O documento fornece orientações sobre como manter um site WordPress seguro, discutindo 6 tópicos principais: 1) atualização constante do WordPress e plugins, 2) segurança da hospedagem, 3) escolha cuidadosa de temas e plugins, 4) uso de senhas fortes e autenticação de dois fatores, 5) avaliação de riscos e vulnerabilidades, e 6) proteção contra malware. O documento enfatiza a importância da atualização e dá dicas práticas para cada uma das áreas.

1. Como manter
o WordPress
seguro
Rudá Almeida
Universidade Federal do Rio de Janeiro
Diretoria de Segurança da Informação e Gestão de TIC

2. Quem sou eu
Rudá Almeida
Integrante da Diretoria de Segurança da
Informação e Governança de TI da UFRJ

3. Quem sou eu
Rudá Almeida
Entusiasta do WordPress e integrante
da comunidade carioca de WordPress

4. Quem sou eu
Rudá Almeida
Já palestrei em Meetups e WordCamps.
Ajudei a organizar eventos no Rio de Janeiro.

5. O que é WordPress?

6. ◎ Ferramenta de Gestão de Conteúdo
◎ Plataforma de publicação
◎ Criado em 2003
◎ Usado em blogs, sites de notícias,
páginas institucionais, portfolio, e-
commerce, plataforma de ensino,
entre inúmeras aplicações.
WordPress

7. ◎ É a ferramenta mais popular do gênero
◎ Presente em 25% da web*
◎ Domina 59% do mercado*
WordPress
* entre os 10 milhões de sites mais visitados em novembro de 2015 (w3techs)

8. O preço da fama
Quanto mais popular,
mais visado
Imagem: OpenClipartVectors

9. “
Basta de 30 a 45 dias para que um site recém-criado,
mesmo sem conteúdo ou audiência, passe a ser alvo
de varreduras maliciosas frequentes.
Tony Perez, sucuri.net
(adaptado)

10. Não importa o tamanho ou a natureza
do seu site: se ele está na internet,
é seguro assumir que ele está sendo
alvo constante de ataques.

11. 10 a 20 mil ataques por minuto

12. Hackers
O que eles querem
Imagem: Freepik

13. O objetivo de um hacker é, na maioria
dos casos, comprometer o seu site e usar
os recursos computacionais do servidor
para fins ilícitos.

14. Consequências

16. ◎ Inclusão em blacklists
◎ Perda de reputação
◎ Perda de recursos
◎ Perda de tempo e dinheiro
◎ Responsabilização por dano a terceiros
Consequências

17. Como ocorrem
as invasões

18. 1. Uso do WordPress desatualizado
2. Brechas de segurança na hospedagem
3. Temas e plugins comprometidos
4. Autenticação
Principais vulnerabilidades
exploradas

19. Como se
proteger
Imagem: Freepik
Combatendo as
vulnerabilidades

20. 1.Atualização
Não use versões antigas!
Imagem: Freepik

21. ◎ Ciclo de lançamento freqüente.
◎ Equipe em tempo integral.
◎ Correções lançadas rapidamente.
◎ Long-term support
Núcleo do WordPress

22. Nunca, jamais deixe o
núcleo desatualizado

23. “
Mais de 73% dos sites* em WordPress estão usando
versões desatualizadas e vulneráveis do core,
contendo brechas de segurança conhecidas.
Sandro Gauci, Enable Security
(adaptado)
* em julho de 2013, de uma amostra de 42 mil sites.

24. A partir da versão 3.7, lançada em outubro de 2013,
o WordPress passou a receber atualizações
automáticas para minor releases do seu núcleo.

25. Para forçar a atualização de mais componentes
// Edite o arquivo wp-config.php
// e adicione as seguintes linhas:
// Para forçar atualização automática
// para qualquer versão do núcleo
define('WP_AUTO_UPDATE_CORE', true);
// Para forçar atualização automática de plugins
add_filter( 'auto_update_plugin', '__return_true' );
// Para forçar atualização automática de temas
add_filter( 'auto_update_theme', '__return_true' );

26. 2.Hospedagem
Ambiente do servidor
Imagem: Flaticon

27. ◎ Usar versões atuais dos serviços
◎ Garantir a integridade dos dados
◎ Detectar atividade de malware
◎ Oferecer isolamento entre os sites
Sua hospedagem precisa:

28. ● Desative protocolos inseguros(SFTP ou SSH em vez de FTP)
● Dê a permissão correta para pastas e arquivos
● Desative a listagem de pastas e arquivos
● Use um prefixo aleatório nas tabelas no banco
● Mova o arquivo wp-config.php uma pasta acima
● Force o uso de SSL no acesso ao painel
Alguns ajustes básicos:

29. ● Desative a edição de arquivos no painel,
inserindo no arquivo wp-config.php a linha
define('DISALLOW_FILE_EDIT',true);
● Restrinja acesso a wp-admin, wp-includes e
wp-config.php
● Use uma senha forte para o usuário MySQL
● Desative acesso remoto e permissões
desnecessárias no banco de dados
● Desative a execução de scripts nas pastas
de upload

30. 3.Temas e
plugins
Imagem: whilhei

31. ● Sempre atualize temas e plugins
● Parou de sair atualização? Pare de usar!
● Não basta desativar, é preciso apagar
● Nunca, jamais use “fontes alternativas”
● Mantenha-se informado sobre vulnerabilidades

32. ● Se possível, analise o código
● Ofereça atualizações frequentes
● Seja desenvolvido por nomes confiáveis
● Baixe sempre do site oficial
Como escolher um plugin

33. 4.Autenticação
Não use senhas fracas!
Imagem: Freepik

34. Desde a versão 4.3, o WordPress força a adoção de senhas fortes

35. por 2 fatores
Imagem: Freepik
4.Autenticação

36. “
Autenticação por dois fatores oferece identificação
através da combinação de dois componentes diferentes:
algo que o usuário sabe, possui ou lhe é inseparável.
Wikipédia
(adaptado)

37. Plugins para autenticação por dois fatores

38. 4.Autenticação
Usuários e permissões
Imagem: WikiMedia

39. ● Não use o username “admin”
● Para postar, use uma conta de autor.
● Não dê acesso de administrador a terceiros.
● Bloqueio de logins incorretos(iThemes Security, WordFence)
● Altere o endereço de login(iThemes Security)
● Remova o alerta no erro de login
Alguns ajustes básicos:

40. 5.Avalie
riscos e vulnerabilidades
Imagem: Freepik

41. ● Acompanhe listas de vulnerabilidades
(NVD, CVE e WPScan)
● Efetue code review de temas e plugins.
● Rastreie alterações em arquivos
(WP Security Scan, Wordfence, iThemes Security)
● Execute varreduras preventivas
● Avalie os impactos de segurança
Vulnerabilidades e riscos:

42. WPScan

43. 6.Malware
O seu computador é seguro?
Imagem: Freepik

44. “
Nenhuma medida de segurança adotada, seja em
relação ao WordPress ou ao servidor, fará a menor
diferença se o seu computador estiver comprometido.
Codex do WordPress
(adaptado)

45. ● Atualize sempre seu sistema operacional.
● Use anti-vírus e anti-malware.
● Não salve a senha do WordPress.
● Use sempre o bom senso.
Segurança começa em casa

46. Como se recuperar?

47. “
A única forma de garantir a segurança de um site
comprometido é restaurar um backup anterior ao
incidente e corrigir as brechas que permitiram o ataque.
Samuel “Otto” Wood, WordPress Core Contributor
(adaptado)

48. Backup
você tem um… certo?
Imagem: OpenIcons

49. ● Incluir arquivos e banco de dados
● Pode ser feito com plugins…
● … ou direto no servidor (ex: cron & rsync)
Backups no WordPress:
WordPress
Backup
WP-DB-Backup

50. Plugins
segurança automatizada
Imagem: Freepik

51. Plugins
WordFence iThemes Security

52. Obrigado!

53. Dúvidas?
Imagem:Bernard Lamailloux

54. ● http://codex.wordpress.org/Hardening_WordPress
● https://blog.sucuri.net/category/wordpress-security
● http://www.wpwhitesecurity.com/wordpress-security/
● https://premium.wpmudev.org/blog/keeping-
wordpress-secure-the-ultimate-guide/
● https://blog.apiki.com/category/wordpressseguro/
● https://rafaelfunchal.github.io/wordpress-security-
checklist/br/items/
Para saber mais: