Como Prevenir Ataques ao seu Website WordPress

O problema

Todos os dias milhares de websites pelo mundo são atacados por diversas razões, que vão desde acesso á dados, informações bancárias de Lojas Virtuais e até a simples diversão de algumas pessoas (por mais estranho que essa diversão pareça ser).

Antes de começar. gostaria de deixar claro que modo certo de se defender, embora existam formas erradas aos montes. Também não exites um apenas, a intenção neste artigo é analisar o que acontece e mostrar o modo como nós costumamos fazer aqui na ITC.

Também como somos completamente transparentes com nossos clientes, e como (claro!) aqui não é a Europa, muito menos a Disney, apostando e utilizando meios e aplicativos gratuitos e atualizados, onde as funcionalidades free fazem exatamente o que precisamos. Geralmente Plugins Pagos são cotados em Dólar e acabam formando um custo que terá de ser repassado ao cliente em algum momento.

como saber o que está acontecendo

Tão logo você evidencie que seu Website pode ser um alvo em potencial de ataques seja pela natureza do conteúdo, seja pela capacidade técnica da pessoa que o criou, algo urgente é procurar saber se existe alguma implementação de segurança ativa (se você não recebe avisos automáticos periodicamente é um mal sinal). Para automatizar isso existem bons plugins, incluindo gratuitos que fazem isso.

Basicamente eles realizam um escaneamento automatizado procurando por conteúdo malicioso conhecido, e (muito importante!) também se os arquivos de configuração do WordPress estão como os arquivos originais ou padrão da distribuição.

Um dos melhores em todos os quesitos citados e gratuito chama-se Wordfence, e pode ser baixado diretamente no painel. Ele lhe fará um escaneamento diário, e se houver algo errado ele irá lhe avisar por e-mail muito antes do Google Search Console ou outra ferramente detectar e prejudicar o ranqueamento (sua posição na fila pela busca por determinado conteúdo). O e-mail sempre irá conter um link direto para a lista de problemas e até mesmo atualizações de plugins, e em cada arquivo ele dará a opção de automaticamente consertar (nem sempre é possível) ou deletar.

Lembre-se que não é nada recomendável ficar excluindo arquivos que você não sabe para que serve e é lógico que temos que mandar nosso jabá: se não souber como faz contata a gente.

Receba notificações de quem e onde estão tentando entrar em seu administrador

Uma parcela muito grande de agências e desenvolvedores autônomos possui o mesmo modo de desenvolver e publicar, e acaba fazendo as coisas sempre do mesmo modo, e é lógico que pessoas má intencionadas sabem disso e ficam tentando entrar com força bruta ou usando os logins e senhas mais comuns com base no domínio ou conteúdo da página.

A dica aqui bem simples, use o Sucuri Security. Ele irá te avisar quando alguém tentar ou conseguir logar, bloquear as tentativas em excesso e implementar várias ações de segurança automaticamente.

Se você acessar aqui poderá também realizar uma checagem em seu site com a aplicação da Sucuri. Esse além de funcional é extremamente ágil, faz notificações em tempo real (já acompanhamos tentativas de invasão em aplicações da empresa ao vivo, bloqueado com sucesso por ele, claro!).

Modifique a url de login

Claro que os invasores com menor habilidade ou mesmo os profissionais começam pelo mais básico, e uma das coisas mais básicas é mudar o wp-login.php por outra coisa. Não é a coisa mais elaborada do mundo, aqui a gente usa o WPS Hide Login, e ele basicamente possibilita você substituir a URL do login por qualquer outra que deseje.

Isso serve para melhorar a estética (um pouquinho) e também ajuda que além de invasores os curiosos não consigam encontrar um modo de tentar logar, mas também não coloque admin (é manjado e protegido pelo WordPress também) ou administrador, é praticamente a segunda coisa que qualquer um tentaria.

O que mais não fazer?

Temas e Plugins Nulled, sem origem ou sem licenciamento são o prato cheio para isso. Temas e plugins de qualidade são em Dólar e para a realidade do Brasileiro pode ser um exagero, mas infelizmente na maioria das vezes que realizamos intervenções em Websites aqui na empresa o inimigo está dentro da trincheira.

Faz algum tempo que decidimos parar de usar Templates exceto em alguns casos, e por isso criamos um padrão bem básico e desenvolvemos conforme a necessidade do cliente a partir daí, dá trabalho e necessita de conhecimento (não é a realidade de todos os desenvolvedores, e se você não programa pode utilizar seu comprado ou gratuito, há excelentes opções), mas pela frequência que usaríamos licenças acabaríamos por não conseguir competir em lugar algum. Por isso a melhor ferramenta sempre será o conhecimento.