Planos de Segurança

Versão Beta para testes e avaliações: Aguarde em breve a versão final. É um especialista em cibersegurança e quer contribuir com sua opinião sobre este checklist? Clique aqui para acessar os Contatos.

Público alvo

Qualquer desenvolvedor WordPress se beneficiará da quase totalidade dos checklists dev, ainda que os mesmos tenham sido desenvolvidos para web designers e webmasters de unidades de informação e cultura GLAM (galerias, bibliotecas, arquivos e museus).

Plano de Backups

– Instalar um plugin de backups e efetuar agendamentos automáticos, de acordo com a frequência de atualização do website (backups de 4 em 4 horas, diariamente, semanalmente, etc.). Recomendamos UpdraftPlus e backup com Softaculous.

– Manter ao menos 3 versões (backups redundantes), em mídias diferentes (uma destas preferencialmente “somente leitura”, como CDs, que não podem ser infectados), bem como em diferentes localidades (ex: um na nuvem, um no museu e outro em instituição parceira). O plugin UpdraftPlus permite salvar automaticamente uma cópia do backup em um armazenamento remoto (escolha um serviço seguro, protegido por senha forte).

– Verificar se a mídia do backup não está obsoleta (não existe mais equipamento na instituição para acessá-la) ou se não degradou. CDs, por exemplo, envelhecem e se tornam inacessíveis com o tempo ou mediante armazenamento precário.

– Periodicamente testar um backup, recriando o website em uma nova instalação utilizando somente o backup.

– Guardar os backups antigos, para restauração do website hackeado. (Em caso de demora na detecção de um ataque, os backups recentes podem estar contaminados)

– Conhecer previamente os procedimentos de backup e recuperação de websites hackeados da sua empresa de hospedagem (Plano de Gestão de Crises abaixo).

Plano de Auditoria

– Acessar o website diariamente e conferir front-end e back-end (atualizações disponíveis, estatísticas do tráfego, etc.).

– Procurar o website diariamente no Google e demais mecanismos de buscas, observando conteúdos estranhos e sinalizações dos buscadores.

– Ativar alerta por e-mail no Google Search Console.

– Escanear com regularidade o website em ferramentas de detecção de problemas. Recomendamos Site Check Sucuri.

– Instalar um plugin de monitoramento de logins e atividades no website. Recomendados WP Security Audit Log.

– Consultar regularmente a versão em inglês do Codex do WordPress em busca de novidades, pois as versões em português encontram-se frequentemente desatualizadas.

– Caso haja orçamento, contratar checagens, auditorias e testes (hackeamento ético) do website da instituição, para verificação de suas rotinas de segurança. (Vide Checklist do Gestor)

Gestão de Crises: Plano de resposta à incidentes de segurança

– Manter a calma e não postar detalhes ou opiniões nas redes sociais até ter certeza do que está acontecendo. Caso o hackeamento tenha se tornado público, avisar nos diversos canais de comunicação que estão cientes do problema e trabalhando em uma solução.

– Entrar em contato imediatamente com a empresa de hospedagem.

– Acionar o seguro, caso possua um que cubra ataques à websites.

– Redirecionar o website para uma página html de manutenção (ter esta página pronta para emergências), evitando com isto prejuízo no ranqueamento dos mecanismos de busca. (Vide tutorial para redirecionamento via .htaccess)

– Documentar em um diário o que está acontecendo, quais mudanças recentes no website foram feitas (ex: plugins instalados, etc.), horário de detecção do hackeamento, dentre outros dados úteis para análises posteriores.

– Baixar o Raw Access Logs no cPanel, para futura autópsia do hackeamento.

– Escanear o website infectado para obter mais informações sobre a invasão. (Vide no Codex uma lista de ferramentas)

– Escanear o(s) computador(es) de acesso aos website com um antivírus atualizado.

– Fazer um backup do website hackeado, para análises futuras do que aconteceu. (Cuidado para não sobrescrever backups anteriores sadios).

– Restaurar um backup anterior ao hackeamento. Se a perda de conteúdo for muito grande, considerar a contratação de um especialista em segurança para tentar remover o hackeamento, mantendo o website íntegro. (O Wordfence possui este serviço)

– Após análise forense do backup hackeado, consertar as possíveis vulnerabilidades identificadas. Comunicar todos os envolvidos nestas vulnerabilidades: usuários, desenvolvedores Web, plugins envolvidos, etc.

– Remover o website hackeado de listas “negras” dos mecanismos de busca, como Google e Bing. (Obs: “lista negra” ou “blacklists” é um racismo estrutural da língua portuguesa e inglesa, mas infelizmente é o termo ainda vigente nos buscadores e no próprio WordPress).

– Alterar todas as senhas de todos os usuários (painel WP, cPanel, sFTP, e-mails, etc.)

– Se tiver recursos, contrate uma auditoria de segurança para verificar se todas as vulnerabilidades foram sanadas e identificar o ponto de entrada do hacker.

Versão inicial de autoria de Ana Cecília Rocha Veiga.