A segurança é um problema no Wordpress?

3

Vou começar um grande site corporativo para sua loja de carros, que deve ser mais segura. O Wordpress está bem para iniciar um site seguro e confiável?

Tanto quanto eu ouvi, os hackers do Wordpress se intrometem em servidores web por meio de alguns plugins vulneráveis. Isso é verdade?

E se eu construir um site sem mesmo um único plugin? O Wordpress seria seguro então?

    
por Sundar 25.06.2015 / 07:39

2 respostas

7

De um modo geral, qualquer plataforma bem mantida pode ser usada para criar um site com boa segurança. Deve-se notar que você nunca construirá um site que seja completamente protegido contra hackers e spam, não importa qual plataforma você use e não importa o gênio ou profissional que você seja. Os hackers evoluem mais rápido que a segurança de um código específico destinado a mantê-los fora.

O próprio Wordpress é bastante seguro com boa segurança. A grande vantagem é que o núcleo é bem mantido e atualizado, então os riscos de segurança são mantidos a um mínimo. A única desvantagem é que o núcleo ainda é compatível com o PHP 5.2.alguma coisa, que foi eol'ed anos atrás. PHP 5.3 foi EOL'ed quase um ano atrás.

Tudo isso de lado, não importa o quão segura é a plataforma que você está usando, é tudo sobre o código personalizado que você vai usar. É um fato, existem milhares de temas e plugins escritos realmente ruins que eu nem instalaria na minha instalação local de teste, eu poderia ser hackeado através desses plugins e temas, hahaha ;-). Voltando a ser sério, você precisa garantir que todo o código personalizado esteja protegido. Nunca confie em nenhuma entrada e nunca confie em nenhum tipo de entrada (especialmente valores provenientes do URL ou informações provenientes de um campo de entrada de texto) e nunca execute php em campos de texto. VALIDAR ESCAPE SANITIZE , remembr estes termos. Trate todos os dados por mérito e use os métodos adequados de acordo com os dados para escapar, validar e limpar os dados para torná-los seguros. Os dados de entrada do usuário são a maneira mais fácil de inserir dados em seu site por hackers. Uma linha simples de javascript inserida no URL ou em um campo de texto pode fornecer ao hacker acesso total ao site para injetar um código personalizado.

Uma observação muito importante, mantenha seu site e seu código atualizados. Use empresas de hospedagem bem conhecidas. Hosts de baixa qualidade raramente suportam versões do PHP mais recentes que o PHP 5.4. Como eu disse, PHP 5.3 foi EOL'ed quase um ano atrás, por isso não é mais mantido, o que significa grandes problemas de segurança se você ainda estiver usando. Obtenha um host que suporte pelo menos o PHP 5.4, que ainda é mantido atualmente. Hosts apropriados também possuem recursos extras para segurança adicional.

Atualize o Wordpress quando houver uma atualização disponível. Tente ter a versão mais recente instalada. Existem também bons plugins de segurança disponíveis e plugins de validação de captcha para formulários.

Por fim, se você ainda não o fez, obtenha uma instalação local de teste off-line adequada, na qual é possível testar o código, os plug-ins e os temas. Vá até o código e certifique-se da integridade de lá. Apenas adicione código, plugins ou temas ao seu site ao vivo se você estiver satisfeito com ele depois de um teste off-line adequado

Este deve ser um guia mínimo para ajudá-lo

    
por Pieter Goosen 25.06.2015 / 08:20
3

Nada é 100% seguro, portanto, planeje o pior :

  

Suponha que seu site será invadido em um belo dia e totalmente excluído.

Considere, portanto, planos de recuperação com:

  • backups externos para seu banco de dados e arquivos enviados,
  • repositórios de controle de versão externos para seu código (temas e plug-ins).

Diminua o risco usando:

  • software "confiável" atualizado,
  • conexões seguras,
  • senhas strongs.

... e esperamos pelo melhor ; -)

    
por birgire 25.06.2015 / 11:52