O segurança do site é um dos aspectos mais importantes que um Webmaster deve considerar.
O servidor web que usamos para nosso site no WordPress, também pode ter vulnerabilidades, portanto, devemos nos certificar de que não há problemas de segurança ou tomar medidas para melhorar a segurança. Em outros tutoriais, ações e ferramentas foram especificadas para reforçar a segurança, por exemplo, aplicando:
1. Medidas de segurança para servidores VPS
2. Como detectar e controlar serviços em servidores Linux
Um aspecto muito importante a levar em consideração é evite usar um servidor compartilhado, são aqueles servidores que hospedam outros sites, além do nosso site e de um site no mesmo servidor que está vulnerável, pode comprometer todos os outros sites desde que os arquivos estejam no mesmo espaço e assim espalhar um ataque ou infecção por vírus.
O sites desenvolvidos em Wordpress são sensíveis para a maioria dos ataques porque 30% dos sites são desenvolvidos sob esta plataforma.
Portanto, é importante adotar medidas para proteger nosso site e nossos dados de possíveis invasores e minimizar o risco que temos vulnerabilidades.
Estratégias que podemos implementar
Altere o caminho para a pasta wp-content
Alterar o caminho padrão para a pasta wp-content do WordPress, que é a pasta onde se encontram a maioria dos arquivos e plugins, temas que compõem nosso site. Os exploits e malware irão procurar por esta pasta para fazer a varredura e encontrar vulnerabilidades; se mudarmos a rota, tornaremos o rastreamento mais difícil.
Para fazer a mudança de rota, devemos edite o arquivo wp-config.php e modificar a constante wp_content_dir:
define ('WP_CONTENT_DIR', dirname (__ FILE__). '/ path / wp-content');Com isso ele seria mudado.
Instale apenas plug-ins seguros
Os plugins podem ser removidos do repositório oficial do WordPress.org, caso não sejam atualizados com frequência, podendo assim garantir à comunidade que os plugins têm certa segurança e também nos mostra quais plugins são mais aceitos pelos usuários. O fato de não serem maliciosos não significa que funcionem corretamente ou não tenham vulnerabilidades.
Devemos prestar atenção quando um plugin não é atualizado há anos, ele tem bugs. A comunidade de usuários descobriu que ele contém uma vulnerabilidade de segurança.
Usar WPHardening para automatizar instalações seguras
WPHardening é uma ferramenta para automatizar e executar várias verificações de segurança para que nosso site Wordpress seja configurado com segurança.
Este projeto é feito em Python e permite verificar diferentes aspectos de um site de desenvolvedor em Wordpress para procurar vulnerabilidades.
Uma das principais vantagens desta ferramenta é a automação de tarefas e as configurações de segurança são importantes para evitar a exposição de informações a possíveis invasores. Existem muitas ferramentas que foram criadas especialmente para obter e coletar todos os tipos de informações associadas a uma instalação do WordPress. Muitos Ataques contra sistemas WordPress geralmente começam com informações antecipadas com base em varreduras e coleta de informações.
Endurecimento Wp Ele pode ser baixado para nosso servidor ou computador local de sua página oficial ou do terminal com o comando usando o comando:
git clone https://github.com/elcodigok/wphardening.gitTambém podemos baixá-lo da página do projeto no GitHub:
Assim que o arquivo for instalado ou descompactado, podemos acessar a pasta wphardening.
Para utilizar esta ferramenta devemos conhecer o percurso para a web que pretendemos inspecionar e esta web uma vez que foi desenvolvida com Wordpress.
Em seguida, devemos atualizar o wphardening para nos certificarmos de que temos os repositórios mais recentes e as melhorias mais recentes que foram incorporadas, para eles a partir de uma janela de terminal executamos o seguinte comando:
python wphardening.py --updateEntão podemos começar a usar o wphardening e verificar a segurança de um site desenvolvido em wordpress usando o seguinte comando:
python wphardening.py -d / home / myuser / myweb -vLembre-se de que ele só é usado localmente, ou seja, em um servidor local ou remoto a partir da linha de comando e para sites desenvolvidos em wordpress.
Por exemplo, vou usar para este tutorial um site de demonstração feito em Wordpress em um servidor local com Xampp:
Muitas vezes temos problemas com permissões de arquivos e pastas que deixam nosso site exposto a ataques ou intrusos, para resolver este problema usamos o seguinte comando:
python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -chmod -vIsso define as permissões recomendadas para segurança adicional automaticamente.
Outra opção muito interessante desta ferramenta é a possibilidade de baixe e instale plugin e ferramentas de segurança de forma automatizada recomendado e testado.
python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -plugins
Ao executarmos o comando, ele nos pedirá permissão para instalar cada plugin de segurança, incluindo antivírus, scanner de exploit, gerenciador de banco de dados, scanner de segurança e vulnerabilidade, entre outros, ao final poderemos ver os plug-ins instalados no pasta de plugins do nosso site Wordpress. Esses plug-ins usam ferramentas e bancos de dados on-line proprietários para pesquisar arquivos e bancos de dados em nosso site WordPress em busca de rastos ou podem indicar que você foi vítima de hackers mal-intencionados.
[anexo = 12158: panta06.jpg.webp]Então do Painel de administração do WordPress podemos instalar e habilitar plug-ins de segurança.
Outra opção interessante é o criação automática de arquivo robots.txt isso negará automaticamente o acesso aos diretórios mais importantes do site. Nós também adicionamos o -o opção que nos permite criar um arquivo de log com o resultado da tarefa realizada.
python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -robots -o securitywp.log
Ao executarmos o comando, ele nos pedirá o caminho do site e então o arquivo robots.txt poderá ser criado.
Excluir os arquivos que não são utilizados é importante, pois ocupam espaço e podem ser vulneráveis, pois normalmente não são mantidos ou atualizados, mesmo em um site com muitos arquivos podem gerar confusão, por isso usaremos o comando de parâmetro remover para remove automaticamente todos os arquivos que não são usados por nosso site.
python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -remove -o securitywp.log
No final, podemos ver o log que criamos com uma lista de todos os arquivos que foram excluídos.
O ataques em sites e servidores são causados por problemas de segurança devido a vulnerabilidades em seu software devido a erros de programação ou software configurado incorretamente.
Essas vulnerabilidades permitem que os invasores usem um grande número de técnicascomo usar um parâmetro de URL para executar uma injeção de SQL, adicionar código ao seu banco de dados por meio de formulários, o que pode permitir que os dados alterem ou excluam dados importantes, como excluir todos os posts e páginas ou deixar a web desabilitada.
Os sites feitos sob Wordpress que receberam ataques, geralmente é devido a vulnerabilidades de um plugin do WordPress. Os hackers geralmente inserem malware codificado em base 64 que lhes permite executar uma função PHP em nosso site. Eles também podem deixar uma porta dos fundos em algum lugar do seu site. Esta é uma técnica que eles usarão para acessar seu site no futuro, mesmo esse tipo de ataque geralmente infecta todos os arquivos da web.
Lembre-se que todas as ferramentas que utilizamos não garantem a segurança do nosso site, além disso devemos implementar políticas de segurança O que execute backups incrementais do banco de dados e de todos os arquivos semanal ou diariamente.
Gostou e ajudou este tutorial?Você pode recompensar o autor pressionando este botão para dar a ele um ponto positivo