WP Security Scan: verifique a segurança de seu Wordpress

Posted by Marcos A.T. Silva in plugins on 06 5th, 2008 | no responses

Segurança é um fator primordial hoje em dia, que deve ser levado muito a sério, seja em seu desktop ou em sua conta de hospedagem de sites. Quando falamos em servidores web, aliás, a coisa é ainda mais complicada, pois sites hospedados em “regime compartilhado”, ou seja, juntamente com outros clientes/sites na mesma máquina, estão sujeitos a diversos tipos de problemas. Caso um único site na máquina possua alguma brecha de segurança em um de seus scripts, por exemplo, esta pode comprometer o servidor inteiro (e todos os outros clientes/sites).

No caso do Wordpress, é interessante mantermos, além de uma política de backups envolvendo o banco de dados e os arquivos e pastas do Wordpress (ou pelo menos a pasta “/wp-content/”), um cuidado adicional no tocante às senhas utilizadas e à atualização do Wordpress e de todos os seus plugins, tão logo novas versões sejam disponibilizadas.

Sobre o WP Security Scan

O WP Security Scan é um plugin que, basicamente, executa uma verificação em sua instalação do Wordpress, visando encontrar vulnerabilidades e/ou configurações em utilização que possam comprometer a segurança de seu blog. Mediante a verificação feita pelo plugin, você pode então tomar medidas corretivas visando melhorar a segurança de seu Wordpress.

O plugin oferece sugestões relacionadas à segurança de seu Wordpress, e abaixo você pode conferir algumas delas:

  • Senhas utilizadas.
  • Permissões de arquivos.
  • Base de dados.
  • Versão do Wordpress.
  • Segurança na área de administração do Wordpress.

Instalação

Você pode obter o pacote de instalação do WP Security Scan através deste link, utilizando o botão “Download“. A instalação do plugin é muito simples, e não é necessário nenhum procedimento adicional, nem tampouco edição de arquivos do tema ou do Wordpress.

Caso você tenha alguma dificuldade, dê uma lida em nosso tutorial a respeito da instalação de plugins no Wordpress, o qual você pode acessar através do menu “Inicie agora“.

Configurando

Após instalar e ativar o plugin, é possível acessar o mesmo a partir da opção “Security“, localizada no menu principal do Wordpress. Veja abaixo:

Note que ao acessar a opção “Security“, conforme descrito acima, o plugin vai automaticamente para a sub-opção “Security“. Podemos verificar também, na tela de opções do plugin, que existem 05 (cinco) opções disponíveis: “Security“, “Scanner“, “Password Tool“, “Database” e “Support“.

Abaixo vamos ver maiores detalhes a respeito de cada uma delas:

Security (Segurança)

Esta opção é acessada automaticamente quando se clica no link “Security“, localizado no menu principal do Wordpress. Trata-se de um “resumo” do atual estado de sua instalação do Wordpress, já com alguns links para a correção dos possíveis problemas encontrados.

Além disso, a opção “Security” exibe diversas informações a respeito do sistema onde seu site se encontra hospedado, como por exemplo sistema operacional, tipo e versão do servidor web, utilização de memória, versão do PHP e do MySQL e parâmetros definidos no php.ini do servidor.

Pode-se obter algumas informações bem interessantes através desta opção do plugin.

Scanner (verificador)

Através desta opção o WP Security Scan executa uma verificação em todas as pastas do Wordpress, e também nos arquivos “.htaccess” e “wp-admin/index.php”. Após a verificação, ele exibe uma lista onde é possível verificar a permissão (chmod) “atual” de cada um, e a permissão “ideal”/sugerida, visando uma melhor segurança:

Password tool (ferramenta de senha)

Neste item é possível encontrar um “gerador de senha segura”, a qual é gerada automaticamente sempre que se acessa a referida opção, ou quando se recarrega (refresh) a tela. Além disso, existe também um verificador de senhas, no tocante à “força” da mesma.

Conforme se vai digitando a senha, o indicador vai mudando para:

Trata-se de uma ótima maneira de conferir e ajustar a “força” de sua senha.

Database (base de dados)

Esta funcionalidade permite que seja alterado o prefixo das tabelas da base de dados em utilização com o Wordpress. Ocorre que o prefixo padrão de todas as tabelas do wordpress é “wp_“, prefixo este muito “manjado”. :)

Alterar este prefixo é uma maneira de reduzir o risco de ataques ao seu blog. Entretanto, vale ressaltar que você somente deve efetuar este procedimento caso tenha realmente certeza do que está fazendo, e caso possua conhecimentos suficientes para, por exemplo, ajustar a instalação de um plugin que requeira a criação de tabelas no banco de dados, a fim de que o prefixo das tabelas deste seja idêntico ao que você escolheu através desta funcionalidade do WP Security Scan. A mesma coisa vale para plugins já instalados. Portanto, utilize esta funcionalidade por sua conta e risco, ok? :)

Para que a alteração do prefixo das tabelas funcione, você deverá alterar previamente as permissões (chmod) do arquivo wp-config.php de seu PHP, para 777 ou 775, dependendo das configurações de seu servidor, para que o plugin possa efetuar as devidas alterações no mesmo. Além disso, o usuário de sua base de dados deve possuir acesso total à mesma, ou pelo menos privilégios suficientes para alterá-la.

A alteração na verdade é muito simples, e basta digitar o novo prefixo no campo “Change the current:“, clicando em seguida no botão “Start Renaming“.

OBS: lembre-se, utilize a funcionalidade acima com extremo cuidado, e não se esqueça de efetuar um backup completo de seu Wordpress, antes de qualquer coisa. E, mais uma vez, lembre-se: utilize esta funcionalidade apenas caso tenha total certeza do que está fazendo. :)

Support (suporte)

Este item ainda está em desenvolvimento, e por enquanto constam os seguintes links:

  • Changelog: trata-se de um link para uma página contendo as mudanças ocorridas entre uma versão e outra do plugin.
  • Documentation: trata-se de um link para a página de documentação do plugin.

Os links acima não fornecem muitas informações, mas é de se esperar que em breve possamos encontrar aí muitas informações úteis a respeito do plugin.

Segundo o desenvolvedor, está prevista para a próxima versão do plugin a inserção de muitas funcionalidades úteis e interessantes. Portanto, vamos aguardar. :)

De qualquer forma, trata-se de um plugin muito interessante e útil, além de ser muito fácil de se instalar. Vale a pena dar uma conferida.

Informações adicionais

Versão atual:

2.3

Página do plugin no diretório de plugins do Wordpress.org:

http://wordpress.org/extend/plugins/wp-security-scan

Site oficial do plugin:

http://semperfiwebdesign.com/plugins/wp-security-scan

Site do desenvolvedor:

http://semperfiwebdesign.com


bookmark bookmark bookmark bookmark bookmark bookmark bookmark bookmark bookmark bookmark bookmark bookmark
tabs-top


Leave a Reply