A maioria dos websites institucionais entregues à Hardsecure para testes utilizam o Wordpress como o seu próprio CMS (sistema de gestão de conteúdos), na sua maioria porque é o serviço mais simples e mais popular para criar o seu próprio website ou blog, alimentando 42% de todos os websites na Internet. Mesmo que não seja um programador, pode facilmente alterar o seu site com o vasto ecossistema de temas e plugins do WordPress.
Na secção abaixo, vamos ver algumas das vulnerabilidades mais comuns verificadas durante os pentests.
A segurança deve ser algo recorrente! Pode ter problemas graves quando deixa de verificar a segurança do seu website. Neste capítulo, vamos falar das principais medidas para proteger o seu WordPress ou outros CMS.
A primeira medida refere-se a passwords fortes, autenticação de dois fatores e com que frequência alteramos as nossas senhas. Estas são três dicas fáceis que devemos utilizar no nosso dia-a-dia.
A segunda medida concentra-se nas atualizações. E nem sempre está relacionado com novas funcionalidades; esta poderia conter correções de segurança e estabilidade que são essenciais. No WordPress, temos de ter em atenção os plugins, temas e PHP que cada versão tem 2 anos de suporte.
Se o seu website tiver vários utilizadores, não é recomendável todos serem administradores. Bem como alterar o caminho de login, não resolverá todos os problemas, mas pode ajudar contra bots e/ou scripts. Bloquear caminhos URL com a ajuda do WAF é um bom começo para manter os IPs desconhecidos fora, tal como a página de início de sessão.
O ficheiro mais importante é o config.php, pode mover este ficheiro, atualizar as chaves de segurança do WordPress para melhorar a encriptação, alterar permissões nestes ficheiros, desativar XML-RPC, ocultar versões do WordPress (quanto menos pessoas souberem a configuração do seu website WordPress melhor), adicionar cabeçalhos de segurança, tais como:
Utilizar plugins de segurança como iThemes Security e/ou WordFence Security e não esquecer de utilizar sempre ligações seguras (HTTPS, SFTP).
Existem mais de 55,000 plugins WordPress! A melhor escolha que pode fazer é utilizar os que têm altos índices de satisfação e que são frequentemente atualizados porque, como vimos acima, estas atualizações são importantes para a integridade do seu website.
Lembre-se de instalar apenas os necessários e se quiser jogar com segurança, é melhor criar um ambiente de testes ou desenvolvimento para testar primeiro.
Por: