Cuidado com Invasores no WordPress

Cuidado com Invasores no WordPress

Durante este carnaval de 2012 fiquei um pouco afastado das minhas atividade na internet e nem me importei de ver como estava aqui o Brasil PHP. O problema foi justamente esse. Algum babaca invadiu o site e deletou a tabela de posts acabando, por alguns dias, com todo o meu faturamento do Adsense e Boo Box, fora outros problemas que nem vou citar.

O que me vale muito são os backups periódicos que costumo fazer. Ou seja, depois que percebi o que havia acontecido, demorei dois minutos para pôr o blog a funcionar direitinho novamente. Mas se eu não tivesse backup? Ou tivesse apenas backups antigos?

As empresas de hospedagem costumam cobrar caro para restaurar backups completos e complexos. Por isso, eu mesmo faço os meus para não precisar recorrer a estes serviços extras do host. E para que você não fique desavisado, vou enumerar abaixo algumas técnicas simples para dificultar a invasão do seu blog WordPress.

Não use nomes óbvios para seu banco de dados

O nome do seu banco de dados é algo fundamental para a segurança do seu site. Não o nomeie com o mesmo nome do site, por exemplo, porque vai ser a primeira tentativa do invasor. Para esta e a próxima dica, vou usar como critério a defesa contra uma técnica de invasão chamada Sql Injection.

 

Um indivíduo qualquer insere em algum formulário do site um comando SQL que visa descobrir o nome do seu banco de dados e das tabelas contidas nele. A partir daí ele vai tentar ganhar acesso ao BD para roubar informações ou danificar o seu site.

Não use o prefixo padrão para nomear as tabelas do banco de dados

O prefixo padrão das tabelas do banco de dados usado pelo WordPress é o “wp_”. Modifique isso quando for fazer a instalação do seu site. Utilize um prefixo difícil de ser descoberto como um código. Deixe assim, por exemplo: “sd44fs8hj_suatabela”.

Não use o usuário padrão do WordPress

O usuário padrão do WordPress é o popular “admin”. Se você usar este usuário padrão, vai dar a metade do trabalho já feito para o invasor. Ou seja, ele já vai saber o usuário e só fica faltando a senha! Além disso, não facilite na escolha do usuário, se ele for um código ilegível, melhor!

Capriche na senha para deixá-la difícil de ser quebrada

Juntamente com um usuário difícil de ser descoberto, a senha complexa aumenta muito a dificuldade e o tempo necessário para proceder uma invasão eficaz do seu blog WordPress. Misture letras maiúsculas e minúsculas, números e caracteres especiais numa sequência de mais de oito caracteres.

Use algum plugin de segurança

O plugin de segurança vai ajudar a aumentar o nível de complexidade para alguém conseguir efetuar uma invasão. Recomendo o plugin BulletProof Security que traz variadas e boas alternativas de segurança.

Aconselho que você leia também este ótimo artigo sobre outras dicas de segurança no WordPress.

Use o plugin reCaptcha

Este plugin adiciona um validador nos formulários do seu site que impedem que spambots publiquem coisas inúteis e / ou tentem uma invasão através de SQL Injection.

Veja a página do plugin aqui.

Faça backups periódicos

Os backups você pode fazer de várias formas diferentes, mas recomendo que use o plugin Backup Scheduler que tem várias ferramentas interessantes, e depois de configurado, pode trabalhar de forma automática fazendo seus backups todos os dias.

Entenda que nenhuma das dicas que publiquei aqui impedem que um usuário experiente consiga invadir o seu site. Elas só servem para pessoas inexperientes, os chamados noobs. Felizmente, a grande maioria destes invasores são apenas adolescentes que acabaram de aprender um truque novo e não possuem conhecimento e/ou paciência para ultrapassar barreiras que você impõe.