Segurança para WordPress

Segurança para WordPress

Monitoramento de Malware, Verificação de Segurança e Detecção de Incidentes

Remove Blacklisting

WordPress é a plataforma mais rápida de todas e um dos Sistemas de Gerenciamento de Conteúdo (do inglês - Content Management Systems CMS) mais reconhecido que está disponível para os proprietários de sites. Ele engloba mais de 23% do mercado e tem sido usado tanto por grandes, quanto por pequenas empresas. Junto com sua popularidade, vieram muitos desafios para os proprietários de sites, um desses desafios é a Segurança.

é fácil negligenciar a importância da detecção e do monitoreamento passivo, mas essa é uma das funções essenciais que você deve empregar na segurança do seu site. Não existem defesas disponíveis que forneçam 100% de certeza de que os controles que você utiliza vão impedir que os atacantes explorem as vulnerabilidades no seu ambiente. Para solucionar esse problema, os profissionais de segurança empregam uma série de ferramentas, como o monitoramento de malware e não-malware para detectar precocemente e continuamente os potenciais incidentes.

SEGURANçA PARA WORDPRESS

Segurança para WordPress

Monitoramento de Malware e Verificação de Segurança para WordPress

Não há catástrofe maior para um proprietário de sites do que perder a luta para manter seu site seguro. é por isso que passamos a maior parte do nosso tempo trabalhando pelo mundo afora para educar os proprietários de sites e conscientizá-los sobre esse problema.

Se você é um usuário de WordPress, então veio ao lugar certo. Isso se aplica mais aos usuários finais que utilizam o download gratuito do WordPress, que é encontrado no WordPress.org. Isso provavelmente significa que você está utilizando um dos muitos hosts dedicados, mas não se preocupe com isso, nós trabalhamos muito bem com todos eles (i.e., GoDaddy, Site5, SiteGround, BlueHost, HostGator, etc). Você também pode estar utilizando qualquer um dos hosts gerenciados de WordPress como WP Engine, Page.ly, Rainmaker ou qualquer outro desses que apareceram no mercado nos últimos meses / anos.

Se você está pensando no monitoramento do seu site, então já está pensando corretamente sobre a segurança, já que o monitoramento é uma parte muito importante do ciclo completo de Segurança da Informação.

Quando se trata de Monitoramento, nos referimos ao passo da Detecção no ciclo de segurança. Nesta seção, abordaremos vários assuntos:

Cada ação é muito distinta e é uma parte importante da sua administração cotidiana.

Se você se interessou em completar o ciclo de segurança acima descrito, considere complementar o seu plugin de Segurança para WordPress com nosso AntiVírus de Sites. Juntos, esses elementos te proporcionarão a segurança mais completa que qualquer proprietário de sites pode ter para completar o ciclo de segurança.

1. Monitoramento da Segurança de WordPress (Pago) - Monitora Todos os Eventos Relacionados a Segurança e a Malware

Verificação e Monitoramento Completo de Malware e Segurança para seu site WordPress

O monitoramento mais completo que você pode ter no seu site WordPress, basta ativar nosso AntiVírus de Sites. Diferentemente do nosso Plugin de Segurança de WordPress (mencionado acima), nosso AntiVírus de Sites contém o poder do motor de detecção de malware / segurança e te permite agendar suas verificações. Ele proporciona aos proprietários de sites dois métodos distintos - verificação Remota e verificação do Lado do servidor, enquanto você garante sua tranquilidade ao saber que, se um evento malicioso ocorrer, você será notificado imediatamente.

Nosso AntiVírus de Sites proporciona, além das vantagens do nosso plugin gratuito de Segurança de WordPress é, verificação completa para seu site. Diferentemente do nosso plugin gratuito, nosso AntiVírus adiciona uma detecção de anomalias mais completa, uma identificação de assinaturas mais agressiva, além de uma varredura total do seu site, na qual cada aspecto aumenta a detecção de anomalias.

Sucuri - Website Security - Comprehensive Malware Monitoring

Sucuri - Segurança de Sites - Monitoramento de Malware Completo

Esse é, de longe, o recurso mais eficiente de todos, a habilidade de varrer o back-end do seu ambiente, a procura de payloads que não aparecem geralmente no seu navegador. Esses são os eventos mais comuns, que incluem Backdoors, payloads de Phishing e scripts do tipo mailer.

Sucuri - Website Security - Server Side Malware Monitoring

Sucuri - Segurança de Sites - Monitoramento de Malware do Lado so Servidor

Nosso AntiVírus de Sites também dá aos proprietários de sites varreduras que monitoram tanto a condição do estado do seu DNS, quanto do WHOIS. Essas são duas verificações muito importantes que, apesar de tudo, muitos esquecem de configurar e monitorar. Elas são importantes porque, como proprietário de um site, você vai querer saber imediatamente se seu domínio pertence a outra pessoa, que não seja aquela pessoa que você havia autorizado.

Além disso, você receberá um relatório semanal que te mostrará o estado global de segurança do seu site.

Sucuri - Website Security - Security Reporting

Sucuri - Segurança de Sites - Painel de Relatório de Segurança

2. Plugin de Segurança para WordPress (Gratuito) - Audição de Atividade e Verificação de Malware Remota

Plugin de Segurança para WordPress - Desenvolvido pela Sucuri para prover Audição e Verificação

Para melhorar sua postura de segurança e ajudá-lo a enfrentar o desafio de saber sobre todas as atividades que estão acontecendo com sua instalação de WordPress, nós desenvolvemos um plugin Gratuito.

Advertência: Note que esse plugin foi desenvolvido para o usuário final que está procurando as peças do quebra-cabeça de segurança de que necessitam para tratar da sua postura global de segurança. Ele não foi projetado para o usuário de WordPress do tipo Faça Você Mesmo (do inglês Do It Yourself - DIY). O usuário DIY é do tipo que gosta de manipular, configurar ou atualizar suas configurações, com o objetivo de aumentar sua postura de segurança. Para esses usuários, recomendamos que complementem essa ferramenta com plugins de utilidades de segurança. Sucuri WordPress Security Plugin

Nosso plugin é fácil de ser usado e retira toda a confusão que geralmente há na maioria dos plugins de segurança. Ele foi desenvolvido para ajudar a complementar nossos serviços de segurança e providenciar a vocês mais tranquilidade para administrar seu site. Nós criamos instruções simples para ajudá-lo a instalar e a configurar seu plugin. Ademais, essa ferramenta é extremamente eficiente após seu site ser comprometido, pois pode ser utilizada para fazer a análise forense do caso. Todos os eventos de auditoria são armazenados fora do seu site, o que significa que mesmo após um atacante invadir seu site, todos os seus logs ficam armazenados remotamente no Centro de Operações de Segurança da Sucuri (do inglês Sucuri Security Operation Center -SOC) tornando-os inacessíveis para o atacante. Isso significa que o atacante não conseguirá acessar seus logs e eliminar os rastros que podem ser valiosos na análise forense.

Monitoramento de Atividade para WordPress

Isso é algo que ninguém foi capaz de fazer muito bem. Nós acreditamos que esse aspecto seja tão importante que ele é a característica central no seu painel. Ele foi projetado para permitir que você, o proprietário do site, veja tudo o que está acontecendo com seu site. Quem está fazendo login? O que eles estão fazendo? O que está sendo mudado? Essas são todas questões importantes que você, como proprietário de um site, precisa se perguntar. Ninguém deve saber mais sobre o seu site e suas operações do que você, então criamos essa ferramenta para capacitá-lo a tomar suas decisões.

Sucuri - WordPress Security Plugin - Auditing

Sucuri - Plugin de Segurança para WordPress - Painel de Audição

Verificação Remota de Malware para sites WordPress

Como o próprio nome sugere, esse recurso é projetado para rastrear o seu site remotamente. Ele emula um número de agentes de utilizador e referências, numa tentativa de desencadear um evento do navegador. Se um evento é acionado, o payload identificado é utilizado e analisado na nossa base de dados para identificar se trata-se de algo malicioso ou benigno.

Sucuri - WordPress Security Plugin - Malware Scanner

Sucuri - Plugin de Segurança para WordPress - Verificação Remota de Malware

Entenda que esta é uma varredura remota, e não no nível do servidor (nível de aplicação). Isso significa que as chances de se perder um problema no nível do servidor, como backdoors e Phishing, são muito elevadas, já que esses eventos geralmente não estão ligados ao seu site, mas sim injetados discretamente durante a instalação do site. Nosso escâner funciona de maneira muito semelhante ao nosso popular escâner de segurança on-line gratuito, SiteCheck. Nós recomendamos que você dê uma olhada em como ele funciona para evitar mal-entendimentos sobre o que ele não consegue detectar.

Para uma verificação mais completa e eficiente, sugerimos que você visite nossa página que contém nossos AntiVírus e Firewall de sites.

Monitoramento de Integridade de Arquivos de WordPress

A ideia de Monitoramento de Integridade de Arquivos não é nova, quando se trata de segurança. Isso também é algo que alguns de seus plugins de segurança favoritos fazem por você. Esse é um processo que utiliza um método de verificação para comparar o estado atual de um arquivo a um bom estado preexistente desse mesmo arquivo. Há muitas maneiras de se fazer isso, a mais comum de todas elas é comparar a soma da verificação dos dois arquivos - o atual e o conhecido, o que não deve ser confundido com a verificação de software malicioso. No entanto, também é um método altamente eficaz para identificar alterações em arquivos.

Sucuri - Website Security - File Integrity Monitoring

Sucuri - Segurança de Sites - Monitoramento de Integridade de Arquivos

Este recurso se estende além das mudanças de arquivos. Ele também irá identificar a adição de arquivos, o que é um pouco diferente, mas muito eficaz para você, proprietário do site. Esse recurso também verificará além dos diretórios centrais (isto é, wp-admin e wp-includes) e será responsável por todos os diretórios no root, ou seja, wp-content também estará coberto (ou seja, plugins e temas).

Hardening de Segurança de WordPress

O hardening oferecido pelo nosso plugin é mínimo, porém altamente eficaz. Isso ocorre deliberadamente, pois o objetivo do plugin não é esclarecer cada configuração de segurança possível. Para isso, nós o encorajamos a utilizar uma caixa de ferramentas de utilitários de segurança, como aquela desenvolvida pelo iThemes Security. No nosso processo de hardening, nós nos concentramos em alguns conceitos de "segurança pela obscuridade", mas também nos focamos na desativação da execução de PHP e na redução do acesso em locais-chave. Todo o resto deixamos para outros plugins de utilidades de segurança.

Ações Pós-Hack

Este é um recurso que nós construímos para o plugin para atender a uma demanda dos usuários. Ele foi projetado para ajudá-lo depois de um comprometimento do seu site. O que aprendemos é que muitos proprietários de sites, como você, uma vez comprometidos, iriam continuar a ser reinfectados muitas vezes e, geralmente, essa era uma consequência de ações pós-hack inadequadas. Sentimos que era um problema grande o suficiente e que precisávamos ajudar os proprietários de sites nesse processo.

Os três recursos que ele abrange são:

  1. Resetar suas Salts / Keys após um comprometimento - o que assegura que qualquer usuário que esteja logado seja expluso.
  2. Resetar suas Senhas para todos os usuários - o que assegura que todos os usuários sejam obrigados a criar novas senhas
  3. Resetar seu Plugin - geralmente os plugins são corrompidos devido a um hack, nós adicionamos uma maneira de reinstalar seus plugins rapidamente para evitar qualquer problema possível.
Sucuri - WordPress Security - Post Hack Steps

Sucuri - Segurança de WordPress - Passos após o Hack

Firewall de Sites para WordPress - Opcional
Esse recurso é opcional porque é um recurso pago. é um ponto de integração para o nosso Firewall de Sites. Nosso Firewall de sites é uma proxy reversa que filtra todo o tráfego do seu site através de um dos nossos vários Pontos de Presença instalados em várias partes do mundo . Ele permite que a Sucuri veja todo seu tráfego de entrada e defenda proativamente seu site contra os vários ataques a sites como a Negação Distribuída de Serviços (do inglês Distributed Denial of Service - DDoS), os ataques de Exploração de Vulnerabilidades de Software e de Força Bruta.

A integração permite que você veja rapidamente os vários eventos e ataques ocorridos contra o seu site.

Sucuri - WordPress Security - Website Firewall Integration

Sucuri - Segurança de WordPress - Integração do Firewall de Sites

Esse recurso te oferece análises e relatórios mais aprofundados por meio do nosso Painel interno:

Sucuri - WordPress Security - Website Firewall Dashboard

Sucuri - Segurança de WordPress - Painel do Firewall de Sites

Notificações de Segurança de WordPress

Todos esses eventos de monitoramento de segurança ficariam incompletos se você não soubesse da existência deles, e se nós não houvéssemos percebido que é impossível ver tudo o que está acontecendo, é por isso que também enviamos todas as notificações por email. Essas notificações permitem que você configure seus avisos para melhor atender a suas necessidades de segurança. Você pode escolher saber sobre tudo, ou optar saber muito poucas coisas. De qualquer maneira, é você quem escolhe o seu nível de conforto.

Sucuri - WordPress Security - Email Notifications

Sucuri - Segurança de WordPress - Notificações por Email


Segurança Completa para WordPress!

AntiVírus de Sites da Sucuri

SEGURANÇA PROFISSIONAL PARA WORDPRESS