Segurança no WordPress

O WordPress publica a cada 3-4 meses actualizações do core do WordPress e no caso de incidentes críticos as correcções são disponibilizadas de imediato. Dado o uso crescente da utilização do WordPress tem havido cada vez mais especialistas a declarar o WordPress como um CMS capaz para se implementar os mais altos níveis de segurança.

Na WidgiLabs a segurança do seu site é um assunto que encaramos com extrema importância e que levamos muito a sério. Ao termos um site online estamos sempre sujeitos a um elevado número de possíveis ataques e ocorrências, sejam tentativas de intrusão no servidor, exploração de falhas de segurança na programação do site ou no WordPress, ataques de spammers, entre outros. 

Para proteger os sites contra estes ataques é preciso tomar várias medidas: desde fazer as actualizações ao WordPress (core + plugins + temas), instalação de todas as atualizações de segurança que sejam lançadas (normalmente automáticas), backups da base de dados, instalação de ferramentas de controlo e monitorização, e outras. Nesta página vou falar de algumas acções que podem ser tomadas e seguir estas recomendações irá aumentar o nível de protecção do seu site. A segurança é feita por camadas e cada acção adicional irá aumentar o nível de segurança.

Começemos no entanto por analisar a origem da maioria dos problemas de segurança em sites WordPress através desta imagem:

A maioria dos problemas ocorre em plugins (muitas vezes desactualizados) seguido do WordPress core (quando desatualizado) e por fim em temas (também muitas vezes desatualizados). Por esta razão a regra de ouro é manter sempre o core+plugins+temas atualizados. A segunda regra de ouro é escolher bem os plugins e temas com que trabalha. Veja como escolher temas e plugins aqui.

Segurança WordPress: Proteger antes de chegar ao servidor

Sempre que possível deve optar por proteger o seu site fora do WordPress! O que significa isto? Significa que não vai precisar instalar sequer nenhum plugin de segurança? Talvez não, mas pelo menos poderá poupar muitos ciclos de CPU ao seu servidor/alojamento.

Isto porque usando um serviço como a Cloudflare (ou em alternativa a Web Firewall da Sucuri) consegue-se bloquear os pedidos maliciosos mesmo antes de estes chegarem ao nosso servidor e serem processados pelo PHP e pelo WordPress. Desta forma o nosso servidor ficará mais leve e disponível para processar os pedidos que interessam (por parte de visitantes e clientes).

Segurança WordPress: Acções Recomendadas

Por forma a proteger os sites propomos então que tome as seguintes acções:

• Uso da Cloudflare ou em alternativo uso de uma Web Firewall, e.g. Sucuri
• Filesystem em modo read-only (alojamentos como o WPEngine (link afiliado), Pantheon e outros já exigem isto por default) ou se isso não for possível pelo menos desactivar a edição/modificação dos ficheiros, ver como aqui.
• Activação de autenticação em 2 passos para todas as contas “admin” (no mínimo) ou para todos os utilizadores (ideal), um bom plugin pode ser encontrado aqui.
• Uso de plugins como o All-in-one WordPress Security, Prevent XSS Vulnerability ou Wordfence Security.
• Outras medidas previstas no guia Hardening_WordPress

Como validar a segurança

Por forma a validar que o site segue os mais altos padrões de segurança que se pretende recomendo:

• Abrir um bug hunt no openbugbounty.org (gratuito) – ao fazer isto especialistas de segurança vão analisar o seu site e detectar proativamente problemas;
• Auditoria ao código do website por parte de empresa externa especializada (serviço pago);
• Testes proativos de intrusão por parte de empresa externa especializada (serviço pago);
• Usar um serviço como a empresa portugesa Codacy que detecta problemas de segurança no código (gratuito para projetos open-source).

Atenção: O seu alojamento deverá implementar as melhoras práticas a nível de segurança. Senão todo o seu trabalho vai ser em vão.

Security headers de HTTP

Os Security headers de HTTP oferecem elevados níveis de proteção e é importante que os sites os implementem. Felizmente, existe um bom plugin gratuito aqui. Para configurar os Security headers de HTTP no site sugiro as seguintes configurações:

• Strict-Transport-Security: max-age=31536000; preload
• X-Frame-Options: SAMEORIGIN
• X-XSS-Protection: 1; mode=block
• X-Content-Type-Options: nosniff
• Referrer-Policy: strict-origin-when-cross-origin
• Content-Security-Policy: upgrade-insecure-requests; block-all-mixed-content;

Para testar se está OK pode usar esta ferramenta gratuita para verificar, bastando colocar o endereço do seu site.

Segurança WordPress: XML-RPC sem partir o JetPack

Recomendo a utilização deste plugin.

Segurança WordPress: REST API só para utilizadores loggados

Recomendo a utilizações deste plugin.

Notas adicionais

A NSA considera o WordPress adequado para ser implementado em vários sites governamentais dos Estados Unidos, sites estes que requerem obviamente altos critérios de segurança. Inclusive o site da casa branca está a usar WordPress.
Ver também “WordPress in Goverment workshop” by WP VIP.

O WordPress está a ser usado inclusive em sites da Banca e de Hospitais/Instituições de Saúde onde os dados são igualmente muito críticos, ver:

• I’m powering a banks website using WordPress
• Ver o showcase do Barnsley Hospital NHS Foundation Trust

É diretor geral da WidgiLabs, agência digital especializada em WordPress e e-Commerce que constrói sites há mais de 15 anos. Trabalhou com marcas nacionais e internacionais, como Forbes e Vodafone, e trabalhou no lançamento das maiores instalações de mídia WordPress em Portugal, Observador e ECO, as quais ambas ganharam prémios. Trabalha com empresas dos mais variados sectores da industria e também com startups, como a Uniplaces, que é agora um caso de estudo internacional. Tem a experiência de sites com milhões de pageviews mensais e trabalha com designers e developers de topo. A sua paixão é a Web. Gosta de expandir o que é possível criar e ajuda as empresas a reduzir a lacuna entre onde estão e para onde querem ir, de uma maneira criativa e divertida. É formador na FLAG nas Academias de Marketing Digital e docente no IADE/Universidade Europeia, na Pós-Gradução em Web Design e nas licenciaturas de Marketing e Design. 

Atualizado a 9 de Novembro de 2022