Quero o meu

website seguro!
Rui Cruz
Wordcamp Porto 2018
Preocupações com segurança – porquê?
• Basta um ataque (apenas um) para que o teu site seja “eternamente”
conhecido como um site hackeado ficando assim com a tua imagem
manchada (exemplo: deface em sites como Zone-H, comentários em
blogs, etc.)
• Se o teu site te dá dinheiro, deves investir tempo a torná-lo o mais
seguro possível (se não dá, faz isso na mesma).
• 43% dos ataques informáticos são feitos aos pequenos negócios 1
• Em média, há um ataque informático a cada 29 segundos 1

1 - https://www.cybintsolutions.com/cyber-security-facts-stats/
Quem são os “culpados”? Themes e plugins.
• 54% das vulnerabilidades são de
plugins
• Os plugins e os temas não são
atualizados automaticamente
• Plugins e temas premium
podem não ter sequer “auto
Update” dentro do WP Admin.

Fonte: wpwhitesecurity.com
Como? Com XSS!
• O ataque XSS (Cross-site Scripting)
injeta código dentro de um URL ou
uma função no site (“payload”)
para gerar uma resposta anormal e
ganhar acesso privilegiado
• Há formas de prevenir XSS (por
exemplo, com CloudFlare Pro)
• Há ferramentas automáticas para
detetar vulnerabilidades XSS, como
a XSSSNIPER

Fonte: wpwhitesecurity.com
Estás preparado?
O básico (se ainda não fazes, devias fazer)
• Update regular do core (quando ele não o faz sozinho)
• Update regular de temas e plugins
• Usar passwords difíceis e únicas para cada website (se tens vários
sites, usa um sistema de gestão de passwords.
• Usa SSL se ainda não o fazes, além de ser melhor em termos de
segurança para todos tem outros benefícios (SEO, confiança no
website, etc.)
O que vais aprender aqui
• Detectar ataques ao teu site com plugins
• Fazer updates regulares de temas e plugins em vários sites ao mesmo
tempo
• Forçar os teus users a escolherem passwords fortes (incluindo tu!)
• Proteger o login do teu site
• Monitorizar os ficheiros “core” por alterações não autorizadas
• Em caso de um site comprometido, impedir edição de ficheiros
• Remover a versão do WordPress que estás a usar
• E mais umas coisas!
Bora? 
ManageWP
• Updates com alguns cliques em todos os
sites
• Fácil de instalar no WordPress
• Backup e restauro mensal gratuito (backups
pagos ao preço de um cigarro por mês,
literalmente)
• Análise de segurança e rapidez do website
• Instalação remota de plugins e temas
Manter o wp-config.php seguro
• Embora o ficheiro .php não seja diretamente “visto” pelo browser, há
formas de evitar que este seja sequer detetado através de um browser.
• Desta forma, em vez de uma “página em branco”, o utilizador recebe um
erro 404 (página não encontrada)

Para aplicar:
• Abrir o .htaccess, e adicionar no fim as seguintes linhas:
<files wp-config.php>
order allow,deny
deny from all
</files>
Impedir edição de ficheiros no WordPress
• Este código permite-te desativar a edição de ficheiros do theme no
WordPress.
• Se alguém tiver acesso ao teu login e entrar no teu site ou acesso ao teu
PC com um user já logado como admin, apenas poderá alterar posts e
páginas, minimizando assim o impacto de uma entrada não autorizada.

Para aplicar:
• Abrir o funtions.php do theme (child, claro!) e colocar este código no
fim do ficheiro:
define('DISALLOW_FILE_EDIT', true);
Forçar passwords fortes
• Se usas um site com vários utilizadores, uma password fraca de outra
pessoa pode fazer com que o teu site seja atacado.
• A culpa nem sequer é tua na teoria, mas na prática podes evitar isso.
• Este plugin força os utilizadores e escolherem uma password forte e
segura.

Para aplicar:
• Fazer download e instalar o seguinte plugin:
https://wordpress.org/plugins/force-strong-passwords/
Segundo fator de autenticação
• Plugin fácil de configurar, permite-te usares o Authenticator do Google
(para Android e também iOS) e, depois de estares logado, inserires o
código que te é mostrado no smartphone.
• Permite outras configurações mais avançadas com outro tipo de
autenticação.

Para aplicar:
• Fazer download e instalar o seguinte plugin:
https://wordpress.org/plugins/miniorange-2-factor-
authentication/
Vamos complicar?
Wordfence Security
• Firewall (aplicacional), malware scanner, comparação de notificação de
ficheiros alterados do core e de themes bem como outras funções
interessantes.
• Plugin leve e usado por mais de 2 milhões de utilizadores.
• De fácil configuração.

Para aplicar:
• Fazer download e instalar o seguinte plugin:
https://wordpress.org/plugins/wordfence/
VPN para utilizar em WordPress? Claro!
• A forma mais avançada (e onde deixa de fazer sentido usar alguns
plugins aqui apresentados) de proteger a administração do WordPress é
o uso de uma VPN.
• Utilizadores ilimitados, corre numa VPS com 512MB de RAM (e até
menos)
• Com isto permitimos acesso ao wp-login.php pelo IP da VPN
• Além disso, garante proteção e privacidade na navegação em outros
sites
VPN para utilizar em WordPress? Claro!
Para implementar a VPN:
• Instalar OpenVPN manualmente no servidor e as credenciais no cliente
(o PC, Smartphone, etc.), ou;
• Instalar e executar este script https://github.com/Angristan/OpenVPN-
install:
wget https://raw.githubusercontent.com/Angristan/
OpenVPN-install/master/openvpn-install.sh
chmod +x openvpn-install.sh
./openvpn-install.sh
VPN para utilizar em WordPress? Claro!
Para implementar no WordPress:
• No .htaccess, colocar isto no final do ficheiro:
<Files wp-login.php>
order deny,allow
Deny from all

# IP da minha casa
allow from 127.0.0.1

# IP da VPN da empresa
allow from 127.0.0.2

</Files>
Outros pontos a considerar
• Se criares uma pasta dentro da instalação de WordPress com ficheiros
ou subpastas, sem colocares um index.html em branco na pasta, esta
fica indexável. Lembra-te de adicionares esse ficheiro em branco. Podes
ainda escrever algo (em HTML) a “gozar” com quem tentar ver a pasta…
:)
• Usa este site para criares passwords seguras: passwordsgenerator.net
• Usa um gestor de passwords caso uses muitas passwords
• Nunca uses a mesma password em mais do que instalação WordPress
• Assegura-te que o teu alojamento tem as versões de PHP mais atuais
(daí também podem surgir vulnerabilidades), preferencialmente versões
acima de PHP 7.x
Outros pontos a considerar
• Analisa os plugins que tens no teu site e consulta-os no repositório. Se
não forem atualizados há muito tempo (ano e meio, dois anos) procura
um plugin igual que faça o mesmo
• Se usas ou já usaste a mesma password numa instalação WordPress
(isto aplica-se também a tudo o resto) insere o teu e-mail neste site para
ver se a tua conta já foi comprometida, e se a tua password anda “pela
net”: haveibeenpwned.com
• Usa SSL (não é só mais seguro, quem não usa é penalizado a nível de
SEO)
• Se tudo isto falhar, ao menos falhaste a tentar e tornaste a vira de um
hacker mais difícil.
Obrigado.
[email protected]
Código promocional
ManageWP:

#WCPORTO18
Válido até 27 de Maio
Oferta de 20$