucuriSucuri Webinar: Getting Started with Sucuri
Sucuri Webinar: Getting Started with SucuriSucuri
 
Sucuri Webinar: Is SSL enough to secure your website?
Sucuri Webinar: Is SSL enough to secure your website?Sucuri Webinar: Is SSL enough to secure your website?
Sucuri Webinar: Is SSL enough to secure your website?Sucuri
 
Sucuri Webinar: Preventing Cross-Site Contamination for Beginners
Sucuri Webinar: Preventing Cross-Site Contamination for BeginnersSucuri Webinar: Preventing Cross-Site Contamination for Beginners
Sucuri Webinar: Preventing Cross-Site Contamination for BeginnersSucuri
 
Webinar: CWAF for Mid Market/Enterprise Organizations
Webinar: CWAF for Mid Market/Enterprise OrganizationsWebinar: CWAF for Mid Market/Enterprise Organizations
Webinar: CWAF for Mid Market/Enterprise OrganizationsSucuri
 
Webinar: eCommerce Compliance - PCI meets GDPR
Webinar: eCommerce Compliance - PCI meets GDPRWebinar: eCommerce Compliance - PCI meets GDPR
Webinar: eCommerce Compliance - PCI meets GDPRSucuri
 

Mais de Sucuri (20)

Logs: Understanding Them to Better Manage Your WordPress Site
Logs: Understanding Them to Better Manage Your WordPress SiteLogs: Understanding Them to Better Manage Your WordPress Site
Logs: Understanding Them to Better Manage Your WordPress Site
 
Webinar: Personal Online Privacy - Sucuri Security
Webinar: Personal Online Privacy - Sucuri SecurityWebinar: Personal Online Privacy - Sucuri Security
Webinar: Personal Online Privacy - Sucuri Security
 
Why Do Hackers Hack?
Why Do Hackers Hack?Why Do Hackers Hack?
Why Do Hackers Hack?
 
What Are the Most Common Types of Hacks?
What Are the Most Common Types of Hacks?What Are the Most Common Types of Hacks?
What Are the Most Common Types of Hacks?
 
Steps to Keep Your Site Clean
Steps to Keep Your Site CleanSteps to Keep Your Site Clean
Steps to Keep Your Site Clean
 
2018 Hacked Website Trends
2018 Hacked Website Trends2018 Hacked Website Trends
2018 Hacked Website Trends
 
Sucuri Webinar: What is SEO Spam and How to Fight It
Sucuri Webinar: What is SEO Spam and How to Fight ItSucuri Webinar: What is SEO Spam and How to Fight It
Sucuri Webinar: What is SEO Spam and How to Fight It
 
Sucuri Webinar: How To Know For Sure You Can Trust A Plugin
Sucuri Webinar: How To Know For Sure You Can Trust A PluginSucuri Webinar: How To Know For Sure You Can Trust A Plugin
Sucuri Webinar: How To Know For Sure You Can Trust A Plugin
 
Sucuri Webinar: Tis the Season for Credit Card Scraping and Malware Trends
Sucuri Webinar: Tis the Season for Credit Card Scraping and Malware Trends Sucuri Webinar: Tis the Season for Credit Card Scraping and Malware Trends
Sucuri Webinar: Tis the Season for Credit Card Scraping and Malware Trends
 
Sucuri Webinar: WAF (Firewall) and CDN Feature Benefit Guide
Sucuri Webinar: WAF (Firewall) and CDN Feature Benefit GuideSucuri Webinar: WAF (Firewall) and CDN Feature Benefit Guide
Sucuri Webinar: WAF (Firewall) and CDN Feature Benefit Guide
 
Sucuri Webinar: Leveraging Sucuri's API
Sucuri Webinar: Leveraging Sucuri's APISucuri Webinar: Leveraging Sucuri's API
Sucuri Webinar: Leveraging Sucuri's API
 
Sucuri Webinar: Website Security Primer for Digital Marketers
Sucuri Webinar: Website Security Primer for Digital MarketersSucuri Webinar: Website Security Primer for Digital Marketers
Sucuri Webinar: Website Security Primer for Digital Marketers
 
Sucuri Webinar: Sucuri Introduces the Sales Enablement Department
Sucuri Webinar: Sucuri Introduces the Sales Enablement DepartmentSucuri Webinar: Sucuri Introduces the Sales Enablement Department
Sucuri Webinar: Sucuri Introduces the Sales Enablement Department
 
Sucuri Webinar: How Caching Options Can Impact Your Website Speed
Sucuri Webinar: How Caching Options Can Impact Your Website SpeedSucuri Webinar: How Caching Options Can Impact Your Website Speed
Sucuri Webinar: How Caching Options Can Impact Your Website Speed
 
Sucuri Webinar: Simple Steps To Secure Your Online Store
Sucuri Webinar: Simple Steps To Secure Your Online StoreSucuri Webinar: Simple Steps To Secure Your Online Store
Sucuri Webinar: Simple Steps To Secure Your Online Store
 
Sucuri Webinar: Getting Started with Sucuri
Sucuri Webinar: Getting Started with SucuriSucuri Webinar: Getting Started with Sucuri
Sucuri Webinar: Getting Started with Sucuri
 
Sucuri Webinar: Is SSL enough to secure your website?
Sucuri Webinar: Is SSL enough to secure your website?Sucuri Webinar: Is SSL enough to secure your website?
Sucuri Webinar: Is SSL enough to secure your website?
 
Sucuri Webinar: Preventing Cross-Site Contamination for Beginners
Sucuri Webinar: Preventing Cross-Site Contamination for BeginnersSucuri Webinar: Preventing Cross-Site Contamination for Beginners
Sucuri Webinar: Preventing Cross-Site Contamination for Beginners
 
Webinar: CWAF for Mid Market/Enterprise Organizations
Webinar: CWAF for Mid Market/Enterprise OrganizationsWebinar: CWAF for Mid Market/Enterprise Organizations
Webinar: CWAF for Mid Market/Enterprise Organizations
 
Webinar: eCommerce Compliance - PCI meets GDPR
Webinar: eCommerce Compliance - PCI meets GDPRWebinar: eCommerce Compliance - PCI meets GDPR
Webinar: eCommerce Compliance - PCI meets GDPR
 

Como melhorar a segurança do seu site WordPress

  • 1.
  • 2. Juliana Lewis julianadflewis Especialista em Marketing da Sucuri juliana@sucuri.net
  • 3. Entender que há riscos de segurança para seu site WordPress Abordar as formas de cuidar da segurança do seu site WordPress Qual o objetivo desta palestra?
  • 4. • Donos de sites WordPress • Desenvolvedores freelancers que trabalham com WordPress • Agências web que oferecem serviços de manutenção de sites • Hosts • Fornecedores de serviços gerenciados para WordPress • Qualquer pessoa que seja responsável por um site WordPress Quem deve se preocupar com a segurança de sites WordPress?
  • 5. Por que a Segurança do seu Site é Importante? Negócio Técnico Marca Econômico Blacklist de Sites Impactos no SEO Problemas para o Visitante
  • 6. Como melhorar a segurança do meu site? • Técnicas de segurança básicas • Diminuir o risco do site ser comprometido
  • 7. 1 - Vulnerabilidades de Software
  • 8. 1 - Vulnerabilidades de Software • Atualizações do WordPress: • Quando uma atualização é disponibilizada, você é notificado no menu: Painel > Atualizações • Para configurar atualizações automáticas no WordPress: • Inicie sessão no seu servidor via SFTP ou SSH. • Localize o arquivo wp-config.php, que geralmente se encontra no arquivo raiz public_html. • Adicione este snippet ao arquivo: define( 'WP_AUTO_UPDATE_CORE', true );
  • 9. 1 - Vulnerabilidades de Software • Avalie a Segurança dos seus Plugins: • O plugin ou o tema possui uma ampla base de instalação? • Há muitas revisões de usuários, a média de avaliação é alta? • Os desenvolvedores estão fornecendo suporte a seus plugins ativamente? Eles enviam atualizações e patches de segurança? • Há termos de serviço e política de privacidade? • Há alguma página de contato? • Remova Plugins & Temas Não Usados
  • 10. 1 - Vulnerabilidades de Software • Atualização de Plugins • Para aplicar atualizações manualmente para plugins no WordPress: • Verifique a compatibilidade entre o plugin e sua versão atual do WordPress. • Baixe a última versão do plugin a partir de uma fonte oficial e salve a versão no seu computador. • Busque instruções de atualização oficiais do desenvolvedor ou revendedor do plugin. Se não houver instruções: • Inicie sessão no seu servidor via SFTP ou SSH.
  • 11. 1 - Vulnerabilidades de Software • Navegue para: /wp-content/plugins/ e baixe essa pasta para o seu computador para servir como backup. • Localize o diretório do plugin que você quer atualizar e delete-o do FTP. • Atualize a última versão para o mesmo local. • Inicie a sessão no WordPress como admin e clique em Painel > Plugins. • Localize o plugin que você acabou de atualizar da sua lista e clique em Ativar.
  • 12. 1 - Vulnerabilidades de Software • Atualização de Temas • Para atualizar temas manualmente no WordPress: • Conecte-se ao seu site usando FTP e vá para: /wp-content/themes/, depois baixe o arquivo do tema atual para o seu computador. • Visite o site do tema para baixar a última versão do tema e salvá-la na sua máquina local - você terá duas cópias da pasta do tema. • Copie quaisquer personalizações e mudanças de códigos do seu tema antigo e adicione-os aos novos arquivos do tema. • Baixe a última versão do diretório do tema, complete com as personalizações para o WordPress usando FTP.
  • 13. 2 - Controle de Acesso • Redução do risco: • Senhas fortes e exclusivas; • Restrição dos privilégios dos usuários • Autenticação 2FA ou multi-fator • Limitação das sessões dos usuários.
  • 14. 2 - Controle de Acesso • Admin • Substitua a conta “admin” padrão: • Inicie sessão no WordPress como administrador. • No Painel, selecione Usuários > Adicionar Novo. • Usando um novo endereço de email, crie uma nova conta com a função Administrador. • Salve o novo usuário, faça log out e depois reinicie a sessão com sua nova conta de Administrador. • No Painel, selecione Usuários > Todos os Usuários. • Passe seu mouse sobre o nome de usuário admin e selecione Excluir. • Atribua posts antigos ao novo Administrador da conta.
  • 15. 2 - Controle de Acesso • Funções & Princípio do Privilégio Mínimo • Recomendações: • Crie novas contas de usuários com o nível mínimo de permissão. • Conceda permissões temporárias e retire o acesso quando não são mais necessário. • Exclua contas que não estão sendo mais usadas. • Certifique-se de que a função padrão do usuário seja Assinante: • Inicie sessão no WordPress como Administrador. • Verifique se suas permissões de Assinante incluem somente a habilidade de iniciar sessão e atualizar o perfil • No Painel, selecione Configurações > Geral. • Configure a Nova Função Padrão do Usuário para Assinante.
  • 16. 2 - Controle de Acesso • Senhas • Senhas fortes devem atender aos seguintes padrões: • Ao menos 1 caracter em caixa baixa • Ao menos 1 caracter em caixa alta • Ao menos 1 dígito • Ao menos 1 caracter especial • Ao menos 10 caracteres, com não mais do que dois caracteres idênticos seguidos
  • 17. 2 - Controle de Acesso • 2FA / MFA • Para adicionar 2FA ao WordPress usando o Google Authenticator: • Baixe e instale o Google Authenticator para o seu iPhone ou Android. • Instale e ative um pluging de 2FA para o WordPress como miniOrange’s 2FA. • Selecione miniOrange 2-Factor no menu da esquerda e siga s instruções • Uma vez obtido seu QR code, abra o Google Authenticator e clique no botão de Adicionar na parte superior direita da tela. • Escaneie o QR code mostrado no plugin usando a câmera do seu celular. • Verifique o código na página do plugin.
  • 18. 2 - Controle de Acesso • Limite as Tentativas de Login • Alguns plugins populares fornecem esse recurso:
  • 19. 2 - Controle de Acesso • Captchas Pré-Login • Alguns plugins populares que adicionam um CAPTCHA a sua página de login do WordPress: • Captcha. • Really Simple Captcha
  • 20. 2 - Controle de Acesso • Restrinja o Acesso a URLs Autenticados • Se você estiver usando um WAF, como o Firewall Sucuri, pode restringir o acesso a essas URLs no painel Sucuri, sem ter que mexer nos arquivos .htaccess.
  • 21. • Defesa em Profundidade 3 - Segurança Pró-ativa para WordPress
  • 22. 3 - Segurança Pró-ativa para WordPress • Conexões SFTP/SSH
  • 23. 3 - Segurança Pró-ativa para WordPress • Backups • 4 requisitos: • Fora do Site • Automatização • Redundância • Testados & Funcionando
  • 24. 3 - Segurança Pró-ativa para WordPress • Monitoramento de Integridade
  • 25. 3 - Segurança Pró-ativa para WordPress • Auditoria / Alertas • Registro de logs e aviso de ações: • Sucessos e falhas de autenticação do usuário • Criação/remoção de usuários • Uploads de arquivos • Publicação de post e de página • Modificação/ativação de widget • Instalação de plugin • Modificações no tema • Modificações nas configurações
  • 26. 3 - Segurança Pró-ativa para WordPress • WAF – Firewall de Sites
  • 27. Tenha um Plano Quadro Básico da Segurança de Sites
  • 28. IDENTIFICAÇÃO PROTEÇÃO DETECÇÃO RESPOSTA RECUPERAÇÃO
  • 29. IDENTIFICAÇÃO PROTEÇÃO DETECÇÃO RESPOSTA RECUPERAÇÃO
  • 30. • • • Controle de Acesso IDENTIFICAÇÃO PROTEÇÃO DETECÇÃO RESPOSTA RECUPERAÇÃO
  • 31. • • • Hospedagem • • • Controle de Acesso IDENTIFICAÇÃO PROTEÇÃO DETECÇÃO RESPOSTA RECUPERAÇÃO
  • 32. • • • Hospedagem • • • • Vulnerabilidades de Software • • • Controle de Acesso IDENTIFICAÇÃO PROTEÇÃO DETECÇÃO RESPOSTA RECUPERAÇÃO
  • 36. Plataforma de Segurança de Sites da Sucuri
  • 37. Referências e Links • https://sucuri.net/pt/guias/seguranca-para-wordpress.php • https://sucuri.net/pt/firewall-de-sites/ • https://blog.sucuri.net/portugues/2015/04/como-criar-uma-estrategia-de-backup-de-sites- 2.html • https://blog.sucuri.net/portugues/2016/10/explicando-a-defesa-em-profundidade-na- seguranca-de-sites.html • https://blog.sucuri.net/portugues/2017/04/o-principio-privilegio-minimo.html • https://blog.sucuri.net/portugues/2017/11/por-que-os-hackers-atacam-sites- pequenos.html