segurança no WordPress é levado muito a sério, mas como com qualquer outro sistema, existem potenciais problemas de segurança que podem surgir se algumas precauções básicas de segurança não são tomadas. Este artigo vai passar por algumas formas comuns de vulnerabilidades, e as coisas que você pode fazer para ajudar a manter a sua instalação WordPress segura.este artigo não é a solução mais rápida para os seus problemas de segurança. Se você tem preocupações específicas de segurança ou dúvidas, você deve discuti-las com pessoas em quem você confia para ter conhecimento suficiente de segurança de computador e WordPress.o que é segurança? O que é segurança?
fundamentalmente, a segurança não é sobre sistemas perfeitamente seguros. Tal coisa pode muito bem ser impraticável, ou impossível de encontrar e/ou manter. Mas a segurança é a redução do risco, não a eliminação do risco. Trata-se de empregar todos os controles apropriados disponíveis para você, dentro da razão, que permitem que você melhore sua postura geral reduzindo as chances de se tornar um alvo, posteriormente sendo hackeado.
Hosts do Site
muitas vezes, um bom lugar para começar quando se trata de segurança do site é o seu ambiente de hospedagem. Hoje, há uma série de opções disponíveis para você, e enquanto hosts oferecem segurança a um certo nível, é importante entender onde a responsabilidade deles termina e a sua começa. Aqui está um bom artigo explicando a dinâmica complicada entre hosts web e a segurança de seu site. Um servidor seguro protege a privacidade, integridade e disponibilidade dos recursos sob o controle do administrador do servidor.
qualidades de um host Web confiável pode incluir:
- discute prontamente as suas preocupações de segurança e quais os recursos de segurança e processos que oferecem com a sua hospedagem.
- fornece as versões estáveis mais recentes de todos os softwares de servidor.
- fornece métodos confiáveis para backup e recuperação.
decida qual a segurança de que necessita no seu servidor, determinando o software e os dados que precisam de ser seguros. O resto deste guia vai ajudar – te com isto.
aplicações do Site
é fácil olhar para hosts da web e passar a responsabilidade da segurança para eles, mas há uma enorme quantidade de segurança que está no proprietário do site também. Hosts Web são muitas vezes responsáveis pela infra-estrutura em que o seu site se senta, eles não são responsáveis pela aplicação que você escolhe instalar.
para entender onde e por que isso é importante você deve entender como os sites são hackeados, raramente é atribuído à infra-estrutura, e na maioria das vezes atribuído à própria aplicação (ou seja, o ambiente pelo qual você é responsável).
Topo
- Segurança Temas # Segurança Temas
- vulnerabilidades no seu computador # vulnerabilidades no seu computador
- vulnerabilidades no WordPress # vulnerabilidades no WordPress
- Updating WordPress # Updating WordPress
- Reporting Security Issues # Reporting Security Issues
- vulnerabilidades do servidor Web # vulnerabilidades do servidor Web
- vulnerabilidades de rede # vulnerabilidades de rede
- Passwords # Passwords
- FTP # FTP
- Permissões de Ficheiros # Permissões de Ficheiros
- mudar as permissões do ficheiro # alterar as permissões do ficheiro
- a Respeito de Atualizações Automáticas # a Respeito de Atualizações Automáticas
- segurança da Base de Dados # Segurança da Base de dados
- Restricting Database user Privileges # Restricting Database user Privileges
- garantir wp-admin # garantir wp-admin
- Securizar wp-inclui # Securizar wp-inclui
- fixar wp-config.PHP # protegendo wp-config.php
- Disable File Editing # Disable File Editing
- Plugins # Plugins
- Firewall # Firewall
- Plugins que precisam de acesso de escrita # Plugins que precisam de acesso de escrita
- plugins de execução de código # plugins de execução de código
- segurança através da obscuridade # segurança através da obscuridade
- Backups de dados # Backups de dados
- Logging # Logging
- Monitoring # Monitoring
- Monitoring your logs # Monitoring your logs
- monitorando seus arquivos para alterações # monitorando seus arquivos para alterações
- metas # metas
- Geral abordagens # abordagens Gerais
- ferramentas Específicas # ferramentas Específicas
- considerações # considerações
- monitorando seu servidor web externamente # monitorando seu servidor web externamente
- Recursos de # Recursos
- Veja Também: # Ver Também
Segurança Temas # Segurança Temas
tenha em mente algumas ideias gerais ao considerar a segurança de cada aspecto do seu sistema:
Limitar o acesso
Fazer escolhas inteligentes, que reduzem possíveis pontos de entrada disponível para uma pessoa maliciosa.
contenção
o seu sistema deve ser configurado para minimizar a quantidade de danos que podem ser feitos em caso de comprometimento.
preparação e conhecimento
mantendo cópias de segurança e conhecendo o estado de sua instalação WordPress em intervalos regulares. Ter um plano para backup e recuperar a sua instalação em caso de catástrofe pode ajudá-lo a voltar on-line mais rápido no caso de um problema.
fontes confiáveis
não obter plugins / temas de fontes não confiáveis. Restrinja – se ao WordPress.org repositório ou empresas bem conhecidas. Tentar obter plugins / temas de fora pode levar a problemas.
Top
vulnerabilidades no seu computador # vulnerabilidades no seu computador
certifique-se de que os computadores que utiliza estão livres de spyware, malware e infecções virais. Nenhuma quantidade de segurança no WordPress ou em seu servidor web fará a menor diferença se houver um keylogger em seu computador.
mantenha sempre o seu sistema operacional e o software nele, especialmente o seu navegador web, atualizados para protegê-lo de vulnerabilidades de segurança. Se você está navegando sites não confiáveis, também recomendamos usar ferramentas como no-script (ou desativar javascript/flash/java) em seu navegador.
Top
vulnerabilidades no WordPress # vulnerabilidades no WordPress
como muitos pacotes de software modernos, o WordPress é atualizado regularmente para abordar novas questões de segurança que podem surgir. Melhorar a segurança do software é sempre uma preocupação contínua, e para isso você deve sempre manter-se atualizado com a última versão do WordPress. Versões mais antigas do WordPress não são mantidos com atualizações de segurança.
Updating WordPress # Updating WordPress
Main article: Updating WordPress.
A última versão do WordPress está sempre disponível no site principal do WordPress em https://wordpress.org. Lançamentos oficiais não estão disponíveis em outros sites-nunca baixar ou instalar WordPress a partir de qualquer site que não seja https://wordpress.org.
desde a versão 3.7, o WordPress tem apresentado atualizações automáticas. Use esta funcionalidade para facilitar o processo de atualização. Você também pode usar o painel WordPress para manter informado sobre atualizações. Leia a entrada no painel de instrumentos ou no Blog de desenvolvimento WordPress para determinar que passos você deve tomar para atualizar e permanecer seguro.
Se uma vulnerabilidade é descoberta no WordPress e uma nova versão é lançada para resolver o problema, a informação necessária para explorar a vulnerabilidade é quase certamente do domínio público. Isso torna as versões antigas mais abertas para atacar, e é uma das principais razões que você deve sempre manter o WordPress atualizado.
Se você é um administrador responsável por mais de uma instalação WordPress, considere o uso do Subversion para tornar a gestão mais fácil.
Top
Reporting Security Issues # Reporting Security Issues
Se você acha que encontrou uma falha de segurança no WordPress, você pode ajudar reportando a questão. Consulte a FAQ de segurança para obter informações sobre como relatar questões de segurança.se achar que encontrou um erro, comunique-o. Veja a enviar Bugs para saber como fazer isso. Pode ter descoberto uma vulnerabilidade, ou um insecto que pode levar a uma.
Top
vulnerabilidades do servidor Web # vulnerabilidades do servidor Web
o servidor web que executa o WordPress, e o software nele, podem ter vulnerabilidades. Portanto, certifique-se de que você está executando versões seguras e estáveis do seu servidor web e do software nele, ou certifique-se de que você está usando uma máquina de confiança que cuida dessas coisas para você.
Se você estiver em um servidor compartilhado (um que hospeda outros sites além do seu próprio) e um site no mesmo servidor estiver comprometido, seu site pode potencialmente ser comprometido também mesmo se você seguir tudo neste guia. Certifique-se de perguntar ao seu hospedeiro que precauções de segurança eles tomam.
Top
vulnerabilidades de rede # vulnerabilidades de rede
a rede em ambos os extremos — do lado do servidor WordPress e do lado da rede do cliente — deve ser confiável. Isso significa atualizar as regras do firewall em seu roteador de casa e ter cuidado com as redes em que você trabalha. Um café de Internet onde você está enviando senhas sobre uma conexão não criptografada, sem fio ou de outra forma, não é uma rede confiável.
a sua máquina web deve estar a certificar-se de que a sua rede não é comprometida pelos atacantes, e você deve fazer o mesmo. Vulnerabilidades de rede podem permitir que senhas e outras informações sensíveis sejam interceptadas.
Top
Passwords # Passwords
muitas vulnerabilidades potenciais podem ser evitadas com bons hábitos de segurança. Uma senha forte é um aspecto importante disso.
O objetivo com sua senha é tornar difícil para outras pessoas adivinhar e difícil para um ataque de Força bruta para ter sucesso. Muitos geradores automáticos de senha estão disponíveis que podem ser usados para criar senhas seguras.
WordPress também possui um medidor de força de senha que é mostrado ao mudar a sua senha no WordPress. Use isto ao alterar a sua senha para garantir que a sua força é adequada.
coisas a evitar ao escolher uma senha:
- qualquer permutação do seu próprio nome real, nome de utilizador, Nome da empresa ou nome do seu site.
- uma palavra de um dicionário, em qualquer língua.
- uma senha curta.
- qualquer senha numérica ou alfabética (uma mistura de ambos é melhor).
é necessária uma senha forte não só para proteger o conteúdo do seu blog. Um hacker que obtém acesso à sua conta de administrador é capaz de instalar scripts maliciosos que podem potencialmente comprometer todo o seu servidor.
além de usar uma senha forte, é uma boa idéia para permitir a autenticação em duas etapas como uma medida de segurança adicional.
Top
FTP # FTP
Ao ligar-se ao seu servidor, deverá usar a encriptação SFTP se a sua máquina web o fornecer. Se não tiver a certeza se a sua máquina web fornece SFTP ou não, basta perguntar-lhes.
usar SFTP é o mesmo que FTP, exceto a sua senha e outros dados são criptografados como é transmitido entre o seu computador e seu site. Isso significa que sua senha nunca é enviada no clear e não pode ser interceptada por um atacante.
Top
Permissões de Ficheiros # Permissões de Ficheiros
algumas funcionalidades do WordPress vêm de permitir que vários ficheiros possam ser gravados pelo servidor web. No entanto, permitir o acesso de escrita aos seus arquivos é potencialmente perigoso, particularmente em um ambiente de hospedagem compartilhado.
é melhor bloquear tanto quanto possível as suas permissões de ficheiros e afrouxar essas restrições nas ocasiões em que precisa de permitir o acesso de escrita, ou criar pastas específicas com menos restrições com o objectivo de fazer coisas como enviar ficheiros.
aqui está um esquema de permissão possível.
Todos os ficheiros devem ser propriedade da sua conta de utilizador e devem poder ser escritos por si. Qualquer arquivo que precisa de acesso de escrita do WordPress deve ser escrita pelo servidor web, se o seu conjunto de hospedagem requer ele, o que pode significar que esses arquivos precisam ser de propriedade em grupo pela conta de usuário usada pelo processo do servidor web.
/
A raiz do WordPress diretório: todos os arquivos devem ser gravado apenas pela sua conta de usuário, exceto .htaccess
se você deseja WordPress para gerar automaticamente regras de reescrita para você.
/wp-admin/
a área de administração do WordPress: todos os ficheiros devem poder ser gravados apenas pela sua conta de utilizador.
/wp-includes/
A maior parte da lógica de aplicação do WordPress: todos os ficheiros devem poder ser gravados apenas pela sua conta de utilizador.
/wp-content/
conteúdo fornecido pelo Utilizador: destinado a ser gravável pela sua conta de utilizador e pelo processo do servidor web.
Dentro de /wp-content/
você vai encontrar:
/wp-content/themes/
arquivos de Tema. Se você quiser usar o editor de tema incorporado, todos os arquivos precisam ser graváveis pelo processo do servidor web. Se você não quiser usar o editor de tema incorporado, todos os arquivos podem ser graváveis apenas pela sua conta de usuário.
/wp-content/plugins/
lug-in ficheiros: todos os ficheiros devem poder ser gravados apenas pela sua conta de utilizador.
outras pastas que possam estar presentes com /wp-content/
devem ser documentadas por qualquer plugin ou tema que as requeira. As permissões podem variar.
Top
mudar as permissões do ficheiro # alterar as permissões do ficheiro
Se tiver acesso à linha de comandos ao seu servidor, poderá alterar as permissões do ficheiro recursivamente com o seguinte comando:
Para Diretórios:
find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;
Para Arquivos:
find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;
Topo
a Respeito de Atualizações Automáticas # a Respeito de Atualizações Automáticas
Quando você diz WordPress para executar uma atualização automática, todas as operações de arquivo são executados como o usuário que possui os arquivos, não como o servidor da web do usuário. Todos os arquivos são definidos para 0644 e todos os diretórios são definidos para 0755, e pode ser escrito apenas pelo Usuário e legível por todos os outros, incluindo o servidor web.
Top
segurança da Base de Dados # Segurança da Base de dados
Se você executar vários blogs no mesmo servidor, é aconselhável considerar mantê-los em bases de dados separadas cada um gerido por um utilizador diferente. Isto é mais bem realizado ao realizar a instalação inicial WordPress. Esta é uma estratégia de contenção: se um intruso com sucesso quebra uma instalação WordPress, Isso torna muito mais difícil alterar seus outros blogs.
se administrar o MySQL por si próprio, certifique-se que compreende a sua configuração MySQL e que as funcionalidades desnecessárias (como aceitar ligações TCP remotas) estão desactivadas. Veja o design seguro da Base de dados MySQL para uma boa introdução.
Top
Restricting Database user Privileges # Restricting Database user Privileges
para operações normais do WordPress, tais como postar posts no blog, carregar arquivos de mídia, postar comentários, criar novos usuários do WordPress e instalar plugins do WordPress, o Usuário da Base de dados MySQL só precisa de privilégios de leitura de dados e de escrita de dados para a base de dados MySQL; Seleccionar, inserir, actualizar e apagar.por conseguinte, qualquer outra estrutura de base de dados e privilégios de administração, tais como DROP, ALTER e GRANT, podem ser revogados. Ao revogar esses privilégios, está também a melhorar as Políticas de contenção.
Nota: Alguns plugins, temas e grandes atualizações do WordPress podem exigir mudanças estruturais de banco de dados, tais como adicionar novas tabelas ou alterar o esquema. Nesse caso, antes de instalar o plugin ou atualizar um software, você terá que permitir temporariamente ao usuário do banco de dados os privilégios necessários.advertência: Tentar atualizações sem ter estes privilégios pode causar problemas quando alterações do esquema de banco de dados ocorrem. Assim, não se recomenda a revogação destes privilégios. Se você sente a necessidade de fazer isso por razões de segurança, então, por favor, certifique-se de que você tem um plano de backup sólido no lugar primeiro, com backups regulares de banco de dados inteiro que você testou são válidos e que pode ser facilmente restaurado. Uma atualização falhada do banco de dados geralmente pode ser resolvida restaurando o banco de dados de volta a uma versão antiga, concedendo as permissões adequadas, e, em seguida, deixando o WordPress tentar a atualização do banco de dados novamente. Restaurar o banco de dados irá devolvê-lo de volta para essa versão antiga e as telas de administração WordPress, em seguida, detectar a versão antiga e permitir que você executar os comandos SQL necessários sobre ele. A maioria dos upgrades WordPress não mudam o esquema, mas alguns mudam. Somente atualizações de pontos principais (3.7 a 3.8, por exemplo) alterarão o esquema. Pequenas atualizações (3.8 a 3.8.1) geralmente não. No entanto, mantenha um backup regular.
Top
garantir wp-admin # garantir wp-admin
adicionar protecção de senha do servidor (como BasicAuth) a /wp-admin/
adiciona uma segunda camada de protecção à volta da área de administração do seu blog, do ecrã de autenticação e dos seus ficheiros. Isso força um atacante ou bot a atacar esta segunda camada de proteção em vez de seus arquivos administrativos reais. Muitos ataques WordPress são realizados autonomamente por robôs de software maliciosos.
simplesmente protegendo owp-admin/
diretório também pode quebrar algumas funcionalidades do WordPress, como o handler AJAX emwp-admin/admin-ajax.php
. Veja a secção de recursos para mais documentação sobre como proteger a sua pasta wp-admin/
correctamente.os ataques mais comuns contra um blog WordPress geralmente caem em duas categorias.
- enviando solicitações HTTP especialmente trabalhadas para o seu servidor com cargas de exploração específicas para vulnerabilidades específicas. Estes incluem plugins e software antigos/desactualizados.
- tentando obter acesso ao seu blog usando a suposição de senha de “Força bruta”.
a implementação final desta” segunda camada ” de proteção de senha é exigir uma conexão criptografada HTTPS SSL para administração, de modo que toda a comunicação e dados sensíveis sejam criptografados. Ver Administração sobre SSL.
Top
Securizar wp-inclui # Securizar wp-inclui
uma segunda camada de proteção pode ser adicionada onde scripts geralmente não são destinados a ser acessados por qualquer usuário. Uma maneira de fazer isso é bloquear esses scripts usando mod_ reescrever no .ficheiro htaccess. Nota: para garantir que o código abaixo não é substituído pelo WordPress, coloque-o fora das etiquetas # BEGIN WordPress
e # END WordPress
na .ficheiro htaccess. WordPress pode sobrepor qualquer coisa entre estas tags.
Top
fixar wp-config.PHP # protegendo wp-config.php
pode mover o ficheiro wp-config.php
para o directório por cima da sua instalação WordPress. Isto significa que para um site instalado na raiz do seu webspace, você pode armazenar wp-config.php
fora da pasta web-root.Nota: Algumas pessoas afirmam que a mudança wp-config.o php tem benefícios mínimos de segurança e, se não for feito com cuidado, pode realmente introduzir vulnerabilidades graves. Outros discordam.
Note que wp-config.php
pode ser armazenado um nível de diretório acima do WordPress (onde WP-inclui reside) instalação. Além disso, certifique-se de que apenas você (e o servidor web) pode ler este arquivo (geralmente significa uma permissão de 400 ou 440).
Se utilizar um servidor com .htaccess, você pode colocar isso nesse arquivo (no topo) para negar o acesso a qualquer pessoa que navegue por ele:
<files wp-config.php>order allow,denydeny from all</files>
Top
Disable File Editing # Disable File Editing
o painel WordPress por omissão permite aos administradores editar ficheiros PHP, tais como ficheiros de ‘plugin’ e temas. Esta é muitas vezes a primeira ferramenta que um atacante usará se for capaz de se autenticar, uma vez que permite a execução de código. WordPress tem uma constante para desativar a edição do Painel de instrumentos. Colocar esta linha em wp-config.o php é equivalente a remover as capacidades “edit_themes”, “edit_plugins” e “edit_fices” de todos os utilizadores:
define('DISALLOW_FILE_EDIT', true);
isto não vai impedir um atacante de enviar arquivos maliciosos para o seu site, mas pode parar alguns ataques.
Top
Plugins # Plugins
Em Primeiro Lugar, certifique-se que os seus plugins são sempre atualizados. Além disso, se você não estiver usando um plugin específico, exclua-o do sistema.
Top
Firewall # Firewall
Existem muitos plugins e serviços que podem atuar como uma firewall para o seu site. Alguns deles trabalham modificando o teu .htaccess
file and restricting some access at the Apache level, before it is processed by WordPress. Um bom exemplo é a segurança deles ou tudo em uma única segurança WP. Alguns plugins de firewall atuam no nível WordPress, como WordFence e Shield, e tentar filtrar ataques como o WordPress está carregando, mas antes que ele seja totalmente processado.
além de plugins, Você também pode instalar um WAF (firewall web) no seu servidor web para filtrar o conteúdo antes de ser processado pelo WordPress. O WAF de código aberto mais popular é o Modsegurança.
um firewall do site também pode ser adicionado como intermediário entre o tráfego da internet e seu servidor de hospedagem. Estes serviços funcionam todos como proxies invertidos, em que eles aceitam os pedidos iniciais e redirecionam-nos para o seu servidor, removendo-o de todos os pedidos maliciosos. Eles conseguem isso modificando seus registros DNS, através de um registro ou troca DNS completa, permitindo que todo o tráfego passe pela nova rede primeiro. Isto faz com que todo o tráfego seja filtrado pelo firewall antes de chegar ao seu site. Algumas empresas oferecem tal serviço, como a CloudFlare, a Sucuri e a Incapacsula.além disso, esses prestadores de serviços de terceiros funcionam como rede de distribuição de conteúdo (CDNs) por padrão, introduzindo otimização de desempenho e alcance global.
Top
Plugins que precisam de acesso de escrita # Plugins que precisam de acesso de escrita
Se um plugin quer acesso de escrita aos seus arquivos e diretórios WordPress, por favor leia o código para se certificar de que é legítimo ou verificar com alguém em quem você confia. Os locais possíveis para verificar são os fóruns de suporte e canal IRC.
Top
plugins de execução de código # plugins de execução de código
Como dissemos, parte do objetivo de endurecer WordPress está contendo o dano feito se houver um ataque bem sucedido. Plugins que permitem PHP arbitrário ou outro código para executar a partir de entradas em um banco de dados efetivamente amplia a possibilidade de danos no caso de um ataque bem sucedido.
uma maneira de evitar o uso de tal plugin é usar modelos de página personalizados que chamam a função. Parte da segurança que isso proporciona é ativa apenas quando você não permite a edição de arquivos dentro do WordPress.
Top
segurança através da obscuridade # segurança através da obscuridade
segurança através da obscuridade é geralmente uma estratégia primária pouco sólida. No entanto, existem áreas em WordPress, onde obscurecer a informação pode ajudar com a segurança:
- Renomear a conta administrativa: Ao criar uma conta administrativa, evitar facilmente adivinhada termos como
admin
ouwebmaster
como nomes de usuários, porque eles são normalmente sujeitos a ataques de primeira. Em uma instalação WordPress existente, você pode mudar o nome da Conta existente no cliente de linha de comandos MySQL com um comando comoUPDATE wp_users SET user_login = 'newuser' WHERE user_login = 'admin';
, ou usando uma interface MySQL como phpMyAdmin. - altere o table_prefix: muitos ataques de injeção SQL específicos do WordPress publicados fazem com que a suposição de que o table_prefix é
wp_
, o padrão. A alteração desta situação pode bloquear pelo menos alguns ataques de injecção de SQL.
Top
Backups de dados # Backups de dados
backups de dados regularmente, incluindo as suas bases de dados MySQL. Ver o artigo principal: A Fazer Backup Da Tua Base De Dados.a integridade dos dados é fundamental para backups confiáveis. Encriptar a cópia de segurança, manter um registo independente de traços MD5 para cada ficheiro de cópia de segurança e/ou colocar cópias de segurança na mídia apenas para leitura aumenta a sua confiança de que os seus dados não foram adulterados.
uma estratégia de backup de som poderia incluir a manutenção de um conjunto de instantâneos cronometrados regularmente de toda a sua instalação WordPress (incluindo arquivos WordPress core e seu banco de dados) em um local confiável. Imagine um site que faz fotos semanais. Tal estratégia significa que se um site está comprometido em 1º de maio, mas o compromisso não é detectado até 12 de Maio, o proprietário do site terá backups pré-compromisso que pode ajudar na reconstrução do site e, possivelmente, até mesmo backups pós-compromisso que irá ajudar na determinação de como o site foi comprometido.
Top
Logging # Logging
Logs são os seus melhores amigos quando se trata de compreender o que está a acontecer com o seu site, especialmente se estiver a tentar realizar análises forenses. Ao contrário das crenças populares, os registros permitem que você veja o que foi feito e por quem e quando. Infelizmente, os registros não lhe dirão quem, nome de usuário, logado, mas permitirá que você identifique o IP e o tempo e, mais importante, As ações que o atacante pode ter tomado. Você será capaz de ver qualquer um destes ataques através dos logs – Cross Site Scripting (XSS), a inclusão de arquivos remotos (RFI), a inclusão de arquivos locais (LFI) e tentativas de travessia de diretórios. Você também será capaz de ver tentativas de Força bruta. Existem vários exemplos e tutoriais disponíveis para ajudar a guiá-lo através do processo de análise e análise de seus logs raw.
Se ficar mais confortável com os seus registos, será capaz de ver coisas como, quando o tema e os editores de plugins estão a ser usados, quando alguém actualiza os seus widgets e quando publicações e páginas são adicionadas. Todos os elementos-chave ao fazer o trabalho forense no seu servidor web. Os são alguns plugins de segurança WordPress que ajudá-lo com isso, bem como, como a Ferramenta de auditoria Sucuri ou o plugin de pista de auditoria.
Existem duas soluções chave de código aberto que você vai querer em seu servidor web a partir de uma perspectiva de segurança, esta é uma abordagem em camadas de segurança.
OSSEC pode ser executado em qualquer distribuição NIX e também será executado no Windows. Quando configurado corretamente é muito poderoso. A ideia é correlacionar e agregar todos os logs. Você tem que ter certeza de configurá-lo para capturar todos os access_logs e error_logs e se você tem vários sites na conta do servidor para isso. Você também vai querer ter certeza de filtrar o ruído. Por padrão, você vai ver um monte de ruído e você vai querer configurá-lo para ser realmente eficaz.
Top
Monitoring # Monitoring
às vezes a prevenção não é suficiente e você ainda pode ser hackeado. É por isso que a detecção/monitorização De intrusão é muito importante. Ele permitirá que você reaja mais rápido, descobrir o que aconteceu e recuperar o seu site.
Top
Monitoring your logs # Monitoring your logs
Se você estiver em um servidor privado dedicado ou virtual, no qual você tem o luxo de acesso root, você tem a capacidade de configurar facilmente as coisas para que você possa ver o que está acontecendo. OSSEC facilmente facilita isso e aqui está um pouco de escrita que pode ajudá-lo para fora OSSEC para a segurança do site-Parte I.
Top
monitorando seus arquivos para alterações # monitorando seus arquivos para alterações
quando um ataque acontece, ele sempre deixa vestígios. Ou nos logs ou no sistema de arquivos (novos arquivos, arquivos modificados, etc). Se você estiver usando OSSEC, por exemplo, ele irá monitorar seus arquivos e alertá-lo quando eles mudam.
metas # metas
as metas de rastreamento do sistema de arquivos incluem:
- Monitor alterado e acrescentado arquivos
- Log de alterações e adições
- Capacidade de reverter alterações granulares
- alertas automáticos
Topo
Geral abordagens # abordagens Gerais
os Administradores podem monitorar o sistema de arquivos através de geral de tecnologias, tais como:
- utilitários do Sistema
- controle de Revisão
- OS/kernel monitoramento do nível
Topo
ferramentas Específicas # ferramentas Específicas
Opções para o arquivo de sistema de monitoramento incluem:
- diff – compilação limpa cópia de teste do seu site e comparar com o de produção
- Git – gerenciamento de código fonte
- inotify e incron – kernel do sistema operativo do arquivo de nível de serviço de monitoramento que pode executar comandos no sistema de arquivos eventos
- Inspetor – Python inotify biblioteca
- OSSEC – Open Source baseado em Host, Sistema de Detecção de Intrusão que efectua o registo de análise, verificação da integridade de arquivos, monitoramento de políticas, detecção de rootkits, alertas em tempo real e resposta ativa.
Top
considerações # considerações
ao configurar uma estratégia de monitorização baseada em ficheiros, existem muitas considerações, incluindo as seguintes.
execute o programa/Serviço de monitorização como root
isto tornaria difícil para os atacantes desactivar ou modificar a sua solução de monitorização do sistema de ficheiros.
desactivar a monitorização durante a manutenção/actualizações programadas
isto evitaria notificações desnecessárias quando estiver a efectuar manutenção regular no local.
Monitorize apenas os tipos de Ficheiros Executáveis
pode ser razoavelmente seguro monitorizar apenas os tipos de Ficheiros Executáveis, tais como .ficheiros php, etc.. A filtragem de ficheiros não executáveis pode reduzir Entradas e alertas de Registo desnecessários.
Use strict file system permissions
Read about secking file permissions and ownership. Em geral, evite permitir executar e escrever permissões na medida do possível.
Top
monitorando seu servidor web externamente # monitorando seu servidor web externamente
Se o atacante tentar desfigurar seu site ou adicionar malware, você também pode detectar essas alterações usando uma solução de Monitor de Integridade baseada na web. Isso vem em muitas formas hoje, usar o seu motor de busca favorito e procurar detecção de Malware Web e remediação e você provavelmente obterá uma longa lista de prestadores de serviços.
Topo
Recursos de # Recursos
- Como Melhorar o WordPress Segurança (Infográfico)
- Plugins de Segurança
- WordPress Segurança de Corte Através do BS
- e-Book: o Bloqueio do WordPress
- wpsecure.net tem alguns guias sobre como bloquear o WordPress.
- Um Guia de Iniciantes para endurecer WordPress
- Brad Williams: bloqueie-o (vídeo)
- 21 maneiras de proteger o seu site WordPress
- documentos oficiais sobre como proteger senha diretórios com um .htaccess
- tutorial Simples sobre como proteger com senha a área de administração do WordPress e corrigir o erro 404
Topo
Veja Também: # Ver Também
- FAQ de Segurança
- FAQ – Meu site foi hackeado
- Ataques de Força Bruta
- WordPress Whitepaper de Segurança