WordPress Braga Meetup - Segurança, Performance e Optimização
-
Upload
teotonio-leiras -
Category
Technology
-
view
303 -
download
0
description
Transcript of WordPress Braga Meetup - Segurança, Performance e Optimização
![Page 1: WordPress Braga Meetup - Segurança, Performance e Optimização](https://reader033.fdocument.pub/reader033/viewer/2022051314/558c38e3d8b42a64738b4585/html5/thumbnails/1.jpg)
WORDPRESS BRAGA MEETUP
Bem-vindos!
![Page 3: WordPress Braga Meetup - Segurança, Performance e Optimização](https://reader033.fdocument.pub/reader033/viewer/2022051314/558c38e3d8b42a64738b4585/html5/thumbnails/3.jpg)
WebTuga Hosting
Fornecedor de Alojamento Web Nacional
http://www.webtuga.pt
Suporte Técnico @ WebTuga(centenas ou mesmo milhares de sites em WordPress)
![Page 4: WordPress Braga Meetup - Segurança, Performance e Optimização](https://reader033.fdocument.pub/reader033/viewer/2022051314/558c38e3d8b42a64738b4585/html5/thumbnails/4.jpg)
Segurança, Performance e Optimização
Saiba como preparar o seu WordPress para a Internet
![Page 5: WordPress Braga Meetup - Segurança, Performance e Optimização](https://reader033.fdocument.pub/reader033/viewer/2022051314/558c38e3d8b42a64738b4585/html5/thumbnails/5.jpg)
Segurança em WordPress
![Page 6: WordPress Braga Meetup - Segurança, Performance e Optimização](https://reader033.fdocument.pub/reader033/viewer/2022051314/558c38e3d8b42a64738b4585/html5/thumbnails/6.jpg)
Proteja o seu site WordPress
1) Utilize um fornecedor de alojamento Web
seguro.
2) Proteja os seus dados de acesso FTP (e
cPanel, Plesk, etc)
3) Instalação e Configuração Segura do
WordPress
4) Gestão de Plugins e Themes
5) Mantenha a plataforma actualizada
6) Faça os seus próprios Backups
7) Instale Plug-ins de Segurança
8) Utilize serviços de CDN
![Page 7: WordPress Braga Meetup - Segurança, Performance e Optimização](https://reader033.fdocument.pub/reader033/viewer/2022051314/558c38e3d8b42a64738b4585/html5/thumbnails/7.jpg)
1) Utilize um fornecedor de alojamento Web seguro
Certifique-se que o seu fornecedor de serviço
de alojamento web protege minimamente os
seus servidores.
Existem várias camadas de segurança que
necessitam de estar minimamente protegidas
para além da sua plataforma WordPress.
![Page 8: WordPress Braga Meetup - Segurança, Performance e Optimização](https://reader033.fdocument.pub/reader033/viewer/2022051314/558c38e3d8b42a64738b4585/html5/thumbnails/8.jpg)
O fornecedor de alojamento web deve fornecer algumas camadas de segurança que previnam os ataques mais populares, protegendo a…
Rede:- Redundância
- Firewalls
- Sistemas Anti-DDoS
- CDN
Sistema Operativo:- Kernel recente;
- CloudLinux (cageFS)
Serviços de Gestão Remota:- (Acessos Restritos - Apenas VPN)
- SSH
- RDP
![Page 9: WordPress Braga Meetup - Segurança, Performance e Optimização](https://reader033.fdocument.pub/reader033/viewer/2022051314/558c38e3d8b42a64738b4585/html5/thumbnails/9.jpg)
Software de Servidor- Apache, nginx, lighttpd, Litespeed, IIS - Manter um filtro web a nível de software - Exemplo: mod_security
- MySQL / MSSQL / postgresql - Limitar o acesso remoto
- IMAP/POP3/Webmail - Bloquear acesso após x tentativas de autenticação falhadas
Painel de Controlo WebHosting- (manter actualizados e bloquear acesso após x tentativas de autenticação falhadas)
- cPanel
- Plesk
- Webmin
- Atomia
![Page 10: WordPress Braga Meetup - Segurança, Performance e Optimização](https://reader033.fdocument.pub/reader033/viewer/2022051314/558c38e3d8b42a64738b4585/html5/thumbnails/10.jpg)
Coloque algumas questões relativamente à
segurança dos servidores ao seu fornecedor de
alojamento web. Certifique-se que este
mantém um filtro que protege os seus sites
contra os ataques mais conhecidos:
SQL Injection;
Malware Injection;
Spam-bots;
Ataques Bruteforce;
Simulações de pedidos HTTP;
Ataques Cross-Site Scripting (XSS)
Ataques de Negação (DoS/DDoS)
![Page 11: WordPress Braga Meetup - Segurança, Performance e Optimização](https://reader033.fdocument.pub/reader033/viewer/2022051314/558c38e3d8b42a64738b4585/html5/thumbnails/11.jpg)
Se o seu fornecedor de alojamento web não
proteger minimamente os serviços, estará a
colocar em risco os seus sites e dados, podendo
todos os sites alojados num determinado servidor
serem totalmente comprometidos (massive attack).
A segurança não é algo linear, existem várias
camadas de segurança e vários tipos de ataque.
Cabe a todos promover e adoptar medidas de
seguranças, seja o fornecedor de alojamento web,
seja o webmaster/blogger ou o visitante/utilizador
do site.
![Page 12: WordPress Braga Meetup - Segurança, Performance e Optimização](https://reader033.fdocument.pub/reader033/viewer/2022051314/558c38e3d8b42a64738b4585/html5/thumbnails/12.jpg)
2) Proteja os seus dados de acesso FTP (e cPanel, Plesk, etc)
Não defina passwords simples para o seu
acesso FTP;
Não guarde a sua password em plain-text
(FileZilla).
![Page 13: WordPress Braga Meetup - Segurança, Performance e Optimização](https://reader033.fdocument.pub/reader033/viewer/2022051314/558c38e3d8b42a64738b4585/html5/thumbnails/13.jpg)
3) Instalação e Configuração Segura do WordPressQuando fizer a primeira instalação da sua plataforma WordPress:
Não utilize o username default “admin”; Defina uma password composta por caracteres
alfanuméricos; Certifique-se que a bases de dados e o
username MySQL têm nomes aleatórios e seguros;
Certifique-se que a password do utilizador MySQL é complexa e segura;
![Page 14: WordPress Braga Meetup - Segurança, Performance e Optimização](https://reader033.fdocument.pub/reader033/viewer/2022051314/558c38e3d8b42a64738b4585/html5/thumbnails/14.jpg)
Não utilize o prefixo default das tabelas do WordPress (wp_);
Altere a pasta/url default da administração do WordPress ( Plugin: Better WP Security);
Proteja o acesso ao ficheiro wp-login.php por dupla autenticação (.htpasswd);
Proteja o acesso ao ficheiro wp-config.php via .htaccess;
Não publique a versão do seu WordPress; Desactive a edição dos themes pelo painel de
administração:
No ficheiro wp-config.php, adicione a seguinte linha:
define(‘DISALLOW_FILE_EDIT’, true )
![Page 15: WordPress Braga Meetup - Segurança, Performance e Optimização](https://reader033.fdocument.pub/reader033/viewer/2022051314/558c38e3d8b42a64738b4585/html5/thumbnails/15.jpg)
4) Gestão de Plugins e Themes
Apenas plug-ins e themes de fontes seguras;
Utilize apenas Themes e Plugins de fontes
seguras. Muitas das vezes quando não descarregados da fonte original, os plugins e themes têm código malicioso injectado de forma encriptada que poderá ser utilizado para comprometer o seu site ou distribuir malware pelas visitas do seu site.
![Page 16: WordPress Braga Meetup - Segurança, Performance e Optimização](https://reader033.fdocument.pub/reader033/viewer/2022051314/558c38e3d8b42a64738b4585/html5/thumbnails/16.jpg)
5) Mantenha a plataforma actualizada
Para garantir que o seu site não é atacado através de um ataque 0-day, deverá actualizar regularmente a sua plataforma WordPress. Neste momento as actualizações do core do WordPress são automáticas, pelo que deverá manter esta opção activa.
Se tem uma plataforma WordPress com uma versão antiga, deverá efectuar o upgrade o mais rapidamente possível.
![Page 17: WordPress Braga Meetup - Segurança, Performance e Optimização](https://reader033.fdocument.pub/reader033/viewer/2022051314/558c38e3d8b42a64738b4585/html5/thumbnails/17.jpg)
Para além da plataforma, deverá também manter sempre os seus plugins actualizados na ultima versão disponibilizada. Certifique-se também que apenas utiliza Plugins de fontes seguras e que os mesmos ainda são suportados.
Existem bastantes plugins que já não são actualizados/mantidos pelos seus desenvolvedores, pelo que deverá fazer uma pesquisa na Internet sempre que activar um plugin de forma a saber se não existem falhas de segurança conhecidas para a versão que vai utilizar.
![Page 18: WordPress Braga Meetup - Segurança, Performance e Optimização](https://reader033.fdocument.pub/reader033/viewer/2022051314/558c38e3d8b42a64738b4585/html5/thumbnails/18.jpg)
6) Faça os seus próprios Backups
Existem várias formas de fazer backups do
WordPress (Plug-ins, Serviços Online, etc).
Mantenha sempre uma cópia recente dos
ficheiros e base de dados do WordPress.
![Page 19: WordPress Braga Meetup - Segurança, Performance e Optimização](https://reader033.fdocument.pub/reader033/viewer/2022051314/558c38e3d8b42a64738b4585/html5/thumbnails/19.jpg)
7) Instale Plug-ins de Segurança
Better WP Security
Limit Login Attemps
Wordfence
Login Lockdown
WordPress Firewall
All in one WordPress Firewall
![Page 20: WordPress Braga Meetup - Segurança, Performance e Optimização](https://reader033.fdocument.pub/reader033/viewer/2022051314/558c38e3d8b42a64738b4585/html5/thumbnails/20.jpg)
8) Utilize serviços de CDN
CloudFlare Incapsula CloudProxy
![Page 21: WordPress Braga Meetup - Segurança, Performance e Optimização](https://reader033.fdocument.pub/reader033/viewer/2022051314/558c38e3d8b42a64738b4585/html5/thumbnails/21.jpg)
Optimização de Performance do WordPress
![Page 22: WordPress Braga Meetup - Segurança, Performance e Optimização](https://reader033.fdocument.pub/reader033/viewer/2022051314/558c38e3d8b42a64738b4585/html5/thumbnails/22.jpg)
Optimize o seu site WordPress para levar com carga
1) Aloje o seu site num serviço de
Alojamento estável;
2) Limitar número de Posts por página;
3) Manter o WordPress e Plug-ins (válido
para a Segurança e Optimização);
4) Não utilize demasiados plug-ins;
![Page 23: WordPress Braga Meetup - Segurança, Performance e Optimização](https://reader033.fdocument.pub/reader033/viewer/2022051314/558c38e3d8b42a64738b4585/html5/thumbnails/23.jpg)
5) Evite ter demasiados Widgets JavaScript externos Widgets de Tempo; Widgets de Contagem de Visitas; Animações JavaScript; Facebook Share; Botões Twitter; etc...
6) Optmize as imagens do seu blog/site; 7) Carregar scripts javascript apenas no fundo do site; 8) Reduzir pedidos HTTP;
![Page 24: WordPress Braga Meetup - Segurança, Performance e Optimização](https://reader033.fdocument.pub/reader033/viewer/2022051314/558c38e3d8b42a64738b4585/html5/thumbnails/24.jpg)
9) Optimizar e juntar ficheiros CSS, JavaScript e output HTML;Pode ser feito recorrendo a estes plugins: WP Minify; W3 Total Cache;
10) Desactivar Post Revisions:Colocar as seguintes linhas no código do wp-config.php:define(‘AUTOSAVE_INTERVAL', 300);define('WP_POST_REVISIONS', false );
![Page 25: WordPress Braga Meetup - Segurança, Performance e Optimização](https://reader033.fdocument.pub/reader033/viewer/2022051314/558c38e3d8b42a64738b4585/html5/thumbnails/25.jpg)
11) Optimize frequentemente a base de dados pelo phpMyAdmin: Pode ser feito utilizando o plug-in
Optimize DB;
12) Reduzir queries MySQL; 13) Fazer Debug ao WordPress: Poderá fazer debug colocando a
seguinte linha no ficheiro wp-config.php:define('WP_DEBUG', true);
![Page 26: WordPress Braga Meetup - Segurança, Performance e Optimização](https://reader033.fdocument.pub/reader033/viewer/2022051314/558c38e3d8b42a64738b4585/html5/thumbnails/26.jpg)
14) Gzip e mod_deflate: Comprimir ficheiros ao nível do servidor;
15) Activar Plug-ins de Cache: WP Super Cache; W3 Total Cache; Hyper Cache; WP Cache;
16) Utilizar rede CDN: CloudFlare Incapsula CloudProxy
![Page 27: WordPress Braga Meetup - Segurança, Performance e Optimização](https://reader033.fdocument.pub/reader033/viewer/2022051314/558c38e3d8b42a64738b4585/html5/thumbnails/27.jpg)
Como verificar performance do seu site?
Google Page Speed (http://developers.google.com/speed/pagespeed/insights/)
Pingdom Tools (http://tools.pingdom.com/fpt/)
GTmetrix (http://www.gtmetrix.com)
![Page 28: WordPress Braga Meetup - Segurança, Performance e Optimização](https://reader033.fdocument.pub/reader033/viewer/2022051314/558c38e3d8b42a64738b4585/html5/thumbnails/28.jpg)
Encontramo-nos no próximo WordPress Braga Meetup
Obrigado pela atenção!