Reforce a segurança do WordPress com uma camada extra de proteção

fecharEste post foi publicado há mais de seis meses, e as informações aqui contidas podem estar desatualizadas ou mesmo não terem mais nenhuma validade. Não nos responsabilizamos por eventuais mal entendidos.

Uma tendência irreversível no universo dos computadores, é que quanto mais uma ferramenta se torne popular, mais visada ela será por gente mal intencionada que tem por objetivo roubar, usurpar, destruir ou seja lá o que for que passe por suas mentes doentias. Todos já vimos isso acontecer com o Microsoft Windows, que por sua hegemonia é o alvo favorito dos crackers, o que acabou lhe rendendo uma fama negativa de “sistema operacional inseguro”.

Com a popularização do WordPress como sistema de gerenciamento de conteúdo não tardou para que ele também se tornasse alvo de ladrõezinhos que, na maior parte das vezes, só fazem usar ferramentas elaboradas por programadores capacitados, com o intuito de invadir os blogs mais populares que conhecem — o que também é um excelente motivo para que toda e qualquer instalação do WordPress seja mantida atualizada, pois sempre que uma falha de segurança é identificada ela é corrigida e uma nova versão do sistema é publicada.

O fato é que não importa quem escreva e quem use o programa, mas sim que uma invasão dessas pode custar muito caro a um blog, em termos de posicionamento e reputação junto aos mecanismo de indexação e busca (principalmente o Google), bem como ferir a confiança que os usuários depositam no blog, afetando também a visitação direta.

Esta manhã, numa inspeção de rotina em um servidor, identificamos algo muito estranho acontecendo: uma enxurrada de requisições para o script wp-login.php de um determinado blog, à razão de pelo menos duas por segundo. Obviamente, tratava-se de algum mau caráter tentando fazer uma invasão por força bruta no blog de nosso cliente.

Num post antigo do blog da PortoFácil já falamos sobre a importância de ter senhas fortes no WordPress, e este exemplo demonstra que o conselho continua tão atual como nunca.

Como dar mais proteção ao WordPress

Ontem já falamos aqui sobre como melhorar a segurança do WordPress desabilitando os scripts no diretório de uploads. Na verdade, essa dica pode ser estendida para todo o diretório wp-content, bem como para o wp-includes. Nenhum arquivo constante nesses locais deveria ser executado diretamente a partir do navegador, apenas internamente no WordPress por meio de algum mecanismos como require() ou include().

Desabilitar a execução de scripts nestes locais impedirá que um exploit instalado neles possa ser rodado, mas não impede que ataques como o que inspirou esta matéria deixem de acontecer. Para isso temos duas outras sugestões a dar.

Plugin Login Lockdown

Este plugin, como o nome sugere, age monitorando as tentativas de login. Se um usuário, de um determinado IP, errar a senha mais vezes do que o permitido num determinado período, o IP dele fica impedido de acessar a página de login durante um certo tempo; tudo isso é definível nas configurações.

De fato, é a proteção mais simples contra tentativas de invasão por força bruta.

Proteger o arquivo wp-login.php com uma senha no .htaccess

A ideia aqui é criar uma senha adicional, que deverá ser informada antes da senha do WordPress.

A vantagem é que, por se tratar de uma senha definida no .htaccess, caso o visitante erre a senha mais do que três vezes não será um bloqueio apenas no WordPress que o manterá afastado, mas sim um bloqueio direto no firewall (o que economiza recursos do servidor, além de ser um bloqueio ainda mais efetivo).

Este truque não deverá ser utilizado em blogs que tenham cadastro aberto para leitores, ou que aceitem contribuições de outras pessoas que não o próprio administrador, pois revelar esta senha adicional a outras pessoas seria um despropósito.

Em função de não ser um procedimento que se realize pelo cPanel, envolvendo uma complexidade um pouco maior, pedimos a quem queira fazer uso deste que abra um chamado de suporte. Teremos máximo prazer em ajudar.

Conclusão

O pilantra que fez a tentativa de invasão teve seu IP identificado, e foi bloqueado permanentemente no firewall. A julgar pela personalidade prepotente deste tipo de pessoa, apostamos uma caixa de mariolas como ele ficou super orgulhoso, achando que conseguiu derrubar o servidor com sua tentativa de invasão.

 

Quero ser cliente da PortoFácil!Contato

Avalie este conteúdo!

Avaliação média: 4.58
Total de Votos: 36

Reforce a segurança do WordPress com uma camada extra de proteção

Compartilhe

Publicado por Janio Sarmento – 20 de maio de 2011