O processo de segurança do WordPress; Testar, Endurecer, Monitorar, Melhorar

A segurança do WordPress não é diferente de muitas outras áreas de segurança de TI. Não é uma correção de uma vez. É algo que nunca está realmente terminado. Embora existam várias etapas que você pode seguir para melhorar sua segurança do WordPress, seus requisitos de site e negócios mudarão. Portanto, adotar uma avaliação de segurança pontual só lhe dará uma falsa sensação de segurança. Em vez disso, a estratégia vencedora é seguir um processo contínuo . Um processo de testar constantemente suas defesas e iterar isso para melhorar a postura de segurança do seu site.

Este artigo visa oferecer um processo iterativo de longo prazo simples de seguir que você pode implementar para garantir que seus esforços de segurança do WordPress sejam contínuos e continuem a ser relevantes para o cenário de ameaças em que você e sua empresa estão operando.

1. Teste a segurança do WordPress

A maioria das jornadas de segurança do WordPress começa aqui; você notou algo mal configurado na sua instalação do WordPress ou leu sobre o uso de ferramentas como WPScan ou nmap para avaliar a segurança do seu site WordPress. Talvez você tenha sido vítima de um incidente de segurança e gostaria de ler sobre como testar sua segurança do WordPress.

O teste de segurança é uma etapa vital em uma estratégia de segurança contínua do WordPress. Ao observar seu site pela mesma lente de um invasor, você pode entender melhor sua postura de segurança. Isso significa que você conhece o que pode ser feito para fortalecer suas defesas contra as fraquezas que identificou. Consulte a etapa 2 para obter mais detalhes sobre isso.

Se você não sabe por onde começar a testar sua segurança do WordPress, contrate um profissional terceirizado. Claro, nada impede que você construa gradualmente seu conhecimento para testar seu site WordPress por conta própria.

2. Fortalecendo o WordPress

Depois de entender o que seus testes de segurança descobriram, é hora de fortalecer sua instalação do WordPress. Por padrão, o WordPress é razoavelmente seguro. No entanto, existem muitas opções, otimizações e alterações que você pode fazer na configuração do WordPress e na infraestrutura do servidor para dificultar a vida de um invasor. Muitas dessas otimizações — muitas das quais podem depender do seu caso de uso. Esse processo é geralmente chamado de “endurecimento de segurança” ou simplesmente “endurecimento”.

O fortalecimento da sua instalação do WordPress certamente não é um caso único. Você precisará instalar novos plugins e estender a funcionalidade do seu site WordPress para acomodar as mudanças nas necessidades de negócios. Certamente não faltam recursos para você começar a reforçar a segurança do WordPress. A seguir estão dois princípios básicos que você deve seguir ao fortalecer sua configuração do WordPress.

Execute menos software

Inicialmente, “executar menos software” não parece muito útil. No entanto, provavelmente você está executando mais software do que o necessário. Isso também significa mais espaço para os invasores explorarem possíveis pontos fracos nesse software extra .

Se você não sabe por onde começar, comece dando uma olhada nos seus plugins do WordPress. Pergunte a si mesmo o que você pode fazer sem e remover. Aplique o mesmo princípio às extensões PHP, configuração do servidor web e ferramentas do sistema operacional e serviços de rede.

Descartar o software geralmente não é um processo fácil para começar. No entanto, cada vez que você fizer esse exercício, ficará mais difícil. Embora o resultado de executar um sistema mais enxuto valha o esforço.

Além de sempre certificar-se de testar quaisquer alterações em um ambiente de teste ou teste, você também deseja certificar-se de não remover software como o firewall do WordPress, o log de atividades do WordPress ou os plug-ins do monitor de integridade de arquivos do WordPress, que estão lá para melhorar a segurança do seu WordPress.

Isso também se aplica a plugins e temas desativados. Plugins desativados devem ser excluídos imediatamente, porque em alguns casos, seu código ainda pode ser explorado se estiver vulnerável. Em relação aos temas, seu site usa apenas um tema. Talvez dois se você tiver uma configuração de tema filho. Exclua todos os temas adicionais do seu site, incluindo os padrão enviados com o WordPress.

Princípio do menor privilégio

O WordPress não precisa do usuário root do MySQL para ser executado. Da mesma forma, é uma má ideia executar a maioria dos softwares como root em servidores Linux (equivalente a Administrador no Microsoft Windows). Use apenas as contas admin/root se houver uma razão justificável para fazê-lo.

Nesse sentido, como regra geral, sempre tente ao máximo dar a um aplicativo ou usuário o mínimo de privilégios possível para realizar o trabalho. Claro, executar tudo como root ou administrador significa que tudo funcionará sem se preocupar com privilégios. No entanto, é potencialmente muito perigoso. A execução de aplicativos (incluindo tarefas como cron jobs) com privilégios administrativos pode permitir que um invasor ou um plug-in malicioso cause mais danos no caso de uma violação de segurança.

Se você não tem certeza por onde começar, comece dando uma olhada em quem é um administrador no WordPress e decida se você precisa limitar isso de alguma forma - enquanto você está nisso, você pode querer ter certeza de que está acessando o administrador do WordPress via HTTPS (SSL) e que você implementou a autenticação de dois fatores (2FA) (ou que pelo menos você implementou a autenticação HTTP para o seu administrador do WordPress).

Obviamente, existem várias outras dicas de proteção de segurança do WordPress que você pode implementar para melhorar a postura de segurança do seu site WordPress. Consulte nossos tutoriais e dicas de segurança do WordPress para saber mais.

3. Monitore o WordPress

Os logs são absolutamente cruciais para manter qualquer sistema seguro. Eles são a coisa mais próxima que temos de uma máquina do tempo. Ser capaz de responder o que aconteceu e quando é uma ferramenta indispensável na investigação de um incidente de segurança. Ter acesso aos logs corretos pode significar a diferença entre perceber que um invasor ganhou uma posição no seu site e deixar um assalto passar despercebido até que seja tarde demais.

Complementar ao registro é o monitoramento. Em sua forma mais básica, o monitoramento espera que algum evento ocorra (geralmente examinando periodicamente algum log), registra-o e geralmente é configurado com algum tipo de sistema de alerta para alertar um administrador do sistema de que algo ocorreu (como um sistema de detecção de intrusão do WordPress ). Embora muitos administradores de sistema normalmente monitorem o uso de CPU e memória, eles podem estar perdendo o acesso de monitoramento ao WordPress.

Registros de atividades do WordPress

Ser capaz de olhar para trás em um log de atividades do WordPress para descobrir exatamente o que um usuário fez dentro de um determinado período de tempo é uma ferramenta analítica crucial em uma investigação. Além disso, você gostaria de poder correlacionar essas informações com o servidor web, erros de PHP e logs de banco de dados. Aqui estão algumas dicas para garantir que você esteja cobrindo pelo menos o manuseio básico de logs corretamente.

• Verifique se você está girando corretamente seus logs para garantir que não fique sem espaço em disco
• Faça backup de seus logs periodicamente em um backup externo (por exemplo, Amazon S3 ou Digital Ocean Spaces)
• descubra por quanto tempo você deseja reter os logs e configure as políticas de retenção do log de atividades. Recomenda-se a retenção de pelo menos 1 ano
• Certifique-se de ter uma maneira rápida de acessar informações importantes em seus logs durante um incidente

Outros registros

Além dos logs de atividade do WordPress, como administrador do site, você tem acesso a muitos outros logs, como logs do servidor web, logs do PHP e muitos outros. Consulte a lista de arquivos de log para administradores do WordPress para saber mais sobre todos os diferentes arquivos de log aos quais você tem acesso. As postagens também destacam como você pode usar as informações de todos os logs para rastrear um incidente ou ataque.

4. Melhore a segurança do seu WordPress

Depois de concluir o ciclo descrito acima, o próximo passo é tentar analisar o que você pode fazer melhor da próxima vez. Conforme discutido no início do artigo, lembre-se de que a segurança é um processo contínuo – tente manter-se atualizado com as notícias de segurança do WordPress e, criticamente, certifique-se de estar sempre atualizado sobre as atualizações de segurança do WordPress.

Depois de passar por esse processo algumas vezes, tente documentar detalhes sobre seu próprio processo. Torná-lo rotina que você segue de vez em quando. Além disso, sempre que você introduzir alterações no seu site WordPress, lembre-se da segurança. Siga o processo de segurança iterativo do WordPress de Teste , Proteção , Monitoramento e Melhoria da segurança do seu site sempre que fizer uma alteração no seu site.