Por trabalhar com WordPress, é comum que eu seja questionado sobre a segurança da plataforma. Na internet, circulam muitos conselhos de segurança, alguns deles de pessoas bem-intencionadas, outras dicas são baseadas em mitos de segurança que, na verdade, podem aumentar a probabilidade de ataques.
Utilizando 20 mil tickets de suporte, a empresa IThemes realizou um levantamento de acordo com frequência em que o mito foi mencionado, o número de dores de cabeça causadas pelo mito e a falsa sensação de segurança que o mito apresenta.
Mito 1: Ocultar o / wp-admin ou / wp-login URL (também conhecido como Hide Backend)
A ideia por trás de esconder o wp-admin é de que hackers não podem hackear o que não conseguem encontrar. Se a sua URL de login não for o padrão /wp-admin/ URL, você estará protegido contra ataques de força bruta?
A maioria dos recursos do Hide Backend são na verdade, segurança por meio da obscuridade, o que não é uma estratégia de segurança à prova de balas. Embora a ocultação de sua URL possa ajudar a atenuar alguns dos ataques em seu login, essa abordagem não interromperá todos eles.
A personalização do URL de login também é conhecida por causar conflitos. Existem alguns temas, plugins e aplicativos de terceiros que codificam hard-wp-login.php em sua base de código. Então, quando um software codificado permanentemente está procurando por seusite.com.br/wp-login.php, ele encontra um erro.
Mito 2: Ocultar o nome do seu tema e o número da versão do WordPress
A teoria por trás da ocultação do nome do tema e da versão do WordPress é que, se os invasores tiverem essas informações, eles terão o plano para invadir seu site.
O problema desse mito, é que não há um hacker procurando a combinação perfeita de tema e número de versão para atacar. Mais do que isso, os hackers utilizam bots irracionais que vasculham a internet em busca de vulnerabilidades conhecidas no código em execução no seu website, por isso, ocultar o nome do seu tema e o número da versão do WordPress não protege você.
Mito 3: Renomear o diretório wp-content
O diretório wp-content contém seus temas, plugins e mídia. Isso é uma tonelada de arquivos e códigos executáveis em um único diretório, por isso é compreensível que as pessoas queiram proteger essa pasta.
Infelizmente, é um mito que a alteração do nome do conteúdo do wp adicione uma camada extra de segurança ao site. Não vai. Um hacker pode encontrar facilmente o nome do seu diretório wp-content, usando ferramentas de desenvolvedor do navegador.
Alterar o nome do diretório não adicionará nenhuma segurança ao seu site, mas pode causar conflitos para plugins que tenham o caminho do diretório /wp-content/ codificado.
Mito 4: o meu site não é grande o suficiente para chamar a atenção dos hackers
Esse mito de segurança do WordPress deixa muitos sites vulneráveis a ataques. Mesmo se você é o proprietário de um site pequeno com pouco tráfego, ainda é crucial para você ser proativo em proteger o seu site.
A verdade é que seu site ou empresa não precisa ser grande para atrair a atenção de um invasor em potencial. Os hackers ainda vêem uma oportunidade de usar seu site como um canal para redirecionar alguns de seus visitantes para sites maliciosos, enviar spam do seu servidor de e-mail, espalhar vírus ou até mesmo minerar o Bitcoin.
Mito 5: WordPress é uma plataforma insegura
O mito de segurança mais prejudicial do WordPress é de que o próprio WordPress é inseguro. Isto simplesmente não é verdade. O WordPress é o sistema de gerenciamento de conteúdo mais popular do mundo, e chegou ao topo levando a segurança a sério.
Normalmente, a vulnerabilidade é causada pelo próprio administrador do site. As falhas de segurança são causadas pela desatualização da plataforma, temas e plugins na maioria dos sites. Manter o seu sistema atualizado é a chave para manter-se seguro e uma boa alternativa é ativar as atualizações automáticas para que não precise executar manualmente.
Fonte: Rafael Sartori, Jornal 140
