Proteja seu site WordPress contra ataques!

Hackers e ataques cibernéticos podem causar problemas de desempenho no servidor ou até mesmo interrupções diretas. Muitas pessoas não têm ideia da frequência com que os servidores são atacados porque nunca veem os logs. Cada servidor será atacado milhares de vezes (às vezes em uma hora) todos os meses. Seu site pode estar sendo atacado agora, mas você simplesmente não sabe disso.

A proteção contra esses ataques requer um equilíbrio delicado. Você não quer um servidor que permite que hackers bombardeiem livremente suas portas e recursos, mas também não quer um servidor que é muito seguro e audita excessivamente todo o tráfego, o que retarda seus usuários ou pior, bloqueia usuários legítimos.

Hoje vamos compartilhar um conjunto de dicas sobre otimização de segurança de sites fornecidas por Johnny Nguyen no The Ultimate WordPress Speed Optimization Guide. Cada otimização de segurança abaixo será marcada com o nível de habilidades necessárias para implementação e o impacto que ela trará.

HABILIDADE:

• INICIANTE – pode pesquisar no Google e seguir as instruções.
• INTERMEDIÁRIO – trabalhando como contratante de WordPress.
• AVANÇADO – programador ou administrador do servidor.

IMPACTO:

• BAIXO – talvez 100-200ms de diferença. Possivelmente imperceptível.
• MÉDIO – cerca de 500ms de diferença.
• ALTO – diferença de 1 segundo ou mais.

1. Desligar os Serviços de Servidor Desnecessários (INICIANTE/ALTO)

Você pode pensar em serviços como telefones ou contas de e-mail não utilizados. Eles ficam consumindo recursos (MEMÓRIA) e ocupam seu tempo com conexões indesejadas (SPAM, HACKERS). Tudo o que você não está usando, desative de seu servidor.

• DNS – desative se estiver usando um servidor DNS externo (Cloudflare, DNSME, etc.)
• E-mail – desative se estiver usando e-mail de terceiros (G-Suite, MXroute etc.)
• FTP / SFTP – desative se não estiver usando
• Outros proxies – como Varnish

Muitos desses serviços são ativados por default do servidor ou pelo painel de controle. Para serviços que precisam estar em execução, você pode limitar sua exposição a tráfego ruim usando firewalls.

2. Configuração do Firewall do Servidor (AVANÇADO/ALTO)

A maioria das configurações de firewall padrão são definidas como “fracas” para evitar problemas, mas atenção, cheque todas essas portas e bloqueie o máximo possível. Deixamos algumas sugestões abaixo de como analisar e proceder e agir:

• Portas usadas por pessoas específicas (SSH, FTP) – apenas você ou algumas outras pessoas. Faça uma lista de permissões de IP e bloqueie o resto.
• Portas usadas por determinado país (POP3, IMAP, FTP) – se alguns serviços forem usados apenas em um país, você pode bloquear todos os outros países. No entanto, tenha cuidado, pois quem viaja perderá o acesso!
• Portas atacadas apenas por determinado país – se você tiver muitos ataques vindos de certos países ou regiões, pode banir por país ou por intervalos de IP inteiros.

Existem muitos firewalls de servidor por aí, cada um com seus prós, contras e recomendações para diferentes situações de uso. Você pode ler online como outras pessoas os usam e configuram. É mais fácil começar com o padrão que vem com o seu ambiente.

3. Proteção de Força Bruta do Servidor (AVANÇADO/ALTO)

A proteção de força bruta é como um firewall inteligente pois deixa serviços e portas abertos, mas automaticamente proíbe os infratores óbvios.

• Ele proíbe automaticamente qualquer pessoa que coloque a autenticação errada ou use nomes de usuário genéricos na lista negra, etc.

Eles são fáceis de configurar e muito poderosos mas cuidado para não bloquear usuários / tráfego legítimos. Você pode ver qual proteção de força bruta ou DDOS veio com seu servidor e habilitá-la. Talvez não valha a pena ser tão rigoroso se você tiver muitos usuários neste servidor.

4. Proteção de Força Bruta em wp-login.php (INICIANTE/ALTO)

A página de login do administrador do WordPress é frequentemente bombardeada por bots que tentam usar nomes de usuário e senhas aleatórios. Embora eles possam não entrar, suas constantes tentativas consomem muitos recursos. Existem várias maneiras de evitá-los, cada uma com seus prós e contras.

• Proteção de força bruta no nível do servidor – fácil e eficiente, mas pode bloquear usuários legítimos em servidores ocupados com sites que usam Cloudflare. O problema é que os bloqueios de força bruta são bloqueados por IP e os visitantes que chegam através do Cloudflare compartilham o mesmo IP (proxy). Claro, você pode configurar para passar o verdadeiro IP do cliente por meio de cabeçalhos Cloudflare, mas isso retarda o carregamento da página!
• Proteção de força bruta no nível do aplicativo – muitos plugins de segurança do WordPress podem fazer isso. Eles protegem a página de login, banindo usuários com credenciais incorretas.
• Alguns plugins ocultam a página de login – movendo-a para um URL diferente. Certifique-se de que a URL de login padrão esteja bloqueada ou armazenada em cache para evitar que visitas nele usem recursos.
• Outros plugins protegem o formulário de login, colocando um captcha e banindo certos robôs, rastreadores, dispositivos. Isso pode funcionar bem, mas pode incomodar ou sinalizar usuários legítimos.

O único servidor que conheço com proteção nativa de força bruta em wp-login.php é o LiteSpeed. Todos os outros servidores (Apache e NGINX) terão que habilitá-lo com um plugin de segurança ou autenticação http.

5. Autenticação HTTP (INICIANTE/MÉDIO)

Você tem páginas específicas sendo bombardeadas e nenhuma maneira conveniente de bloquear o acesso a elas? HTTP AUTH é uma maneira rápida e grosseira de bloquear todos os usuários. O único problema é que é um pequeno incômodo para usuários legítimos. A maioria dos guias mostra como proteger o diretório wp-admin, mas você também pode proteger outros diretórios visitados com frequência.

• Configurar HTTP AUTH no Apache / LiteSpeed
• Configurar HTTP AUTH em NGINX
• Gerador de senhas HTTP AUTH prático

6. Desative o Protocolo XML-RPC (INICIANTE/MÉDIO)

O protocolo XML-RPC permite que aplicativos externos (como aplicativos móveis) façam login em seu WordPress e editem conteúdo ou visualizem as vendas do WooCommerce. Infelizmente, ele é frequentemente explorado por hackers e bots que invadem seu site com força bruta.

• Se você não usá-lo, desabilitar o XML-RPC evita a lentidão do servidor causada por milhares de solicitações XML-RPC de invasores.
• Se você precisar deixá-lo ligado, pode colocar seus IPs na lista de permissões (e também para Jetpack, se você usá-lo).

7. Configuração do Plugin de Segurança (INTERMEDIÁRIO/MÉDIO)

Se você não tiver acesso ao seu servidor, pode usar plugins de segurança. Sim, a segurança é executada com mais eficiência no nível do servidor (mais próximo do poder de computação bruto) do que no nível do aplicativo (processamento de PHP mais lento) … mas às vezes, é difícil definir regras de segurança globais quando você tem muitos clientes / sites e cada um precisa algo diferente.

No entanto, um plugin de segurança em nível de software como o WordFence ainda é uma opção útil para bloquear ataques que o servidor não faz e/ou evitar que sites hackeados causem mais danos.

• Meu plugin de segurança favorito do WordPress é o WordFence.
• O recurso mais importante dos plugins de segurança, na minha opinião é a verificação de malware. Faça a varredura manualmente ou agende durante horários de baixo tráfego. Este recurso não melhora necessariamente a velocidade do site, ele detecta explorações do sistema e evita que usem recursos (hospedagem de sites de spam ou ataque a outros servidores).
• Os recursos de firewall nos plugins de segurança provavelmente não serão necessários se você já tiver um firewall de servidor. Os firewalls ativados no nível do PHP reduzem a velocidade de todas as solicitações de entrada.

O problema de desempenho com os plugins de segurança se deve a A) filtragem excessiva de todo o tráfego de entrada e B) verificação com muita frequência. Ambos consomem muitos recursos, especialmente em grandes sites com muitas páginas e visitantes. Eu sugiro não usar firewall de software e também definir as varreduras de malware para uma velocidade mais lenta.

8. Configuração de Segurança de Nível de Borda de DNS (INICIANTE/MÉDIO)

Lembra como eu disse que a segurança é feita de forma mais eficiente no nível do servidor do que no nível do aplicativo? Fazer isso bem no nível de extremidade (nível DNS) pode ser ainda mais eficiente do que no nível do servidor, uma vez que está usando os servidores de outra pessoa. Existem algumas implicações de desempenho entre lidar com a segurança na Ponta X Em seu servidor. Você pode decidir o que funciona melhor para o seu caso de uso.

• Lidar com a segurança em seu servidor pode ser mais conveniente, pois você tem mais controle. Você pode otimizar para seu uso específico. A única desvantagem é que ele usa os recursos do servidor e também que você precisa de habilidades administrativas.
• Lidar com a segurança por meio de outro servidor (como proxy DNS, Cloudflare) ou serviço de segurança (Sucuri) economiza recursos preciosos do servidor, mas pode adicionar pequenos problemas de atraso de carga, uma vez que os visitantes estão passando por um proxy extra antes de chegar ao seu servidor web.

Quanto mais fracas forem as habilidades do servidor e do administrador do servidor, maior será a probabilidade de um serviço de segurança ser mais eficiente no bloqueio de solicitações DDOS. Então, novamente, para um site menor, você pode não ter tantos problemas de segurança. Faça o que fizer, não tente colocar segurança DDOS excessivamente agressiva em ambos os níveis (DNS e servidor). Isso pode causar falsos positivos em que visitantes legítimos são bloqueados porque todos os visitantes (bons e ruins) compartilham o mesmo IP ao passar por um proxy.

• A maioria das pessoas não precisa se preocupar com ataques DDOS, ok?
• A maioria dos ataques DDOS de nível inferior são facilmente manipulados pelo seu servidor.
• Os ataques DDOS de nível mais alto são aqueles que sobrecarregam os servidores (mesmo com boa segurança), mas custam dinheiro e concentram esforços dos hackers. A menos que alguém esteja especificamente visando você, você não precisa se preocupar com eles.
• A maneira mais fácil de lidar com ataques DDoS de alto nível é inscrever-se imediatamente em uma empresa de segurança dedicada como a Sucuri (quando isso acontecer).
• Eu não recomendo pagar por serviços de segurança sofisticados que você geralmente não precisa.

9. Redirecionamento HTTPS e HTTPS (INICIANTE/BAIXO)

• Você deve absolutamente usar HTTPS. (É a única maneira de obter os benefícios do protocolo HTTP / 2.)
• Coloque redirecionamentos 301 HTTPS em seu servidor para que os visitantes sejam redirecionados rapidamente para o protocolo HTTPS adequado e a versão de domínio correta do seu site (com ou sem “www”). Sem esses redirecionamentos de servidor, o WordPress ainda pode fazer isso, mas leva um pouco mais de tempo.

Coloque redirecionamentos 301 HTTPS em seu servidor para que os visitantes sejam redirecionados rapidamente para o protocolo HTTPS adequado e a versão de domínio correta do seu site (com ou sem “www”). Sem esses redirecionamentos de servidor, o WordPress ainda pode fazer isso, mas leva um pouco mais de tempo.

• Dica bônus: se estiver usando Cloudflare, defina uma regra de página para fazer seus redirecionamentos HTTPS 301 de lá também. (Ainda mais rápido do que no servidor local!).