Mais Segurança ao WordPressUltimamente temos lido notícias de que os blogs em WordPress tem sido invadidos sem que os seus autores notassem o que estava acontecendo. Os ataques tem se resumido à prática de black-hat SEO, colocando informações invisíveis ao leitor comum, mas visíveis aos robôs de indexação de conteúdo.

Isto por si só já é muito ruim para quem mantém um blog sem muito compromisso. Mas para quem mantém um blog seriamente, é a morte. Principalmente porque o Google considera essa prática de SEO inaceitável e retira TODO o seu conteúdo dos seus índices de busca. E dependendo de qual era a popularidade do blog e do seu pagerank, pode significar uma perda de 60 a 80% das visitas, ou seja, todo um trabalho arduamente construído meses a fio vão para o lixo.

Eu já tinha alguma paranóia quanto a segurança no WordPress, como podem ler no meu texto de fevereiro/2008 – Segurança: Monitorando os Logins no blog. Agora com essa onda de invasões – basta googlar “WordPress Security Issues” para se ter uma idéia – o alerta vermelho anda apitando…

Dos textos que andei lendo, destaco estes softwares e plugins:

Filezilla – um cliente FTP gratuito que aceita o protocolo SSH. O FTP comum é bastante inseguro pois seus dados trafegam sem segurança alguma. Utilizando o protocolo SFTP com SSH, tudo é criptografado, aumentando a dificuldade na captura de seus dados. Infelizmente, a possibilidade de uso do SFTP depende da sua hospedagem. Consulte o seu suporte antes de mudar as configurações no cliente FTP.

WordPress Scanner – um plugin para verificar se o seu blog foi invadido. O scaneamento é feito através do acionamento de um cgi nesta página do desenvolvedor.

Login LockDown – Plugin WordPress que bloqueia o endereço IP após N tentativas de login sem sucesso. Muito importante para bloquear as tentativas de invasão por força-bruta.

Login Logger – Plugin que mostra todas as tentativas de login sem sucesso, além de mostrar quem está logado no momento. Para os casos em que a invasão ocorre sem a alteração da senha do administrador do blog.

Admin SSL – Plugin que criptografa o seu login através do protocolo SSL. Infelizmente, também depende de que a sua hospedagem disponibilize um certificado para uso. Recomendado pelo próprio WordPress.org

Além desses softwares e plugins, há uma série de ações que devem ser tomadas para aumentar a segurança do WordPress. Para uma leitura completa, recomendo os textos

Hardening WordPress
8 Security Tips and Guidelines for Your WordPress Blog
WordPress Security Tips and Hacks
WordPress Security Prevention, Reactions and Scares
WordPress Security Issues Lead to Mass Hacking. Is Your Blog Next?

E para finalizar: “Só porque sou paranóico, não significa que eu não esteja sendo seguido“. :P

Atualização: se você não quiser ativar o plugin WordPress Scanner para fazer o teste via cgi, tente usar o WP Security Scan.


Del.icio.us : , ,



Compartilhe!

Enviar este post para o Ping.fm    Enviar este post para o Ueba    Enviar este post ao Linkk    Enviar este post para o diHITT    Enviar este poat ao REC6    Enviar este post ao StumbleUpon    Enviar este post ao del.icio.us    Enviar este post ao Technorati