WordPress Seguro em Três Camadas — Um Guia para Não Ser Hackeado

Transcript

1. 1 Um guia para não ser hackeado WordPress Seguro em

   Três Camadas

2. 2 Raphael de Almeida

3. DojoRio PHPRio RubyOnRio

4. • Introdução • Camada 1: DNS — O Primeiro Escudo

   • Camada 2: Servidor — A Fortaleza • Camada 3: Website — O Cofre • Conclusão: O Plano de Contingência Sumário 4

5. Qual foi a última vez que você realmente olhou os

   logs de acesso do seu servidor? 5

6. Introdução 6 Duda é dona de um pequeno e-commerce de

   sucesso em WordPress. Ela entende de vendas, de produtos, de clientes, e de WordPress. Para ela, segurança sempre foi algo técnico e distante. "Se o site está no ar, está tudo bem", ela pensava. Até começar a notar lentidão e pedidos estranhos...

7. A "Falsa" Segurança 7 Assim como muitos administradores, Duda cometia

   dois erros clássicos: • Usar uma hospedagem compartilhada barata, vizinha de sites infectados. • Confiar cegamente em um único plugin de segurança gratuito, achando que isso era um "escudo mágico". Resultado: Uma porta entreaberta para ataques.

8. A virada de chave 8 "Grandes marcas não confiam em

   apenas uma tranca na porta. Por que sua loja deveria ser diferente?"

9. Defesa em Profundidade 9 Não existe bala de prata em

   segurança. A melhor estratégia é a redundância. Imagine camadas de um cofre. Se um atacante passa pela primeira barreira, ele deve encontrar imediatamente uma segunda, mais difícil que a anterior. Se uma camada falhar, as outras garantem a proteção do ativo mais valioso: seus dados.

10. Defesa em Profundidade 10

11. As Três Camadas de Segurança 11 DNS O filtro externo.

    Bloqueia o tráfego malicioso antes mesmo dele chegar ao seu servidor. (Ex: Cloudflare) Servidor A fortaleza. Firewalls robustos e isolamento de recursos para impedir invasões via infraestrutura. Website O cofre interno. Proteção de logins, monitoramento de arquivos e hardening do próprio WordPress.

12. DNS O Porteiro do Condomínio 12

13. DDoS 13 Duda lança uma promoção de Black Friday. O

    tráfego explode. O site cai. Ela comemora achando que viralizou, mas os logs mostram milhares de acessos vindos de IPs da Rússia e China em segundos.

14. O que é DDoS? 14 É um "Ataque Distribuído de

    Negação de Serviço". Imagine que 10.000 robôs (zumbis) tentam entrar na lojinha física da Duda ao mesmo tempo, bloqueando a porta.

15. O que é DDoS? 15 É um "Ataque Distribuído de

    Negação de Serviço". Imagine que 10.000 robôs (zumbis) tentam entrar na lojinha física da Duda ao mesmo tempo, bloqueando a porta.

16. DDoS: Solução 16 O "Botão de Pânico": Se a coisa

    ficar feia, Duda ativa o "Under Attack Mode". O Resultado: O usuário vê aquela tela de "Checking your browser" por 3 segundos. Esse desafio JavaScript separa humanos de bots. O ataque é neutralizado na borda (edge), e o servidor da Duda continua operando leve e rápido.

17. DDoS: Bônus 17 Se um atacante descobre o endereço IP

    real do servidor da Duda (ex: 203.0.113.1), ele pode ignorar completamente o Cloudflare. É como pular o muro e ir direto para a porta dos fundos, sem passar pela portaria. Defesa por Obscuridade: Muitas vezes criticada, mas aqui é vital. O Cloudflare atua como um Proxy Reverso. Para o mundo, o IP do site da Duda é um IP do Cloudflare. O IP real do servidor fica invisível.

18. Hotlinking 18 Duda notou sua loja lenta. A causa? Sites

    de spam estavam exibindo as imagens dos produtos dela diretamente (Hotlinking), usando a banda do servidor dela e criando backlinks tóxicos.

19. Solução 19 A Solução na Camada 1: Ativar o "Hotlink

    Protection" (Proteção contra Link Falso) no Cloudflare. O Resultado: O Cloudflare passou a bloquear essas requisições instantaneamente. Os sites ladrões ficaram com imagens quebradas, e o servidor da Duda voltou a respirar aliviado. Regra de Ouro: Sempre configure o WAF (Web Application Firewall) para o modo "Strict" (Rigoroso) se possível.

20. Servidor A Fortaleza 20

21. Hospedagem Compartilhada vs. VPS 21 Hospedagem compartilhada: É como morar

    em um prédio antigo com paredes finas e encanamento compartilhado. Se o vizinho do 302 pegar um vírus ou for atacado, o apartamento da Duda (e o seu site) sofre as consequências (lentidão ou IP sujo em blacklists).

22. Hospedagem Compartilhada vs. VPS 22 VPSA: Duda migrou para uma

    VPS/Cloud. Vantagem: Isolamento total. Ela tem seu próprio "bunker". Recursos dedicados (CPU/RAM) e, crucialmente, um IP Dedicado. Se alguém atacar o vizinho, a Duda nem fica sabendo.

23. 23 Mantar SO, PHP, MySql/MariaDb, e Servidor Web Atualizados

24. 24 Bloqueio de SSH/SFTP: Ela nunca usa FTP comum (inseguro).

    Apenas SFTP com chaves de segurança, e não senhas.

25. 25 Bloqueio Geográfico no Servidor: Se a Duda só vende

    para o Brasil, ela pode bloquear conexões da Rússia ou China direto no firewall do servidor.

26. 26 Bot Protection: Hospedagens modernas já possuem proteção contra Brute

    Force no nível da máquina, impedindo que alguém tente adivinhar a senha do servidor.

27. Website O Cofre 27

28. Plugins 28 Wordfence (O Tanque de Guerra): Filosofia: Endpoint Firewall.

    Ele verifica cada visita em tempo real. Pró: Possui o melhor scanner de malware do mercado e bloqueia ataques baseados em assinaturas conhecidas instantaneamente. Contra: É pesado. Como roda em PHP, ele gasta processamento do servidor para analisar o tráfego. Se o ataque for muito forte, o Wordfence pode derrubar o site tentando defendê-lo.

29. Plugins 29 Solid Security (O Arquiteto - Antigo iThemes): Filosofia:

    Hardening (Endurecimento). Foca em trancar janelas e esconder portas. Pró: Excelente para esconder a URL de login, forçar senhas fortes e detectar alterações de arquivos. Geralmente mais leve que o Wordfence. Contra: Não possui um firewall de aplicação (WAF) tão robusto na versão gratuita quanto o Wordfence. Confia mais em "esconder" do que em "lutar".

30. Plugins 30 • Desabilitar XML-RPC • Renomear username admin •

    Login Lockdown, entre 3 e 5 falhas • Edição de Arquivos no Painel • Redirecionar /wp-login.php • Desabilitar wp-json/wp/v2/users

31. Boas práticas 31 Higiene de Plugins (Menos é Mais) •

    Auditoria Constante: Manter instalados apenas os plugins estritamente necessários. • Remoção Completa: Desativar não é suficiente; delete plugins e temas inativos para remover código vulnerável. • Critérios de Seleção: Antes de instalar, verifique a data da última atualização (evite abandonados há +6 meses) e a reputação do desenvolvedor.

32. Boas práticas 32 Atualizações e Vulnerabilidades • Core, Temas e

    Plugins: Manter tudo atualizado é a defesa nº 1 contra exploits conhecidos. • Ambiente de Staging: Para atualizações críticas (como WooCommerce ou grandes updates do WP), teste primeiro em uma cópia do site para evitar quebras. • Monitoramento Ativo: Utilize ferramentas (como Patchstack ou alertas do Wordfence) para ser notificado imediatamente sobre novas vulnerabilidades descobertas em seus componentes.

33. Boas práticas 33 Estratégia de Backup (O Plano de Resgate)

    • Regra 3-2-1: Tenha 3 cópias dos seus dados, em 2 mídias diferentes, com 1 delas fora do local (nuvem externa). • Nível 1: Backup diário automático da própria hospedagem. • Nível 2: Backup externo automatizado para nuvem (Google Drive/S3) via plugin (ex: UpdraftPlus, WP Umbrella). • Nível 3: Download manual periódico para armazenamento local.

34. Recursos 34

35. Recursos 35 https://br.wordpress.org/plugins/simple-history/

36. Recursos 36 https://br.wordpress.org/plugins/simple-history/

37. Recursos 37 https://wordpress.tv/2024/04/09/plugin-review-top-10-mistakes-plugin-authors-make/ • WP-CLI • @wordpress/env (Node) • Wordpress

    Playground

38. Agora estou 100% seguro? 38

39. Recursos 39

40. 40 Referências • linkedin.com/pulse/defesa-em-profundidade-uma-estratégia-eficaz-para-segurança-perez-lit4f • https://developer.wordpress.org/advanced-administration/security/

41. Avalie https://forms.gle/Nstqc3KhoWd6HRMaA

42. OBRIGADO @raph_almeida https://forms.gle/Nstqc3KhoWd6HRMaA