SlideShare uma empresa Scribd logo
Como manter
o WordPress
seguro
Rudá Almeida
Universidade Federal do Rio de Janeiro
Diretoria de Segurança da Informação e Gestão de TIC
Quem sou eu
Rudá Almeida
Integrante da Diretoria de Segurança da
Informação e Governança de TI da UFRJ
Quem sou eu
Rudá Almeida
Entusiasta do WordPress e integrante
da comunidade carioca de WordPress
Quem sou eu
Rudá Almeida
Já palestrei em Meetups e WordCamps.
Ajudei a organizar eventos no Rio de Janeiro.
O que é WordPress?
◎ Ferramenta de Gestão de Conteúdo
◎ Plataforma de publicação
◎ Criado em 2003
◎ Usado em blogs, sites de notícias,
páginas institucionais, portfolio, e-
commerce, plataforma de ensino,
entre inúmeras aplicações.
WordPress
◎ É a ferramenta mais popular do gênero
◎ Presente em 25% da web*
◎ Domina 59% do mercado*
WordPress
* entre os 10 milhões de sites mais visitados em novembro de 2015 (w3techs)
O preço da fama
Quanto mais popular,
mais visado
Imagem: OpenClipartVectors
“
Basta de 30 a 45 dias para que um site recém-criado,
mesmo sem conteúdo ou audiência, passe a ser alvo
de varreduras maliciosas frequentes.
Tony Perez, sucuri.net
(adaptado)
Não importa o tamanho ou a natureza
do seu site: se ele está na internet,
é seguro assumir que ele está sendo
alvo constante de ataques.
10 a 20 mil ataques por minuto
Hackers
O que eles querem
Imagem: Freepik
O objetivo de um hacker é, na maioria
dos casos, comprometer o seu site e usar
os recursos computacionais do servidor
para fins ilícitos.
Consequências
◎ Inclusão em blacklists
◎ Perda de reputação
◎ Perda de recursos
◎ Perda de tempo e dinheiro
◎ Responsabilização por dano a terceiros
Consequências
Como ocorrem
as invasões
1. Uso do WordPress desatualizado
2. Brechas de segurança na hospedagem
3. Temas e plugins comprometidos
4. Autenticação
Principais vulnerabilidades
exploradas
Como se
proteger
Imagem: Freepik
Combatendo as
vulnerabilidades
1.Atualização
Não use versões antigas!
Imagem: Freepik
◎ Ciclo de lançamento freqüente.
◎ Equipe em tempo integral.
◎ Correções lançadas rapidamente.
◎ Long-term support
Núcleo do WordPress
Nunca, jamais deixe o
núcleo desatualizado
“
Mais de 73% dos sites* em WordPress estão usando
versões desatualizadas e vulneráveis do core,
contendo brechas de segurança conhecidas.
Sandro Gauci, Enable Security
(adaptado)
* em julho de 2013, de uma amostra de 42 mil sites.
A partir da versão 3.7, lançada em outubro de 2013,
o WordPress passou a receber atualizações
automáticas para minor releases do seu núcleo.
Para forçar a atualização de mais componentes
// Edite o arquivo wp-config.php
// e adicione as seguintes linhas:
// Para forçar atualização automática
// para qualquer versão do núcleo
define('WP_AUTO_UPDATE_CORE', true);
// Para forçar atualização automática de plugins
add_filter( 'auto_update_plugin', '__return_true' );
// Para forçar atualização automática de temas
add_filter( 'auto_update_theme', '__return_true' );
2.Hospedagem
Ambiente do servidor
Imagem: Flaticon
◎ Usar versões atuais dos serviços
◎ Garantir a integridade dos dados
◎ Detectar atividade de malware
◎ Oferecer isolamento entre os sites
Sua hospedagem precisa:
● Desative protocolos inseguros(SFTP ou SSH em vez de FTP)
● Dê a permissão correta para pastas e arquivos
● Desative a listagem de pastas e arquivos
● Use um prefixo aleatório nas tabelas no banco
● Mova o arquivo wp-config.php uma pasta acima
● Force o uso de SSL no acesso ao painel
Alguns ajustes básicos:
● Desative a edição de arquivos no painel,
inserindo no arquivo wp-config.php a linha
define('DISALLOW_FILE_EDIT',true);
● Restrinja acesso a wp-admin, wp-includes e
wp-config.php
● Use uma senha forte para o usuário MySQL
● Desative acesso remoto e permissões
desnecessárias no banco de dados
● Desative a execução de scripts nas pastas
de upload
3.Temas e
plugins
Imagem: whilhei
● Sempre atualize temas e plugins
● Parou de sair atualização? Pare de usar!
● Não basta desativar, é preciso apagar
● Nunca, jamais use “fontes alternativas”
● Mantenha-se informado sobre vulnerabilidades
● Se possível, analise o código
● Ofereça atualizações frequentes
● Seja desenvolvido por nomes confiáveis
● Baixe sempre do site oficial
Como escolher um plugin
4.Autenticação
Não use senhas fracas!
Imagem: Freepik
Desde a versão 4.3, o WordPress força a adoção de senhas fortes
por 2 fatores
Imagem: Freepik
4.Autenticação
“
Autenticação por dois fatores oferece identificação
através da combinação de dois componentes diferentes:
algo que o usuário sabe, possui ou lhe é inseparável.
Wikipédia
(adaptado)
Plugins para autenticação por dois fatores
4.Autenticação
Usuários e permissões
Imagem: WikiMedia
● Não use o username “admin”
● Para postar, use uma conta de autor.
● Não dê acesso de administrador a terceiros.
● Bloqueio de logins incorretos(iThemes Security, WordFence)
● Altere o endereço de login(iThemes Security)
● Remova o alerta no erro de login
Alguns ajustes básicos:
5.Avalie
riscos e vulnerabilidades
Imagem: Freepik
● Acompanhe listas de vulnerabilidades
(NVD, CVE e WPScan)
● Efetue code review de temas e plugins.
● Rastreie alterações em arquivos
(WP Security Scan, Wordfence, iThemes Security)
● Execute varreduras preventivas
● Avalie os impactos de segurança
Vulnerabilidades e riscos:
WPScan
6.Malware
O seu computador é seguro?
Imagem: Freepik
“
Nenhuma medida de segurança adotada, seja em
relação ao WordPress ou ao servidor, fará a menor
diferença se o seu computador estiver comprometido.
Codex do WordPress
(adaptado)
● Atualize sempre seu sistema operacional.
● Use anti-vírus e anti-malware.
● Não salve a senha do WordPress.
● Use sempre o bom senso.
Segurança começa em casa
Como se recuperar?
“
A única forma de garantir a segurança de um site
comprometido é restaurar um backup anterior ao
incidente e corrigir as brechas que permitiram o ataque.
Samuel “Otto” Wood, WordPress Core Contributor
(adaptado)
Backup
você tem um… certo?
Imagem: OpenIcons
● Incluir arquivos e banco de dados
● Pode ser feito com plugins…
● … ou direto no servidor (ex: cron & rsync)
Backups no WordPress:
WordPress
Backup
WP-DB-Backup
Plugins
segurança automatizada
Imagem: Freepik
Plugins
WordFence iThemes Security
Obrigado!
Dúvidas?
Imagem:Bernard Lamailloux
● http://codex.wordpress.org/Hardening_WordPress
● https://blog.sucuri.net/category/wordpress-security
● http://www.wpwhitesecurity.com/wordpress-security/
● https://premium.wpmudev.org/blog/keeping-
wordpress-secure-the-ultimate-guide/
● https://blog.apiki.com/category/wordpressseguro/
● https://rafaelfunchal.github.io/wordpress-security-
checklist/br/items/
Para saber mais:

Mais conteúdo relacionado

Destaque

Projetando para WordPress
Projetando para WordPressProjetando para WordPress
Projetando para WordPress
Haste Design
 
Conhecendo o Wordpress
Conhecendo o WordpressConhecendo o Wordpress
Conhecendo o Wordpress
Jose Augusto Carvalho
 
WP WEEKEND 2015 - O word press é seguro. Inseguro é você.
WP WEEKEND 2015 - O word press é seguro. Inseguro é você. WP WEEKEND 2015 - O word press é seguro. Inseguro é você.
WP WEEKEND 2015 - O word press é seguro. Inseguro é você.
Rodrigo Toshiaki Horie
 
Palestra - WordCamp Belo Horizonte 2015 - WordCamp Belo Horizonte 2015 - Hack...
Palestra - WordCamp Belo Horizonte 2015 - WordCamp Belo Horizonte 2015 - Hack...Palestra - WordCamp Belo Horizonte 2015 - WordCamp Belo Horizonte 2015 - Hack...
Palestra - WordCamp Belo Horizonte 2015 - WordCamp Belo Horizonte 2015 - Hack...
As Zone
 
Curso online wordpress aula 1
Curso online wordpress aula 1Curso online wordpress aula 1
Curso online wordpress aula 1
Vasco Marques
 
WordPress para Gestores de Conteúdo - WordCamp BH 2015
WordPress para Gestores de Conteúdo - WordCamp BH 2015WordPress para Gestores de Conteúdo - WordCamp BH 2015
WordPress para Gestores de Conteúdo - WordCamp BH 2015
Nauweb
 
Design para WordPress- Anyssa Ferreira - WordCamp BH 2015
Design para WordPress-  Anyssa Ferreira - WordCamp BH 2015Design para WordPress-  Anyssa Ferreira - WordCamp BH 2015
Design para WordPress- Anyssa Ferreira - WordCamp BH 2015
Anyssa Ferreira
 
Melhorando o desempenho do seu WordPress [WordCamp São Paulo 2015]
Melhorando o desempenho do seu WordPress [WordCamp São Paulo 2015]Melhorando o desempenho do seu WordPress [WordCamp São Paulo 2015]
Melhorando o desempenho do seu WordPress [WordCamp São Paulo 2015]
Tiago Hillebrandt
 

Destaque (8)

Projetando para WordPress
Projetando para WordPressProjetando para WordPress
Projetando para WordPress
 
Conhecendo o Wordpress
Conhecendo o WordpressConhecendo o Wordpress
Conhecendo o Wordpress
 
WP WEEKEND 2015 - O word press é seguro. Inseguro é você.
WP WEEKEND 2015 - O word press é seguro. Inseguro é você. WP WEEKEND 2015 - O word press é seguro. Inseguro é você.
WP WEEKEND 2015 - O word press é seguro. Inseguro é você.
 
Palestra - WordCamp Belo Horizonte 2015 - WordCamp Belo Horizonte 2015 - Hack...
Palestra - WordCamp Belo Horizonte 2015 - WordCamp Belo Horizonte 2015 - Hack...Palestra - WordCamp Belo Horizonte 2015 - WordCamp Belo Horizonte 2015 - Hack...
Palestra - WordCamp Belo Horizonte 2015 - WordCamp Belo Horizonte 2015 - Hack...
 
Curso online wordpress aula 1
Curso online wordpress aula 1Curso online wordpress aula 1
Curso online wordpress aula 1
 
WordPress para Gestores de Conteúdo - WordCamp BH 2015
WordPress para Gestores de Conteúdo - WordCamp BH 2015WordPress para Gestores de Conteúdo - WordCamp BH 2015
WordPress para Gestores de Conteúdo - WordCamp BH 2015
 
Design para WordPress- Anyssa Ferreira - WordCamp BH 2015
Design para WordPress-  Anyssa Ferreira - WordCamp BH 2015Design para WordPress-  Anyssa Ferreira - WordCamp BH 2015
Design para WordPress- Anyssa Ferreira - WordCamp BH 2015
 
Melhorando o desempenho do seu WordPress [WordCamp São Paulo 2015]
Melhorando o desempenho do seu WordPress [WordCamp São Paulo 2015]Melhorando o desempenho do seu WordPress [WordCamp São Paulo 2015]
Melhorando o desempenho do seu WordPress [WordCamp São Paulo 2015]
 

Semelhante a Como manter o WordPress seguro

WordPress - Segurança, Performance e Optimização
WordPress - Segurança, Performance e OptimizaçãoWordPress - Segurança, Performance e Optimização
WordPress - Segurança, Performance e Optimização
webtugahosting
 
WordPress Braga Meetup - Segurança, Performance e Optimização
WordPress Braga Meetup - Segurança, Performance e OptimizaçãoWordPress Braga Meetup - Segurança, Performance e Optimização
WordPress Braga Meetup - Segurança, Performance e Optimização
Teotonio Leiras
 
Top Plugins de Segurança para WordPress
Top Plugins de Segurança para WordPressTop Plugins de Segurança para WordPress
Top Plugins de Segurança para WordPress
Tales Augusto
 
WordCamp Floripa 2021 - Isreal - A proporcionalidade do crescimento em tecnol...
WordCamp Floripa 2021 - Isreal - A proporcionalidade do crescimento em tecnol...WordCamp Floripa 2021 - Isreal - A proporcionalidade do crescimento em tecnol...
WordCamp Floripa 2021 - Isreal - A proporcionalidade do crescimento em tecnol...
WordCamp Floripa
 
Criando Sites Com CMS
Criando Sites Com CMSCriando Sites Com CMS
Criando Sites Com CMS
Claudio Toldo
 
Segurança em Aplicativos Web
Segurança em Aplicativos WebSegurança em Aplicativos Web
Segurança em Aplicativos Web
Sergio Henrique
 
Como Limpar Seu Site WordPress
Como Limpar Seu Site WordPressComo Limpar Seu Site WordPress
Como Limpar Seu Site WordPress
Sucuri
 
Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...
Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...
Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...
As Zone
 
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
Thiago Dieb
 
Apostila internet 18_02_2011_20110218160004
Apostila internet 18_02_2011_20110218160004Apostila internet 18_02_2011_20110218160004
Apostila internet 18_02_2011_20110218160004
marceloeday
 
Blindando o site Joomla!
Blindando o site Joomla!Blindando o site Joomla!
Blindando o site Joomla!
Júlio Coutinho
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
Erick Belluci Tedeschi
 
Analise frameworks php
Analise frameworks phpAnalise frameworks php
Analise frameworks php
Igor Moura
 
Vale Security Conference - 2011 - 6 - Thiago Bordini
Vale Security Conference - 2011 - 6 - Thiago BordiniVale Security Conference - 2011 - 6 - Thiago Bordini
Vale Security Conference - 2011 - 6 - Thiago Bordini
Vale Security Conference
 
O que, por quê e como sais e chaves de segurança wp protegem o marketing polí...
O que, por quê e como sais e chaves de segurança wp protegem o marketing polí...O que, por quê e como sais e chaves de segurança wp protegem o marketing polí...
O que, por quê e como sais e chaves de segurança wp protegem o marketing polí...
Interidade Cursos Online - Consultoria - Mentoria - Produção Digital
 
Desenvolvimento de plugins WordPress
Desenvolvimento de plugins WordPressDesenvolvimento de plugins WordPress
Desenvolvimento de plugins WordPress
Leandrinho Vieira
 
Java security
Java securityJava security
Java security
armeniocardoso
 
Segurança da informação palestra wordcamp sp 2016
Segurança da informação   palestra wordcamp sp 2016Segurança da informação   palestra wordcamp sp 2016
Segurança da informação palestra wordcamp sp 2016
Thauã Cícero Santos Silva
 
Wordpress e suas funções
Wordpress e suas funçõesWordpress e suas funções
Wordpress e suas funções
Daniel Marcos
 
Introdução ao framework CodeIgniter
Introdução ao framework CodeIgniterIntrodução ao framework CodeIgniter
Introdução ao framework CodeIgniter
Anderson Gonçalves
 

Semelhante a Como manter o WordPress seguro (20)

WordPress - Segurança, Performance e Optimização
WordPress - Segurança, Performance e OptimizaçãoWordPress - Segurança, Performance e Optimização
WordPress - Segurança, Performance e Optimização
 
WordPress Braga Meetup - Segurança, Performance e Optimização
WordPress Braga Meetup - Segurança, Performance e OptimizaçãoWordPress Braga Meetup - Segurança, Performance e Optimização
WordPress Braga Meetup - Segurança, Performance e Optimização
 
Top Plugins de Segurança para WordPress
Top Plugins de Segurança para WordPressTop Plugins de Segurança para WordPress
Top Plugins de Segurança para WordPress
 
WordCamp Floripa 2021 - Isreal - A proporcionalidade do crescimento em tecnol...
WordCamp Floripa 2021 - Isreal - A proporcionalidade do crescimento em tecnol...WordCamp Floripa 2021 - Isreal - A proporcionalidade do crescimento em tecnol...
WordCamp Floripa 2021 - Isreal - A proporcionalidade do crescimento em tecnol...
 
Criando Sites Com CMS
Criando Sites Com CMSCriando Sites Com CMS
Criando Sites Com CMS
 
Segurança em Aplicativos Web
Segurança em Aplicativos WebSegurança em Aplicativos Web
Segurança em Aplicativos Web
 
Como Limpar Seu Site WordPress
Como Limpar Seu Site WordPressComo Limpar Seu Site WordPress
Como Limpar Seu Site WordPress
 
Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...
Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...
Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...
 
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
 
Apostila internet 18_02_2011_20110218160004
Apostila internet 18_02_2011_20110218160004Apostila internet 18_02_2011_20110218160004
Apostila internet 18_02_2011_20110218160004
 
Blindando o site Joomla!
Blindando o site Joomla!Blindando o site Joomla!
Blindando o site Joomla!
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
 
Analise frameworks php
Analise frameworks phpAnalise frameworks php
Analise frameworks php
 
Vale Security Conference - 2011 - 6 - Thiago Bordini
Vale Security Conference - 2011 - 6 - Thiago BordiniVale Security Conference - 2011 - 6 - Thiago Bordini
Vale Security Conference - 2011 - 6 - Thiago Bordini
 
O que, por quê e como sais e chaves de segurança wp protegem o marketing polí...
O que, por quê e como sais e chaves de segurança wp protegem o marketing polí...O que, por quê e como sais e chaves de segurança wp protegem o marketing polí...
O que, por quê e como sais e chaves de segurança wp protegem o marketing polí...
 
Desenvolvimento de plugins WordPress
Desenvolvimento de plugins WordPressDesenvolvimento de plugins WordPress
Desenvolvimento de plugins WordPress
 
Java security
Java securityJava security
Java security
 
Segurança da informação palestra wordcamp sp 2016
Segurança da informação   palestra wordcamp sp 2016Segurança da informação   palestra wordcamp sp 2016
Segurança da informação palestra wordcamp sp 2016
 
Wordpress e suas funções
Wordpress e suas funçõesWordpress e suas funções
Wordpress e suas funções
 
Introdução ao framework CodeIgniter
Introdução ao framework CodeIgniterIntrodução ao framework CodeIgniter
Introdução ao framework CodeIgniter
 

Como manter o WordPress seguro

  • 1. Como manter o WordPress seguro Rudá Almeida Universidade Federal do Rio de Janeiro Diretoria de Segurança da Informação e Gestão de TIC
  • 2. Quem sou eu Rudá Almeida Integrante da Diretoria de Segurança da Informação e Governança de TI da UFRJ
  • 3. Quem sou eu Rudá Almeida Entusiasta do WordPress e integrante da comunidade carioca de WordPress
  • 4. Quem sou eu Rudá Almeida Já palestrei em Meetups e WordCamps. Ajudei a organizar eventos no Rio de Janeiro.
  • 5. O que é WordPress?
  • 6. ◎ Ferramenta de Gestão de Conteúdo ◎ Plataforma de publicação ◎ Criado em 2003 ◎ Usado em blogs, sites de notícias, páginas institucionais, portfolio, e- commerce, plataforma de ensino, entre inúmeras aplicações. WordPress
  • 7. ◎ É a ferramenta mais popular do gênero ◎ Presente em 25% da web* ◎ Domina 59% do mercado* WordPress * entre os 10 milhões de sites mais visitados em novembro de 2015 (w3techs)
  • 8. O preço da fama Quanto mais popular, mais visado Imagem: OpenClipartVectors
  • 9. “ Basta de 30 a 45 dias para que um site recém-criado, mesmo sem conteúdo ou audiência, passe a ser alvo de varreduras maliciosas frequentes. Tony Perez, sucuri.net (adaptado)
  • 10. Não importa o tamanho ou a natureza do seu site: se ele está na internet, é seguro assumir que ele está sendo alvo constante de ataques.
  • 11. 10 a 20 mil ataques por minuto
  • 12. Hackers O que eles querem Imagem: Freepik
  • 13. O objetivo de um hacker é, na maioria dos casos, comprometer o seu site e usar os recursos computacionais do servidor para fins ilícitos.
  • 15.
  • 16. ◎ Inclusão em blacklists ◎ Perda de reputação ◎ Perda de recursos ◎ Perda de tempo e dinheiro ◎ Responsabilização por dano a terceiros Consequências
  • 18. 1. Uso do WordPress desatualizado 2. Brechas de segurança na hospedagem 3. Temas e plugins comprometidos 4. Autenticação Principais vulnerabilidades exploradas
  • 20. 1.Atualização Não use versões antigas! Imagem: Freepik
  • 21. ◎ Ciclo de lançamento freqüente. ◎ Equipe em tempo integral. ◎ Correções lançadas rapidamente. ◎ Long-term support Núcleo do WordPress
  • 22. Nunca, jamais deixe o núcleo desatualizado
  • 23. “ Mais de 73% dos sites* em WordPress estão usando versões desatualizadas e vulneráveis do core, contendo brechas de segurança conhecidas. Sandro Gauci, Enable Security (adaptado) * em julho de 2013, de uma amostra de 42 mil sites.
  • 24. A partir da versão 3.7, lançada em outubro de 2013, o WordPress passou a receber atualizações automáticas para minor releases do seu núcleo.
  • 25. Para forçar a atualização de mais componentes // Edite o arquivo wp-config.php // e adicione as seguintes linhas: // Para forçar atualização automática // para qualquer versão do núcleo define('WP_AUTO_UPDATE_CORE', true); // Para forçar atualização automática de plugins add_filter( 'auto_update_plugin', '__return_true' ); // Para forçar atualização automática de temas add_filter( 'auto_update_theme', '__return_true' );
  • 27. ◎ Usar versões atuais dos serviços ◎ Garantir a integridade dos dados ◎ Detectar atividade de malware ◎ Oferecer isolamento entre os sites Sua hospedagem precisa:
  • 28. ● Desative protocolos inseguros(SFTP ou SSH em vez de FTP) ● Dê a permissão correta para pastas e arquivos ● Desative a listagem de pastas e arquivos ● Use um prefixo aleatório nas tabelas no banco ● Mova o arquivo wp-config.php uma pasta acima ● Force o uso de SSL no acesso ao painel Alguns ajustes básicos:
  • 29. ● Desative a edição de arquivos no painel, inserindo no arquivo wp-config.php a linha define('DISALLOW_FILE_EDIT',true); ● Restrinja acesso a wp-admin, wp-includes e wp-config.php ● Use uma senha forte para o usuário MySQL ● Desative acesso remoto e permissões desnecessárias no banco de dados ● Desative a execução de scripts nas pastas de upload
  • 31. ● Sempre atualize temas e plugins ● Parou de sair atualização? Pare de usar! ● Não basta desativar, é preciso apagar ● Nunca, jamais use “fontes alternativas” ● Mantenha-se informado sobre vulnerabilidades
  • 32. ● Se possível, analise o código ● Ofereça atualizações frequentes ● Seja desenvolvido por nomes confiáveis ● Baixe sempre do site oficial Como escolher um plugin
  • 33. 4.Autenticação Não use senhas fracas! Imagem: Freepik
  • 34. Desde a versão 4.3, o WordPress força a adoção de senhas fortes
  • 35. por 2 fatores Imagem: Freepik 4.Autenticação
  • 36. “ Autenticação por dois fatores oferece identificação através da combinação de dois componentes diferentes: algo que o usuário sabe, possui ou lhe é inseparável. Wikipédia (adaptado)
  • 37. Plugins para autenticação por dois fatores
  • 39. ● Não use o username “admin” ● Para postar, use uma conta de autor. ● Não dê acesso de administrador a terceiros. ● Bloqueio de logins incorretos(iThemes Security, WordFence) ● Altere o endereço de login(iThemes Security) ● Remova o alerta no erro de login Alguns ajustes básicos:
  • 41. ● Acompanhe listas de vulnerabilidades (NVD, CVE e WPScan) ● Efetue code review de temas e plugins. ● Rastreie alterações em arquivos (WP Security Scan, Wordfence, iThemes Security) ● Execute varreduras preventivas ● Avalie os impactos de segurança Vulnerabilidades e riscos:
  • 43. 6.Malware O seu computador é seguro? Imagem: Freepik
  • 44. “ Nenhuma medida de segurança adotada, seja em relação ao WordPress ou ao servidor, fará a menor diferença se o seu computador estiver comprometido. Codex do WordPress (adaptado)
  • 45. ● Atualize sempre seu sistema operacional. ● Use anti-vírus e anti-malware. ● Não salve a senha do WordPress. ● Use sempre o bom senso. Segurança começa em casa
  • 47. “ A única forma de garantir a segurança de um site comprometido é restaurar um backup anterior ao incidente e corrigir as brechas que permitiram o ataque. Samuel “Otto” Wood, WordPress Core Contributor (adaptado)
  • 48. Backup você tem um… certo? Imagem: OpenIcons
  • 49. ● Incluir arquivos e banco de dados ● Pode ser feito com plugins… ● … ou direto no servidor (ex: cron & rsync) Backups no WordPress: WordPress Backup WP-DB-Backup
  • 54. ● http://codex.wordpress.org/Hardening_WordPress ● https://blog.sucuri.net/category/wordpress-security ● http://www.wpwhitesecurity.com/wordpress-security/ ● https://premium.wpmudev.org/blog/keeping- wordpress-secure-the-ultimate-guide/ ● https://blog.apiki.com/category/wordpressseguro/ ● https://rafaelfunchal.github.io/wordpress-security- checklist/br/items/ Para saber mais: