Recursos Web para GLAM

Seleção de extensões: temas, plugins e códigos de confiança

Versão Beta para testes e avaliações: Aguarde em breve a versão final. É um especialista em cibersegurança e quer contribuir com sua opinião sobre este checklist? Clique aqui para acessar os Contatos.

Público alvo

Qualquer desenvolvedor WordPress se beneficiará da quase totalidade dos checklists dev, ainda que os mesmos tenham sido desenvolvidos para web designers e webmasters de unidades de informação e cultura GLAM (galerias, bibliotecas, arquivos e museus).

Seleção de extensões: temas, plugins e códigos

Baixar o WordPress, temas e plugins somente de seus respectivos sites oficiais ou do WordPress.org

Utilizar somente plugins e temas obtidos diretamente de suas fontes oficiais é um passo importante para garantir a segurança do website WordPress.

O melhor local para baixar estes recursos é o repositório oficial do WordPress.org, cujos desenvolvedores estão sempre vigilantes para excluir plugins e temas suspeitos.

Jamais baixe plugins e temas de websites de terceiros ou de repositórios de download, a menos que tenha muita confiança na fonte.

Instalar o mínimo de códigos externos possíveis, como vídeos incorporados e widgets em Javascript

Somente adicionar códigos de fontes confiáveis e checar periodicamente se não houve alterações substanciais no website de onde se extraiu o código, como mudança de proprietário ou nova versão de política de privacidade.

Instalar o mínimo de plugins possível, deletando imediatamente os desativados

Cada plugin instalado em um website é uma porta aberta para soluções, porém também para vulnerabilidades de segurança.

Instale somente os plugins imprescindíveis, deletando imediatamente todos aqueles plugins e temas que não estiverem sendo utilizados.

Conferir dados dos plugins e temas para não instalar softwares maliciosos (nulled script)

Os maiores problemas de segurança com o WordPress não advém do software em si, mas dos temas e plugins adicionados ao core (instalação padrão).

É impossível manter a segurança de um website sem garantir que os plugins e temas sejam confiáveis.

Para tanto, antes de adicionar qualquer recurso ao WordPress, confira se o tema ou plugin atende aos requisitos abaixo:

  • Constar no repositório oficial do WordPress ou em mercados privados confiáveis (vide algumas indicações abaixo).
  • Reputação do desenvolvedor e de outros donos que venham a adquirir o plugin (Em caso de mudança de proprietário, checar credenciais do novo dono, se não foram adicionados conteúdos maliciosos ou mudanças de funcionalidades, política de privacidade, etc.)
  • Existência de website oficial e, preferencialmente, contatos físicos dos desenvolvedores. O anonimato, neste caso, não fala a favor do plugin. (Onde se localiza a empresa e por quê?)
  • Clareza e profundidade da documentação.
  • Existência de Termos de Serviço e Política de Privacidade, o que revela profissionalismo e transparência do desenvolvedor. (Verificar o que ela coleta e o que compartilha)
  • Tempo de experiência do plugin no mercado.
  • Data da última atualização e frequência da mesma, tendo sido atualizado pelo menos uma vez no último ano.
  • Compatibilidade com a última versão do WordPress.
  • Avaliação e comentários de usuários, que devem ser altas e predominantemente positivas. Isto não garante a qualidade de um plugin, pois muitas recomendações podem ser “compradas”, tanto as positivas quanto as negativas (concorrência). Entretanto, um plugin que tenha um número grande de avaliações negativas deve ser analisado com cautela.
  • Aceitação Geral: número de instalações ativas (comparar com demais temas e plugins da categoria).
  • Em caso de dúvida, confira os índices de risco do código do plugin (Code Risk), suas estatísticas e ranqueamentos (Built With) e/ou analise detalhadamente o código antes de instalar e/ou atualizar. (Vide aqui outras ferramentas gratuitas de verificação).

Recomendamos os seguintes temas e plugins

Desenvolvidos pela equipe da Automattic (vide repositório WordPress e website da empresa). A Automattic é a empresa do Matt Mullenweg, um dos criadores do WordPress. Dentre os temas gratuitos mais simples, recomendamos Lodestar (exemplo de website desenvolvido em Lodestar: Cidade Palimpséstica).

Disponibilizados em mercados premium reconhecidos, como Elegant Themes, Themify e Envato (ThemeForest e CodeCanion). No caso da Envato, especialmente os desenvolvidos por “Power Elite Author“.

Dentre os temas premium, recomendamos Impreza e Divi.

Testar previamente temas, plugins e códigos em uma instalação de teste

Testar temas, plugins e códigos em instalações paralelas antes de instalar na versão on-line do website.

É recomendável manter um template pronto para estes testes, contendo todas as configurações básicas de um website.

Este, aliás, é o objetivo deste projeto: estruturar um template para facilitar os processos de desenvolvimento web do Webmuseu e do LavMUSEU.

Deletar arquivos temporários e controlar acesso à versões em repositório git

Não mantenha arquivos antigos ou temporários em sua instalação WordPress, em especial renomeados com prefixos do tipo “antigo”, “old“, etc.

É importante, ainda, controlar o acesso às informações e repositórios git de versões em desenvolvimento, não deixando estas versões públicas ou dando acesso às mesmas por pessoas não autorizadas pelo projeto.

Acesse outros recursos de cibersegurança para Desenvolvedores Web

Checklists de Cibersegurança do projeto Recursos Web para GLAM
Códigos de Cibersegurança do projeto Recursos Web para GLAM
Configurações de Cibersegurança do projeto Recursos Web para GLAM

Quer avançar mais? Leia:

CERT – Vulnerability Notes Database
CVE – Common Vulnerabilities and Exposures
Developer Resources WordPress
Harden the heart of your WordPress site Webinar
NVD – National Vulnerability Database
OSSEC – Host-based Intrusion Detection System
OWASP WordPress Security Implementation Guideline
Sucuri – An Introduction to WordPress Security
Think like a hacker (Wordfence Podcast)
Wordfence – WordPress Security Fundamentals
WordPress hacktivity no HackerOne
WPScan Vulnerability Database

Tem recursos? Contrate:

Cloudflare
Sucuri
UpdraftPlus Premium
VaultPress
WebSitePulse
Wordfence Premium
WP Engine
WP Security Audit Log Premium

Servidor dedicado, como SiteGround Managed Cloud Hosting.
Webmaster exclusivo para a instituição (funcionário TI de tempo integral).

Referências deste checklist

Referências do projeto Recursos Web para GLAM: Etapa Cibersegurança

Versões

Versão inicial de autoria de Ana Cecília Rocha Veiga.

O projeto

Recursos Web para GLAM (galerias, bibliotecas, arquivos e museus) desenvolve e disponibiliza gratuitamente recursos digitais para unidades de informação e cultura.
Saiba mais.

Newsletter

    Instagram
    GitHub