Essas dicas foram traduzidas de sites americanos e, outras cedidas por alguns companheiros de um fórum que freqüento. Além disso, recomendarei alguns plugins para aumentar um pouco a segurança do Wordpress.

A dica sagrada para um blog seguro é simples: atualize. Existe um problema tanto no 2.5.1 tanto nas versões anteriores que é a questão do exploit. Não tenho muita certeza mas, parece que nessa nova versão (2.6) as coisas já foram corrigidas. Esse exploit direcionava as visitas do seu blog para um outro site/blog, causando uma drástica queda no número de visitantes. Por isso, é sempre bom, manter atualizado o blog. Mas, também é importante manter atualizado duas coisas que algumas pessoas esquecem de dar valor: temas e plugins. Esse último, é mais importante pois, não foi desenvolvido pela equipe do Wordpress e, pode passar com detalhes despercebidos… O bom do Wordpress 2.5.x e 2.6, é a possibilidade de fazer o upgrade com um clique.

Segundo o blog Lorelle on Wordpress, em 2005 o WP contava com 11 vulnerabilidades conhecidas e, nesse ano (2008) já possuía 34 vulnerabilidades.

Número de vulnerabilidades conhecidas

Outra dica importante, que é não apenas um fator óbvio mas, também “sagrado” é, o chamado backup. Faça um backup de todos os arquivos do seu blog. Isso inclui: imagens, vídeos, plugins, temas e, principalmente posts. Mas, como fazer isso de uma forma fácil? Existe um plugin disponível, chamado BackUpWordpress e que possui diversas funções bacanas e úteis: agendamento de backup, backup de todos os arquivos do blog, restaurar backup, notificar por e-mail quando novos backups estiverem disponíveis, entre diversas outras funções. O download dele, está disponível no blog do criador.

Outro plugin muito importante, é o WP Security Scan. Ele avisa quando existem problemas e, sugere recomendações que você deve seguir. É um plugin bastante útil e, fácil de ser utilizado e, instalado. Algumas pessoas recomendam outro plugin com nome semelhante chamado WP Scanner.

O blog Noupe dá algumas dicas de modificações de código que podem ser feitas para aumentar a segurança no blog. Uma dica muito fácil de ser feita, é a modificação do arquivo header.php, retirando o número da versão do Wordpress. Basta remover essa parte do código:

<meta content="WordPress <php bloginfo(’version’); ? />;" name="generator" />

Na qual, a parte (’version’) equivale, obviamente, a versão na qual o blog roda. Outras dicas, servem para como proteger a pasta ‘wp-admin‘, outro blog interessante é o Wp-Designer, com algumas dicas sobre códigos também.

Para informações sobre, o que pode acontecer com os blogs que foram hackeados ou que tiveram a falta de sorte de serem “atacados” pelo exploit, o blog Self Made Minds possui algumas informações. Outra coisa que você pode fazer, que além de ser útil para você, será útil para todos os usuários do Wordpress, é reportar os bugs.

Outra dica interessante, é colocar senha pelo .htacess e .htpasswd. Existe um plugin chamado AskApache Password Protection Plugin. Para ficar esperto, as vulnerabilidades mais comuns em temas.

Uma dica que vale a pena, não só para blogs e, sim para qualquer aplicação na internet, é algo simples e fácil de ser criado ou modificado: senhas. É importante não utilizar os mais freqüentes tipos de senhas. Por exemplo, se você for o administrador do blog, jamais use senhas como 123456 ou qwerty. O Blog Herald, mostra os mais freqüentes tipos de senhas:

• Nomes do meio
• Pronúncias do nome (Nomes falados)
• Número de telefone
• A palavra “password” ou, no caso “senha”
• Datas de aniversário
• O uso simples ou combinado das palavras amor, deus, sexo e dinheiro. Algo como: amordinheiro ou deussexo
• qwerty
• 123456 ou 654321
• abc123
• password1 ou senha1
• asdf
• Número da sua identidade, ou carteira de motorista
• seunome1
• A senha padrão
• 852456 ou 951753

Essas senhas aí em cima, não devem ser utilizadas em hipótese alguma. Tá bom, podem ser utilizadas quando o WP estiver instalado localmente e, apenas para testes. O blog dá algumas dicas de como devem ser feitas as senhas.

Agora, o mais importante, não basta ter tudo atualizado se, uma coisa não está: seu antivírus. Tá bom, tem pessoas que não precisam de antivírus mas, se você for um usuário assíduo da Internet, passa 15 horas por dia no computador, o resto deixa o computador ligado baixando alguma coisa, você pode estar em risco. Por isso, mantenha seu antivírus atualizado. Seja ele original, pirata, opensource ou freeware. Os melhores são: Kaspersky (Pago), NOD32 (Pago), Avast (Grátis e Pago), McAfee (Pago), AVG Free (fracasso)… Se você não quer um antivírus, considere a possibilidade de baixar um firewall, não sei qual são os melhores atualmente. Parece que o Comodo Firewall é uma boa.

Outra questão de vulnerabilidades é no servidor. Consulte seu provedor de hospedagem e, caso use servidor dedicado não-gerenciado, mantenha-o atualizado.

Lista de plugins interessantes para uso:

1. WP Security Scan
2. HTML Purified (bom contra XSS)
3. AskApache Password Protect
4. Admin SSL
5. Login LockDown
6. Project Honeypot

Ainda não acabou. Confiram algumas dicas sobre PHP/SQL Injection.

Se você configurar o php.ini corretamente, já obterá uma percentagem significativa de segurança.

safe_mod = on -> Impede que sejam executados script em PHP. Se estiver Safe_mod = off qualquer um pode executar Script como se fosse o administrador. Também restringe diretórios, como /etc/paswd (LFI).

safe_mod_gid = off -> Quando o Safe_mod esta “on”, o safe_mode_gid simultaneamente esta off. O primeiro restringe para todos, menos para o administrador, jí o segundo, da permissões à um grupo de usuírios autenticados.

allow_url_fopen = off -> Impede que seja feito “acesso remoto”, pois restringe acesso include (incluir).

display_errors = off -> Serve para mostrar/reportar os erros do PHP. Sempre é bom saber como corrigir, pois os logs é armazenado no servidor, e não mostrado no browser.

Dicas do Muniz

Veja também:

1. WordPress Security Prevention, Reactions and Scares >> Lorelle on Wordpress
2. Backing Up Wordpres >> Lorelle on Wordpress
3. Wordpress Hacked >> Base Blogging
4. Restoring your database from backup >> Codex Wordpress
5. Tips for WP 2.5 >> Blog Herald
6. Did Your Wordpress site Get Hacked? >> Holy Shmoly!
   
7. Make Sure Your WordPress is Not Hacked >> Daily Blog Tips
8. SecurityFocus SQL Injection Bogus >> MA.TT
9. Hardening WordPress >> Codex Wordpress
10. PHP Injection >> Fórum Invaders
11. Técnica PHP Injection - Por que ocorre? >> Fórum Invaders

Espero que as dicas que dei e, que traduzi sejam boas. Nenhum blog está totalmente seguro.