WordPress-Security

Aconteceu comigo e também em muitos outros blogs e sites que usam o WordPress como sistema de publicação. Injeção de código malicioso, ataques, anúncios inesperados e indesejados. Com a ajuda dos magos do código e do servidor, fui resolvendo e me sentindo perseguida. Não é o caso. Esta semana, o blog da PortoFacil, avisa que a nossa vida de blogueiros está, sim, mais difícil. E não deve melhorar tão cedo. Nas palavras do Jânio:

O que está prestes a acontecer (na verdade, dizem que já está acontecendo) é que uma botnet* com 90.000 (isso mesmo, noventa mil) máquinas está programada para fazer ataques de força bruta contra blogs WordPress. As máquinas da botnet tentam invadir o WP utilizando o usuário admin, a partir do que podem inserir códigos maldosos nas contas de hospedagem, vindo a criar uma rede não de PCs zumbis, mas de servidores zumbis, o que é muito mais preocupante porque servidores costumam ter poderosas conexões de rede, e não raro hardware de sobra para as necessidades dos sites rodando neles.

Além disso, como o WordPress é a mais popular plataforma de blogs em uso, flexível, bacana, poderoso – mais o código aberto, facilidade de programar e estender suas funções – o torna um similar ao Windows como sistema operacional. E, do mesmo jeito, alvo para o povo que faz dos vírus e malware seu modo de vida.

As dicas de proteção para o seu WordPress

  1. Nunca tenha um usuário ADMIN. Sim, é fundamental acabar com ele. Crie outro, pelo amor.
  2. Senha FORTE (números, letras, símbolos).
    1. Tem no mínimo oito caracteres (mais é melhor)
    2. Esquisita
    3. Usa pelo menos letras e números. Incluir maiúsculas e minúsculas aumenta a segurança. Símbolos elevam ainda mais o grau.
    4. Difícil inventar? Sabe aquela frase que você gosta muito? Desenhe a mesma no teclado usando números, símbolos e tudo o que houver… costuma dar muito certo.
    5. Ainda não conseguiu inventar sua senha forte? Use o Gerador de Senhas da Via Hospedagem. E se vira pra decorar.
  3. Oculte a área administrativa. Quem conhece o WordPress sabe onde está a porta de entrada. Mude o lugar e seja feliz.
  4. MANTENHA O WORDPRESS ATUALIZADO. (preciso gritar mais alto?)
  5. Atualize todos os plug-ins! Sempre.
  6. Plugin mágico: Better WP Security. Sim, uso em todos os sites e recomendo. Quem ensinou foi o Becher, lá no blog da ViaHospedagem: Protegendo a casa com o Better WP Security.
  7. Nunca use o mesmo navegador para atualizar os sites e navegar. Sim, a partir de agora, revezamento entre Chrome e Safari, Chrome e Firefox, Chrome e Opera…
  8. Anti-vírus e firewall atualizadíssimos. Scan na sua máquina local com frequência (senão, de que vale pagar anti-vírus e ter a ferramenta?).

Daí, você (como eu) faz tudo isso e… pimba! Invasão aconteceu.

Calma! Repito: calma! Depois de repetir tudo por muitas vezes (mesmo), você cansa – mesmo com a ajuda dos santos Becher e Jânio e Fabio Lobo. E desesperança também. Não tema. Há uma saída: super Manoel Netto – que, sim, também já foi vítima destes canalhas – descobriu como fechar o corpo do WordPress.

Ele muda muita coisa, uma parte do trabalho fica BEM mais difícil, mas… funciona.

Vou além: para quem lê inglês, duas páginas do WordPress.org que foram altamente instrutivas para mim, durante o processo de escrita deste post:

Hardening WordPress (endurecendo o WP, tradução tosca)

FAQ: My site was hacked – FAQ dos sites hackeados

Lembrete importante: neste cenário, mais do que nunca, é importante ter backups do seu site (fazer toda semana, mesmo). As dicas de como fazer estão lá, no velho e bom códex do WP…A Denise Rangel também tem um ótimo tutorial.

Cuidem-se. E vamos seguir tentando fazer da internet um bom lugar…

A imagem do cadeado foi devidamente surrupiada do Manoel Netto.

[Post publicado originalmente no Ladybug Brasil, reproduzido aqui devido à gravidade da situação]