A segurança dos sites nos dias de hoje está sendo cada vez mais necessária. Com o crescente aumento no número de pessoas conectadas, maior é o número de hackers tentando se aproveitar do descuido delas para roubar informações importantes e muito mais.
No post de hoje irei mostrar 4 formas de analisar a segurança do seu WordPress. Seja para descobrir malwares, quanto para identificar plugins desatualizados (que são uma das principais portas de acesso para hackers).
Para começar a analisar a segurança do seu WordPress, eu trouxe algumas ferramentas que utilizo e recomendo.
WordPress Security Scan
Esta ferramenta web gratuita serve para testar vulnerabilidades de um site WordPress. Faz verificações da segurança de aplicativos, plugins da plataforma, servidor web e ambiente de hospedagem do site no WordPress.
WordPress Plugins
Nesse tópico a ferramenta irá analisar se há plugins que interagem com o HTML da página inicial e verifica se algum deles está desatualizado. Afinal, os plugins desatualizados são portas de fácil acesso para malwares e hackers. Como dica, mantenha-os sempre atualizados para a versão mais recente disponível e verifique a página do plugin de desenvolvedores para obter informações sobre atualizações e correções relacionadas à segurança.
WordPress Theme
A partir do diretório / wp-content / themes / * * / a ferramenta tenta descobrir qual o tema que seu site usa e se o mesmo está atualizado ou não.
Como dica: remova todos os temas não utilizados para minimizar a superfície do ataque da instalação do WordPress.
User Enumeration is possible (A enumeração do usuário é possível)
Nessa etapa a ferramenta testa os dois primeiros IDs de usuários para determinar se a enumeração do usuário é possível, ou seja, descobrir o usuário do login ao administrativo.
Recomenda-se mudar o nome padrão da conta de usuário “admin” para reduzir as chances de ocorrência de ataques de brute force. Isso irá reduzir a chance de robots maliciosos obter acesso ao seu site.
Directory Indexing is NOT Enabled (A indexação de diretório NÃO está habilitada)
A ferramenta testa a indexação do diretório das páginas / wp-content / uploads / e / wp-content / plugins /.
É uma boa prática garantir que a indexação de diretório esteja desativada para a instalação completa do WordPress, seja através da configuração do servidor web ou .htaccess.
Linked Sites (Sites Vinculados)
Nessa etapa a ferramenta usa as verificações de navegação segura do Google em cada link contido na página analisada e busca por links com má reputação, pois podem demonstrar ameaças ao usuários do seu site.
Loaded Resources (Recursos Carregados)
Por fim a ferramenta irá te listar todos os arquivos JavaScript ou iframes vinculados a página para, assim, buscar por arquivos maliciosos. Fora a parte de segurança, se forem encontrados arquivos maliciosos ou desnecessários, a remoção deles irá acelerar seu site.
Apenas com essa primeira ferramenta você já pode notar melhorias na segurança do seu site ou blog, mas continue lendo que ainda não acabou.
Sucuri SiteCheck
Essa ferramenta gratuita da Sucuri, vai analisar seu site e identificar as seguintes situações:
- Irá verificar se o site possui algum Malware;
- Se o link do site está listado em alguma BlackList;
- Verifica conteúdo de SPAM injetado no site;
- Além da desfiguração da página.
A ferramenta, na aba de Website Details irá te mostrar mais detalhes do seu site, como detalhes da hospedagem, lista de links encontrados na página e lista de Scripts vinculados. Caso for encontrado algum erro você também saberá mais sobre ele nesta seção.
E por fim, mas não menos importante, a seção de Blacklist Status onde você poderá analisar se seu site se encontra em alguma lista negra.
SSL Checker
Esta ferramenta irá verificar seu site e diagnosticar possíveis problemas com a instalação do Certificado SSL.
Com ela você poderá verificar:
- Se a instalação do Certificado SSL está correta;
- Se o SSL é válido;
- Qual é a certificadora;
- Em quanto tempo ele irá expirar;
- Se é confiável;
- E se há erros no Certificado para algum usuário.
WPScan
Diferente das ferramentas citadas anteriormente, o WPScan não pode ser acessado pelo navegador, você precisa ter algum conhecimento em programação e utilizar o sistemas operacionais Linux ou MacOS.
A ferramenta possui um banco de dados com mais de 8 mil vulnerabilidades, entre temas, arquivos e plugins. E esse banco de dados é atualizado diariamente com novas falhas do WordPress.
Se você se interessou por essa ferramenta, veja o material como instalar WPScan e encontrar vulnerabilidades no WordPress.
Dicas
Espero que tenha gostado das ferramentas, com elas é possível tirar ótimos insights sobre a segurança do seu WordPress.
E se segurança é sua prioridade no momento lembre-se do principal:
- Mantenha seu WordPress sempre atualizado na sua versão atual (plataformas, temas e plugins);
- Fique atento a vulnerabilidades no tema. Use a ferramenta WordPress Security Scan para verificar se há algum plugin desatualizado;
- Verifique se seus plugins não possuem vulnerabilidades. Não deixe de conferir nossa lista de plugins WordPress com vulnerabilidade;
- Use senhas fortes;
- Configure de forma correta as permissões de arquivos;
- Impeça múltiplas tentativas de acesso e registro de novos usuários;
- Dobre a atenção se seu site ou blog estão em uma Hospedagem Compartilhada.
Para ter mais informações sobre essas dicas, confira o post 7 dicas de segurança para WordPress.
Lembre-se de proteger a área de administração do seu site e se possível alterar a URL admin do WordPress para garantir a segurança do seu sonho e investimento.
E se o seu site já possuir Certificado SSL com o protocolo HTTPS configurado corretamente, configure-o para ser HTTPS FULL.
Espero que você tenha gostado desse conteúdo.
Te convido a ajudar mais pessoas a analisar a segurança do seus sites, compartilhando esse artigo com seus amigos.
Um grande abraço e até a próxima!