Quando usamos o WordPress é comum instalarmos plugins, temas, etc. Seja para entender seu funcionamento, resolver alguma necessidade, etc.
Nesse contexto existem 2 principais problemas:
1) Nem sempre são instalados plugins oficiais do repositório do WordPress: muitos deles podem ser ameaças travestidas de ‘solução para seu problema’.
2) Mesmo os plugins oficiais e conhecidos podem apresentar falhas de segurança no WordPress após uma atualização, por exemplo.
Essas são 2 grandes brechas de segurança preferidas por invasores mal intencionados.
Com base nos pontos já citados, abaixo estão algumas dicas para verificar o nível de proteção, segurança e integridade na hospedagem do seu blog.
Ferramentas de terceiros
Google Safe Browsing
Site: https://safebrowsing.google.com/
Ferramenta gratuita de diagnóstico do Google que mostra informações se o seu site está comprometido, se contém algum tipo de ameaça, entre outros.
Para efetuar o teste digite a URL abaixo no navegador trocando apenas a parte final, inserindo o domínio do seu blog
http://www.google.com/safebrowsing/diagnostic?site=uolhost.com.br
Usando essa ferramenta você conseguirá identificar se o seu blog está na lista de sites suspeitos do Google, se existe alguma brecha de segurança que permite instalação de arquivos maliciosos e se houve dentro da hospedagem desse domínio algum software malicioso nos últimos 90 dias.
Sucuri SiteCheck
Site: http://sitecheck.sucuri.net/scanner/
Essa ferramenta, que possui perfil de uso gratuito e pago, faz uma checagem em um domínio levantando uma ‘lista negra’ de malwares, arquivos maliciosos, possíveis brechas de ataques, redirecionamentos suspeitos e spam.
As duas ferramentas acima fazem análises superficiais do seu blog, baseada em avaliações de usuários, sistemas de terceiro, denúncias, etc.
Para uma análise mais profunda em hospedagem no WordPress, é preciso usar alguns plugins confiáveis e gratuitos focados para isso.
Plugins para WordPress para detectar problemas
Existem várias opções para realizar uma análise para sua instalação do WordPress. Abaixo são apresentadas três ótimas opções (gratuitas) para fazer uma varredura no seu blog.
Exploit Scanner
Site: http://wordpress.org/plugins/exploit-scanner/
Esse plugin faz uma pesquisa nos arquivos e banco de dados da instalação, procurando sinais de ‘atividade suspeita’ (acesso não autorizado) e detectando arquivos incomuns presente dentro dos plugins ativos.
Observação: esse plugin somente mostra as ameaças. É preciso remover manualmente as irregularidades apontadas.
Sucuri Security
Site: http://wordpress.org/plugins/sucuri-scanner/
Esse plugin executa várias verificações de segurança. Ele pode detectar malware, SPAM, erros de instalação, problemas com banco de dados, diferenças de códigos, etc.
Além das principais medidas acima, o plugin também executa automaticamente uma série de medidas para proteger seu blog em WordPress, tais como:
* Verificar updates de versão do WordPress
* Proteção e monitoração do diretório de upload de arquivos
* Controle de acesso ao wp-content e wp-includes
* Verificação da versão do PHP
* Desativação de editores de temas e plugins
* Verificação de mudança dos arquivos principais do WordPress
Wordfence Security
Site: http://wordpress.org/plugins/wordfence/
Este plugin verifica os arquivos principais da instalação do WordPress procurando erros em temas e plugins, localizando malwares, URLs de publicação com problemas e verifica comentários e mensagens procurando ameaças de segurança.
O Wordfence é compatível com WordPress MU e é bem avançado: com apenas um clique ele faz toda a verificação de segurança e é possível optar por reparar os arquivos maliciosos automaticamente.
Atualizado em 24/03/2017