SlideShare una empresa de Scribd logo

Como manter o WordPress seguro

Rudá Almeida
Rudá Almeida

O documento fornece orientações sobre como manter um site WordPress seguro, discutindo 6 tópicos principais: 1) atualização constante do WordPress e plugins, 2) segurança da hospedagem, 3) escolha cuidadosa de temas e plugins, 4) uso de senhas fortes e autenticação de dois fatores, 5) avaliação de riscos e vulnerabilidades, e 6) proteção contra malware. O documento enfatiza a importância da atualização e dá dicas práticas para cada uma das áreas.

Internet
1 de 54
Descargar para leer sin conexión
Como manter o WordPress seguro Rudá Almeida Universidade Federal do Rio de Janeiro Diretoria de Segurança da Informação e Gestão de TIC
Quem sou eu Rudá Almeida Integrante da Diretoria de Segurança da Informação e Governança de TI da UFRJ
Quem sou eu Rudá Almeida Entusiasta do WordPress e integrante da comunidade carioca de WordPress
Quem sou eu Rudá Almeida Já palestrei em Meetups e WordCamps. Ajudei a organizar eventos no Rio de Janeiro.
O que é WordPress?
◎ Ferramenta de Gestão de Conteúdo ◎ Plataforma de publicação ◎ Criado em 2003 ◎ Usado em blogs, sites de notícias, páginas institucionais, portfolio, e- commerce, plataforma de ensino, entre inúmeras aplicações. WordPress
◎ É a ferramenta mais popular do gênero ◎ Presente em 25% da web* ◎ Domina 59% do mercado* WordPress * entre os 10 milhões de sites mais visitados em novembro de 2015 (w3techs)
O preço da fama Quanto mais popular, mais visado Imagem: OpenClipartVectors
“ Basta de 30 a 45 dias para que um site recém-criado, mesmo sem conteúdo ou audiência, passe a ser alvo de varreduras maliciosas frequentes. Tony Perez, sucuri.net (adaptado)
Não importa o tamanho ou a natureza do seu site: se ele está na internet, é seguro assumir que ele está sendo alvo constante de ataques.
10 a 20 mil ataques por minuto
Hackers O que eles querem Imagem: Freepik
O objetivo de um hacker é, na maioria dos casos, comprometer o seu site e usar os recursos computacionais do servidor para fins ilícitos.
Consequências
◎ Inclusão em blacklists ◎ Perda de reputação ◎ Perda de recursos ◎ Perda de tempo e dinheiro ◎ Responsabilização por dano a terceiros Consequências
Como ocorrem as invasões
1. Uso do WordPress desatualizado 2. Brechas de segurança na hospedagem 3. Temas e plugins comprometidos 4. Autenticação Principais vulnerabilidades exploradas
Como se proteger Imagem: Freepik Combatendo as vulnerabilidades
1.Atualização Não use versões antigas! Imagem: Freepik
◎ Ciclo de lançamento freqüente. ◎ Equipe em tempo integral. ◎ Correções lançadas rapidamente. ◎ Long-term support Núcleo do WordPress
Nunca, jamais deixe o núcleo desatualizado
“ Mais de 73% dos sites* em WordPress estão usando versões desatualizadas e vulneráveis do core, contendo brechas de segurança conhecidas. Sandro Gauci, Enable Security (adaptado) * em julho de 2013, de uma amostra de 42 mil sites.
A partir da versão 3.7, lançada em outubro de 2013, o WordPress passou a receber atualizações automáticas para minor releases do seu núcleo.
Para forçar a atualização de mais componentes // Edite o arquivo wp-config.php // e adicione as seguintes linhas: // Para forçar atualização automática // para qualquer versão do núcleo define('WP_AUTO_UPDATE_CORE', true); // Para forçar atualização automática de plugins add_filter( 'auto_update_plugin', '__return_true' ); // Para forçar atualização automática de temas add_filter( 'auto_update_theme', '__return_true' );
2.Hospedagem Ambiente do servidor Imagem: Flaticon
◎ Usar versões atuais dos serviços ◎ Garantir a integridade dos dados ◎ Detectar atividade de malware ◎ Oferecer isolamento entre os sites Sua hospedagem precisa:
● Desative protocolos inseguros(SFTP ou SSH em vez de FTP) ● Dê a permissão correta para pastas e arquivos ● Desative a listagem de pastas e arquivos ● Use um prefixo aleatório nas tabelas no banco ● Mova o arquivo wp-config.php uma pasta acima ● Force o uso de SSL no acesso ao painel Alguns ajustes básicos:
● Desative a edição de arquivos no painel, inserindo no arquivo wp-config.php a linha define('DISALLOW_FILE_EDIT',true); ● Restrinja acesso a wp-admin, wp-includes e wp-config.php ● Use uma senha forte para o usuário MySQL ● Desative acesso remoto e permissões desnecessárias no banco de dados ● Desative a execução de scripts nas pastas de upload
3.Temas e plugins Imagem: whilhei
● Sempre atualize temas e plugins ● Parou de sair atualização? Pare de usar! ● Não basta desativar, é preciso apagar ● Nunca, jamais use “fontes alternativas” ● Mantenha-se informado sobre vulnerabilidades
● Se possível, analise o código ● Ofereça atualizações frequentes ● Seja desenvolvido por nomes confiáveis ● Baixe sempre do site oficial Como escolher um plugin
4.Autenticação Não use senhas fracas! Imagem: Freepik
Desde a versão 4.3, o WordPress força a adoção de senhas fortes
por 2 fatores Imagem: Freepik 4.Autenticação
“ Autenticação por dois fatores oferece identificação através da combinação de dois componentes diferentes: algo que o usuário sabe, possui ou lhe é inseparável. Wikipédia (adaptado)
Plugins para autenticação por dois fatores
4.Autenticação Usuários e permissões Imagem: WikiMedia
● Não use o username “admin” ● Para postar, use uma conta de autor. ● Não dê acesso de administrador a terceiros. ● Bloqueio de logins incorretos(iThemes Security, WordFence) ● Altere o endereço de login(iThemes Security) ● Remova o alerta no erro de login Alguns ajustes básicos:
5.Avalie riscos e vulnerabilidades Imagem: Freepik
● Acompanhe listas de vulnerabilidades (NVD, CVE e WPScan) ● Efetue code review de temas e plugins. ● Rastreie alterações em arquivos (WP Security Scan, Wordfence, iThemes Security) ● Execute varreduras preventivas ● Avalie os impactos de segurança Vulnerabilidades e riscos:
WPScan
6.Malware O seu computador é seguro? Imagem: Freepik
“ Nenhuma medida de segurança adotada, seja em relação ao WordPress ou ao servidor, fará a menor diferença se o seu computador estiver comprometido. Codex do WordPress (adaptado)
● Atualize sempre seu sistema operacional. ● Use anti-vírus e anti-malware. ● Não salve a senha do WordPress. ● Use sempre o bom senso. Segurança começa em casa
Como se recuperar?
“ A única forma de garantir a segurança de um site comprometido é restaurar um backup anterior ao incidente e corrigir as brechas que permitiram o ataque. Samuel “Otto” Wood, WordPress Core Contributor (adaptado)
Backup você tem um… certo? Imagem: OpenIcons
● Incluir arquivos e banco de dados ● Pode ser feito com plugins… ● … ou direto no servidor (ex: cron & rsync) Backups no WordPress: WordPress Backup WP-DB-Backup
Plugins segurança automatizada Imagem: Freepik
Plugins WordFence iThemes Security
Obrigado!
Dúvidas? Imagem:Bernard Lamailloux
● http://codex.wordpress.org/Hardening_WordPress ● https://blog.sucuri.net/category/wordpress-security ● http://www.wpwhitesecurity.com/wordpress-security/ ● https://premium.wpmudev.org/blog/keeping- wordpress-secure-the-ultimate-guide/ ● https://blog.apiki.com/category/wordpressseguro/ ● https://rafaelfunchal.github.io/wordpress-security- checklist/br/items/ Para saber mais:

Recomendados

Segurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerceSegurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerceThauã Cícero Santos Silva
 
Segurança do WordPress
Segurança do WordPressSegurança do WordPress
Segurança do WordPressJaqueline Arruda
 
Acessibilidade em CSS - Front in Sampa
Acessibilidade em CSS - Front in SampaAcessibilidade em CSS - Front in Sampa
Acessibilidade em CSS - Front in SampaLucas J Silva
 
BITS | BrasilCMS | wordpress
BITS | BrasilCMS | wordpressBITS | BrasilCMS | wordpress
BITS | BrasilCMS | wordpressJackson F. de A. Mafra
 
Website security
Website securityWebsite security
Website securitythiagosenac
 
Ai1516 ad-tp1-g3-a
Ai1516 ad-tp1-g3-aAi1516 ad-tp1-g3-a
Ai1516 ad-tp1-g3-aMaria_Tinoco
 
Aula 01 - O que é uma aplicação Web segura
Aula 01 - O que é uma aplicação Web seguraAula 01 - O que é uma aplicação Web segura
Aula 01 - O que é uma aplicação Web seguraAlex Camargo
 
Acessibilidade em CSS - ABC Dev
Acessibilidade em CSS - ABC DevAcessibilidade em CSS - ABC Dev
Acessibilidade em CSS - ABC DevLucas J Silva
 

Recomendados

Segurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerceSegurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerceThauã Cícero Santos Silva
 
Segurança do WordPress
Segurança do WordPressSegurança do WordPress
Segurança do WordPressJaqueline Arruda
 
Acessibilidade em CSS - Front in Sampa
Acessibilidade em CSS - Front in SampaAcessibilidade em CSS - Front in Sampa
Acessibilidade em CSS - Front in SampaLucas J Silva
 
BITS | BrasilCMS | wordpress
BITS | BrasilCMS | wordpressBITS | BrasilCMS | wordpress
BITS | BrasilCMS | wordpressJackson F. de A. Mafra
 
Website security
Website securityWebsite security
Website securitythiagosenac
 
Ai1516 ad-tp1-g3-a
Ai1516 ad-tp1-g3-aAi1516 ad-tp1-g3-a
Ai1516 ad-tp1-g3-aMaria_Tinoco
 
Aula 01 - O que é uma aplicação Web segura
Aula 01 - O que é uma aplicação Web seguraAula 01 - O que é uma aplicação Web segura
Aula 01 - O que é uma aplicação Web seguraAlex Camargo
 
Acessibilidade em CSS - ABC Dev
Acessibilidade em CSS - ABC DevAcessibilidade em CSS - ABC Dev
Acessibilidade em CSS - ABC DevLucas J Silva
 
Projetando para WordPress
Projetando para WordPressProjetando para WordPress
Projetando para WordPressHaste Design
 
Conhecendo o Wordpress
Conhecendo o WordpressConhecendo o Wordpress
Conhecendo o WordpressJose Augusto Carvalho
 
WP WEEKEND 2015 - O word press é seguro. Inseguro é você.
WP WEEKEND 2015 - O word press é seguro. Inseguro é você. WP WEEKEND 2015 - O word press é seguro. Inseguro é você.
WP WEEKEND 2015 - O word press é seguro. Inseguro é você. Rodrigo Toshiaki Horie
 
Palestra - WordCamp Belo Horizonte 2015 - WordCamp Belo Horizonte 2015 - Hack...
Palestra - WordCamp Belo Horizonte 2015 - WordCamp Belo Horizonte 2015 - Hack...Palestra - WordCamp Belo Horizonte 2015 - WordCamp Belo Horizonte 2015 - Hack...
Palestra - WordCamp Belo Horizonte 2015 - WordCamp Belo Horizonte 2015 - Hack...As Zone
 
Curso online wordpress aula 1
Curso online wordpress aula 1Curso online wordpress aula 1
Curso online wordpress aula 1Vasco Marques
 
WordPress para Gestores de Conteúdo - WordCamp BH 2015
WordPress para Gestores de Conteúdo - WordCamp BH 2015WordPress para Gestores de Conteúdo - WordCamp BH 2015
WordPress para Gestores de Conteúdo - WordCamp BH 2015Nauweb
 
Design para WordPress- Anyssa Ferreira - WordCamp BH 2015
Design para WordPress- Anyssa Ferreira - WordCamp BH 2015Design para WordPress- Anyssa Ferreira - WordCamp BH 2015
Design para WordPress- Anyssa Ferreira - WordCamp BH 2015Anyssa Ferreira
 
Melhorando o desempenho do seu WordPress [WordCamp São Paulo 2015]
Melhorando o desempenho do seu WordPress [WordCamp São Paulo 2015]Melhorando o desempenho do seu WordPress [WordCamp São Paulo 2015]
Melhorando o desempenho do seu WordPress [WordCamp São Paulo 2015]Tiago Hillebrandt
 
WordPress - Segurança, Performance e Optimização
WordPress - Segurança, Performance e OptimizaçãoWordPress - Segurança, Performance e Optimização
WordPress - Segurança, Performance e Optimizaçãowebtugahosting
 
WordPress Braga Meetup - Segurança, Performance e Optimização
WordPress Braga Meetup - Segurança, Performance e OptimizaçãoWordPress Braga Meetup - Segurança, Performance e Optimização
WordPress Braga Meetup - Segurança, Performance e OptimizaçãoTeotonio Leiras
 
Top Plugins de Segurança para WordPress
Top Plugins de Segurança para WordPressTop Plugins de Segurança para WordPress
Top Plugins de Segurança para WordPressTales Augusto
 
WordCamp Floripa 2021 - Isreal - A proporcionalidade do crescimento em tecnol...
WordCamp Floripa 2021 - Isreal - A proporcionalidade do crescimento em tecnol...WordCamp Floripa 2021 - Isreal - A proporcionalidade do crescimento em tecnol...
WordCamp Floripa 2021 - Isreal - A proporcionalidade do crescimento em tecnol...WordCamp Floripa
 
Criando Sites Com CMS
Criando Sites Com CMSCriando Sites Com CMS
Criando Sites Com CMSClaudio Toldo
 
Segurança em Aplicativos Web
Segurança em Aplicativos WebSegurança em Aplicativos Web
Segurança em Aplicativos WebSergio Henrique
 
Como Limpar Seu Site WordPress
Como Limpar Seu Site WordPressComo Limpar Seu Site WordPress
Como Limpar Seu Site WordPressSucuri
 
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...Thiago Dieb
 
Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...
Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...
Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...As Zone
 
Apostila internet 18_02_2011_20110218160004
Apostila internet 18_02_2011_20110218160004Apostila internet 18_02_2011_20110218160004
Apostila internet 18_02_2011_20110218160004marceloeday
 
Blindando o site Joomla!
Blindando o site Joomla!Blindando o site Joomla!
Blindando o site Joomla!Júlio Coutinho
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)Erick Belluci Tedeschi
 
Analise frameworks php
Analise frameworks phpAnalise frameworks php
Analise frameworks phpIgor Moura
 
Vale Security Conference - 2011 - 6 - Thiago Bordini
Vale Security Conference - 2011 - 6 - Thiago BordiniVale Security Conference - 2011 - 6 - Thiago Bordini
Vale Security Conference - 2011 - 6 - Thiago BordiniVale Security Conference
 

Más contenido relacionado

Destacado

Projetando para WordPress
Projetando para WordPressProjetando para WordPress
Projetando para WordPressHaste Design
 
WP WEEKEND 2015 - O word press é seguro. Inseguro é você.
WP WEEKEND 2015 - O word press é seguro. Inseguro é você. WP WEEKEND 2015 - O word press é seguro. Inseguro é você.
WP WEEKEND 2015 - O word press é seguro. Inseguro é você. Rodrigo Toshiaki Horie
 
Palestra - WordCamp Belo Horizonte 2015 - WordCamp Belo Horizonte 2015 - Hack...
Palestra - WordCamp Belo Horizonte 2015 - WordCamp Belo Horizonte 2015 - Hack...Palestra - WordCamp Belo Horizonte 2015 - WordCamp Belo Horizonte 2015 - Hack...
Palestra - WordCamp Belo Horizonte 2015 - WordCamp Belo Horizonte 2015 - Hack...As Zone
 
Curso online wordpress aula 1
Curso online wordpress aula 1Curso online wordpress aula 1
Curso online wordpress aula 1Vasco Marques
 
WordPress para Gestores de Conteúdo - WordCamp BH 2015
WordPress para Gestores de Conteúdo - WordCamp BH 2015WordPress para Gestores de Conteúdo - WordCamp BH 2015
WordPress para Gestores de Conteúdo - WordCamp BH 2015Nauweb
 
Design para WordPress- Anyssa Ferreira - WordCamp BH 2015
Design para WordPress- Anyssa Ferreira - WordCamp BH 2015Design para WordPress- Anyssa Ferreira - WordCamp BH 2015
Design para WordPress- Anyssa Ferreira - WordCamp BH 2015Anyssa Ferreira
 
Melhorando o desempenho do seu WordPress [WordCamp São Paulo 2015]
Melhorando o desempenho do seu WordPress [WordCamp São Paulo 2015]Melhorando o desempenho do seu WordPress [WordCamp São Paulo 2015]
Melhorando o desempenho do seu WordPress [WordCamp São Paulo 2015]Tiago Hillebrandt
 

Destacado (8)

Projetando para WordPress
Projetando para WordPressProjetando para WordPress
Projetando para WordPress
 
Conhecendo o Wordpress
Conhecendo o WordpressConhecendo o Wordpress
Conhecendo o Wordpress
 
WP WEEKEND 2015 - O word press é seguro. Inseguro é você.
WP WEEKEND 2015 - O word press é seguro. Inseguro é você. WP WEEKEND 2015 - O word press é seguro. Inseguro é você.
WP WEEKEND 2015 - O word press é seguro. Inseguro é você.
 
Palestra - WordCamp Belo Horizonte 2015 - WordCamp Belo Horizonte 2015 - Hack...
Palestra - WordCamp Belo Horizonte 2015 - WordCamp Belo Horizonte 2015 - Hack...Palestra - WordCamp Belo Horizonte 2015 - WordCamp Belo Horizonte 2015 - Hack...
Palestra - WordCamp Belo Horizonte 2015 - WordCamp Belo Horizonte 2015 - Hack...
 
Curso online wordpress aula 1
Curso online wordpress aula 1Curso online wordpress aula 1
Curso online wordpress aula 1
 
WordPress para Gestores de Conteúdo - WordCamp BH 2015
WordPress para Gestores de Conteúdo - WordCamp BH 2015WordPress para Gestores de Conteúdo - WordCamp BH 2015
WordPress para Gestores de Conteúdo - WordCamp BH 2015
 
Design para WordPress- Anyssa Ferreira - WordCamp BH 2015
Design para WordPress- Anyssa Ferreira - WordCamp BH 2015Design para WordPress- Anyssa Ferreira - WordCamp BH 2015
Design para WordPress- Anyssa Ferreira - WordCamp BH 2015
 
Melhorando o desempenho do seu WordPress [WordCamp São Paulo 2015]
Melhorando o desempenho do seu WordPress [WordCamp São Paulo 2015]Melhorando o desempenho do seu WordPress [WordCamp São Paulo 2015]
Melhorando o desempenho do seu WordPress [WordCamp São Paulo 2015]
 

Similar a Como manter o WordPress seguro

WordPress - Segurança, Performance e Optimização
WordPress - Segurança, Performance e OptimizaçãoWordPress - Segurança, Performance e Optimização
WordPress - Segurança, Performance e Optimizaçãowebtugahosting
 
WordPress Braga Meetup - Segurança, Performance e Optimização
WordPress Braga Meetup - Segurança, Performance e OptimizaçãoWordPress Braga Meetup - Segurança, Performance e Optimização
WordPress Braga Meetup - Segurança, Performance e OptimizaçãoTeotonio Leiras
 
Top Plugins de Segurança para WordPress
Top Plugins de Segurança para WordPressTop Plugins de Segurança para WordPress
Top Plugins de Segurança para WordPressTales Augusto
 
WordCamp Floripa 2021 - Isreal - A proporcionalidade do crescimento em tecnol...
WordCamp Floripa 2021 - Isreal - A proporcionalidade do crescimento em tecnol...WordCamp Floripa 2021 - Isreal - A proporcionalidade do crescimento em tecnol...
WordCamp Floripa 2021 - Isreal - A proporcionalidade do crescimento em tecnol...WordCamp Floripa
 
Criando Sites Com CMS
Criando Sites Com CMSCriando Sites Com CMS
Criando Sites Com CMSClaudio Toldo
 
Segurança em Aplicativos Web
Segurança em Aplicativos WebSegurança em Aplicativos Web
Segurança em Aplicativos WebSergio Henrique
 
Como Limpar Seu Site WordPress
Como Limpar Seu Site WordPressComo Limpar Seu Site WordPress
Como Limpar Seu Site WordPressSucuri
 
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...Thiago Dieb
 
Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...
Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...
Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...As Zone
 
Apostila internet 18_02_2011_20110218160004
Apostila internet 18_02_2011_20110218160004Apostila internet 18_02_2011_20110218160004
Apostila internet 18_02_2011_20110218160004marceloeday
 
Blindando o site Joomla!
Blindando o site Joomla!Blindando o site Joomla!
Blindando o site Joomla!Júlio Coutinho
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)Erick Belluci Tedeschi
 
Analise frameworks php
Analise frameworks phpAnalise frameworks php
Analise frameworks phpIgor Moura
 
Vale Security Conference - 2011 - 6 - Thiago Bordini
Vale Security Conference - 2011 - 6 - Thiago BordiniVale Security Conference - 2011 - 6 - Thiago Bordini
Vale Security Conference - 2011 - 6 - Thiago BordiniVale Security Conference
 
Desenvolvimento de plugins WordPress
Desenvolvimento de plugins WordPressDesenvolvimento de plugins WordPress
Desenvolvimento de plugins WordPressLeandrinho Vieira
 
Segurança da informação palestra wordcamp sp 2016
Segurança da informação palestra wordcamp sp 2016Segurança da informação palestra wordcamp sp 2016
Segurança da informação palestra wordcamp sp 2016Thauã Cícero Santos Silva
 
Wordpress e suas funções
Wordpress e suas funçõesWordpress e suas funções
Wordpress e suas funçõesDaniel Marcos
 
Introdução ao framework CodeIgniter
Introdução ao framework CodeIgniterIntrodução ao framework CodeIgniter
Introdução ao framework CodeIgniterAnderson Gonçalves
 

Similar a Como manter o WordPress seguro (20)

WordPress - Segurança, Performance e Optimização
WordPress - Segurança, Performance e OptimizaçãoWordPress - Segurança, Performance e Optimização
WordPress - Segurança, Performance e Optimização
 
WordPress Braga Meetup - Segurança, Performance e Optimização
WordPress Braga Meetup - Segurança, Performance e OptimizaçãoWordPress Braga Meetup - Segurança, Performance e Optimização
WordPress Braga Meetup - Segurança, Performance e Optimização
 
Top Plugins de Segurança para WordPress
Top Plugins de Segurança para WordPressTop Plugins de Segurança para WordPress
Top Plugins de Segurança para WordPress
 
WordCamp Floripa 2021 - Isreal - A proporcionalidade do crescimento em tecnol...
WordCamp Floripa 2021 - Isreal - A proporcionalidade do crescimento em tecnol...WordCamp Floripa 2021 - Isreal - A proporcionalidade do crescimento em tecnol...
WordCamp Floripa 2021 - Isreal - A proporcionalidade do crescimento em tecnol...
 
Criando Sites Com CMS
Criando Sites Com CMSCriando Sites Com CMS
Criando Sites Com CMS
 
Segurança em Aplicativos Web
Segurança em Aplicativos WebSegurança em Aplicativos Web
Segurança em Aplicativos Web
 
Como Limpar Seu Site WordPress
Como Limpar Seu Site WordPressComo Limpar Seu Site WordPress
Como Limpar Seu Site WordPress
 
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
 
Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...
Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...
Fisl 16 - WordPress vs Hacker - Descubra o que ainda é preciso saber para bl...
 
Apostila internet 18_02_2011_20110218160004
Apostila internet 18_02_2011_20110218160004Apostila internet 18_02_2011_20110218160004
Apostila internet 18_02_2011_20110218160004
 
Blindando o site Joomla!
Blindando o site Joomla!Blindando o site Joomla!
Blindando o site Joomla!
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
 
Analise frameworks php
Analise frameworks phpAnalise frameworks php
Analise frameworks php
 
Vale Security Conference - 2011 - 6 - Thiago Bordini
Vale Security Conference - 2011 - 6 - Thiago BordiniVale Security Conference - 2011 - 6 - Thiago Bordini
Vale Security Conference - 2011 - 6 - Thiago Bordini
 
O que, por quê e como sais e chaves de segurança wp protegem o marketing polí...
O que, por quê e como sais e chaves de segurança wp protegem o marketing polí...O que, por quê e como sais e chaves de segurança wp protegem o marketing polí...
O que, por quê e como sais e chaves de segurança wp protegem o marketing polí...
 
Desenvolvimento de plugins WordPress
Desenvolvimento de plugins WordPressDesenvolvimento de plugins WordPress
Desenvolvimento de plugins WordPress
 
Java security
Java securityJava security
Java security
 
Segurança da informação palestra wordcamp sp 2016
Segurança da informação palestra wordcamp sp 2016Segurança da informação palestra wordcamp sp 2016
Segurança da informação palestra wordcamp sp 2016
 
Wordpress e suas funções
Wordpress e suas funçõesWordpress e suas funções
Wordpress e suas funções
 
Introdução ao framework CodeIgniter
Introdução ao framework CodeIgniterIntrodução ao framework CodeIgniter
Introdução ao framework CodeIgniter
 

Como manter o WordPress seguro

  • 1. Como manter o WordPress seguro Rudá Almeida Universidade Federal do Rio de Janeiro Diretoria de Segurança da Informação e Gestão de TIC
  • 2. Quem sou eu Rudá Almeida Integrante da Diretoria de Segurança da Informação e Governança de TI da UFRJ
  • 3. Quem sou eu Rudá Almeida Entusiasta do WordPress e integrante da comunidade carioca de WordPress
  • 4. Quem sou eu Rudá Almeida Já palestrei em Meetups e WordCamps. Ajudei a organizar eventos no Rio de Janeiro.
  • 5. O que é WordPress?
  • 6. ◎ Ferramenta de Gestão de Conteúdo ◎ Plataforma de publicação ◎ Criado em 2003 ◎ Usado em blogs, sites de notícias, páginas institucionais, portfolio, e- commerce, plataforma de ensino, entre inúmeras aplicações. WordPress
  • 7. ◎ É a ferramenta mais popular do gênero ◎ Presente em 25% da web* ◎ Domina 59% do mercado* WordPress * entre os 10 milhões de sites mais visitados em novembro de 2015 (w3techs)
  • 8. O preço da fama Quanto mais popular, mais visado Imagem: OpenClipartVectors
  • 9. “ Basta de 30 a 45 dias para que um site recém-criado, mesmo sem conteúdo ou audiência, passe a ser alvo de varreduras maliciosas frequentes. Tony Perez, sucuri.net (adaptado)
  • 10. Não importa o tamanho ou a natureza do seu site: se ele está na internet, é seguro assumir que ele está sendo alvo constante de ataques.
  • 11. 10 a 20 mil ataques por minuto
  • 12. Hackers O que eles querem Imagem: Freepik
  • 13. O objetivo de um hacker é, na maioria dos casos, comprometer o seu site e usar os recursos computacionais do servidor para fins ilícitos.
  • 15.
  • 16. ◎ Inclusão em blacklists ◎ Perda de reputação ◎ Perda de recursos ◎ Perda de tempo e dinheiro ◎ Responsabilização por dano a terceiros Consequências
  • 18. 1. Uso do WordPress desatualizado 2. Brechas de segurança na hospedagem 3. Temas e plugins comprometidos 4. Autenticação Principais vulnerabilidades exploradas
  • 20. 1.Atualização Não use versões antigas! Imagem: Freepik
  • 21. ◎ Ciclo de lançamento freqüente. ◎ Equipe em tempo integral. ◎ Correções lançadas rapidamente. ◎ Long-term support Núcleo do WordPress
  • 22. Nunca, jamais deixe o núcleo desatualizado
  • 23. “ Mais de 73% dos sites* em WordPress estão usando versões desatualizadas e vulneráveis do core, contendo brechas de segurança conhecidas. Sandro Gauci, Enable Security (adaptado) * em julho de 2013, de uma amostra de 42 mil sites.
  • 24. A partir da versão 3.7, lançada em outubro de 2013, o WordPress passou a receber atualizações automáticas para minor releases do seu núcleo.
  • 25. Para forçar a atualização de mais componentes // Edite o arquivo wp-config.php // e adicione as seguintes linhas: // Para forçar atualização automática // para qualquer versão do núcleo define('WP_AUTO_UPDATE_CORE', true); // Para forçar atualização automática de plugins add_filter( 'auto_update_plugin', '__return_true' ); // Para forçar atualização automática de temas add_filter( 'auto_update_theme', '__return_true' );
  • 27. ◎ Usar versões atuais dos serviços ◎ Garantir a integridade dos dados ◎ Detectar atividade de malware ◎ Oferecer isolamento entre os sites Sua hospedagem precisa:
  • 28. ● Desative protocolos inseguros(SFTP ou SSH em vez de FTP) ● Dê a permissão correta para pastas e arquivos ● Desative a listagem de pastas e arquivos ● Use um prefixo aleatório nas tabelas no banco ● Mova o arquivo wp-config.php uma pasta acima ● Force o uso de SSL no acesso ao painel Alguns ajustes básicos:
  • 29. ● Desative a edição de arquivos no painel, inserindo no arquivo wp-config.php a linha define('DISALLOW_FILE_EDIT',true); ● Restrinja acesso a wp-admin, wp-includes e wp-config.php ● Use uma senha forte para o usuário MySQL ● Desative acesso remoto e permissões desnecessárias no banco de dados ● Desative a execução de scripts nas pastas de upload
  • 31. ● Sempre atualize temas e plugins ● Parou de sair atualização? Pare de usar! ● Não basta desativar, é preciso apagar ● Nunca, jamais use “fontes alternativas” ● Mantenha-se informado sobre vulnerabilidades
  • 32. ● Se possível, analise o código ● Ofereça atualizações frequentes ● Seja desenvolvido por nomes confiáveis ● Baixe sempre do site oficial Como escolher um plugin
  • 33. 4.Autenticação Não use senhas fracas! Imagem: Freepik
  • 34. Desde a versão 4.3, o WordPress força a adoção de senhas fortes
  • 35. por 2 fatores Imagem: Freepik 4.Autenticação
  • 36. “ Autenticação por dois fatores oferece identificação através da combinação de dois componentes diferentes: algo que o usuário sabe, possui ou lhe é inseparável. Wikipédia (adaptado)
  • 37. Plugins para autenticação por dois fatores
  • 39. ● Não use o username “admin” ● Para postar, use uma conta de autor. ● Não dê acesso de administrador a terceiros. ● Bloqueio de logins incorretos(iThemes Security, WordFence) ● Altere o endereço de login(iThemes Security) ● Remova o alerta no erro de login Alguns ajustes básicos:
  • 41. ● Acompanhe listas de vulnerabilidades (NVD, CVE e WPScan) ● Efetue code review de temas e plugins. ● Rastreie alterações em arquivos (WP Security Scan, Wordfence, iThemes Security) ● Execute varreduras preventivas ● Avalie os impactos de segurança Vulnerabilidades e riscos:
  • 43. 6.Malware O seu computador é seguro? Imagem: Freepik
  • 44. “ Nenhuma medida de segurança adotada, seja em relação ao WordPress ou ao servidor, fará a menor diferença se o seu computador estiver comprometido. Codex do WordPress (adaptado)
  • 45. ● Atualize sempre seu sistema operacional. ● Use anti-vírus e anti-malware. ● Não salve a senha do WordPress. ● Use sempre o bom senso. Segurança começa em casa
  • 47. “ A única forma de garantir a segurança de um site comprometido é restaurar um backup anterior ao incidente e corrigir as brechas que permitiram o ataque. Samuel “Otto” Wood, WordPress Core Contributor (adaptado)
  • 48. Backup você tem um… certo? Imagem: OpenIcons
  • 49. ● Incluir arquivos e banco de dados ● Pode ser feito com plugins… ● … ou direto no servidor (ex: cron & rsync) Backups no WordPress: WordPress Backup WP-DB-Backup
  • 54. ● http://codex.wordpress.org/Hardening_WordPress ● https://blog.sucuri.net/category/wordpress-security ● http://www.wpwhitesecurity.com/wordpress-security/ ● https://premium.wpmudev.org/blog/keeping- wordpress-secure-the-ultimate-guide/ ● https://blog.apiki.com/category/wordpressseguro/ ● https://rafaelfunchal.github.io/wordpress-security- checklist/br/items/ Para saber mais: