Você está visualizando atualmente Sucuri: revisão deste plugin de segurança para WordPress

Sucuri: revisão deste plugin de segurança para WordPress

Uma boca bem aberta. Presas afiadas prontas para fraturar um pobre animalzinho. Um corpo sem fim que deve ter cerca de 30 pés de comprimento.

Digite “sucuri” no Google e você se verá cara a cara com imagens de algumas cobras bem assustadoras. Mas por que, de fato? Bem, simplesmente porque a palavra que você digitou no mecanismo de busca é a tradução para o português de anaconda.

Cuidado para não ser hipnotizado…

Você deve perceber que, a princípio, eu estava apenas procurando mais informações sobre o Sucuri, um plugin de segurança para WordPress.

Felizmente, não há nada realmente ruim nisso. E não vai comer você depois de ativá-lo. Ufa, pode respirar fundo!

Em vez disso, este plug-in foi projetado para ajudá-lo a erradicar outros predadores: hackers desagradáveis e outros arquivos e malware que podem infectar seu site.

Ao final deste artigo, você saberá como funciona a Sucuri (o plugin, não a cobra) e, mais importante, como configurá-la passo a passo. Pronto para uma caminhada segura? Sssss, siga o guia.

O que é Sucuri?

Sucuri Security é um plug-in de segurança do WordPress que oferece um conjunto de ferramentas para ajudá-lo a proteger seu site: auditoria de arquivos principais do WordPress (PHP, CSS, JavaScript), análise de malware e programas, aplicação de segurança, alertas de e-mail, ações de segurança pós-hacking, etc.

Fundada em 2012 por Daniel Cid, a Sucuri foi adquirida em 2017 pela gigante americana de hospedagem GoDaddy, que a mantém e desenvolve desde então.

Depois de oferecer um plug-in premium até 2014, o plug-in agora é totalmente gratuito.

Com mais de 800 mil instalações ativas, o Sucuri é um dos plugins de segurança WordPress mais populares no diretório oficial, ao lado de concorrentes como Wordfence (mais de 4 milhões de instalações ativas), iThemes Security (mais de 1 milhão de instalações ativas) e All-in-One Security (mais de 1 milhão de instalações ativas) .

Sucuri, um plug-in gratuito apoiado por serviços premium

Embora tenha um plugin de segurança dedicado ao WordPress CMS, a empresa Sucuri oferece diversos serviços premium baseados na nuvem para proteger seu site, independente do CMS (Content Management System) em que roda: WordPress, Joomla, Magento, Drupal, Shopify, etc.

Dentre esses serviços, destacam-se:

Um firewall de aplicação web (WAF) que protege seu servidor web contra vários ataques: ataques DDOS (negação de serviço), ataques de força bruta, malware, phishing, ransomware, etc. Este firewall vem com um CDN (Content Delivery Network), para aumentar a velocidade de carregamento da sua página.
O WAF pode ser usado sozinho ou em conjunto com o plugin Sucuri.
A plataforma de segurança da Sucuri (Sucuri Website Security). Além do firewall e CDN, a Sucuri oferece diversos serviços para monitorar a segurança do seu site e pode disponibilizar uma equipe dedicada para limpar seu WordPress em caso de hack.

Embora esses serviços sejam separados e possam ser usados independentemente um do outro, a Sucuri afirma no diretório oficial que seu plug-in “complementa suas ferramentas de segurança existentes. Ele não foi projetado para substituir os produtos Sucuri Website Security ou Firewall.”
Em outras palavras, se você deseja proteger seu site WordPress da melhor maneira possível, usar apenas o plug-in não é suficiente.

Por que proteger seu site WordPress é importante?

Antes de examinar os recursos e outras configurações oferecidas pela Sucuri, vamos parar por um momento para considerar a importância da segurança em uma instalação do WordPress.

Usar um plugin dedicado para se proteger é o mínimo, sabendo que nenhum site WordPress é infalível. Como o CMS (Content Management System) mais utilizado no planeta, o WordPress é naturalmente alvo de inúmeros ataques diariamente.

Dizem que 2.800 ataques por segundo têm como alvo as instalações do WordPress em todo o mundo!

No entanto, não entre em pânico. O WordPress é um CMS seguro. Em seu relatório de segurança do ecossistema WordPress, o especialista em segurança Patchstack explica que 96% das vulnerabilidades de segurança vêm de código de terceiros (plugins e temas de terceiros), em comparação com 4% no WordPress Core.

É por isso que é essencial proteger o seu site. As consequências de um hack podem ser desastrosas e resultar em:

A perda e roubo de inúmeros dados, mais ou menos sensíveis, principalmente os dos seus clientes.
Uma perda de tempo, pois você terá que limpar o site hackeado e atualizar tudo.
Despesas financeiras não planejadas, especialmente se você chamar um especialista em segurança.
Uma degradação da imagem de sua marca e uma possível perda de confiança de seus usuários atuais e/ou futuros clientes.

Você entendeu: não negligencie o aspecto de segurança do seu site. Passemos a uma apresentação detalhada da Sucuri.

Como instalar Sucuri
Passo 1: Ative o plugin Sucuri no WordPress

Para começar, instale o plug-in a partir de sua interface de administração através do menu Plug-ins > Adicionar novo. Clique em “Instalar agora”:

Lembre-se de ativar o plugin. Você então encontrará um novo menu chamado “Sucuri Security”, na barra lateral esquerda do seu back-office do WordPress:

Etapa 2: gerar uma chave de API

Para ativar algumas das ferramentas adicionais oferecidas pelo plugin, a Sucuri recomenda que você gere uma chave de API.

API significa Interface de Programação de Aplicativos. Conforme explicado muito claramente neste artigo, “APIs são mecanismos que permitem que dois componentes de software se comuniquem usando um conjunto de definições e protocolos”.

Para fazer isso, clique no botão “Gerar chave de API” na parte superior do seu painel:

Na janela que aparece em sua tela, escolha o endereço de e-mail associado à sua conta e aceite os termos de serviço (se você concordar). Clique em “Enviar” quando estiver pronto.

E aí está! A Sucuri está pronta para trabalhar. Como ele informa depois de gerar uma chave de API, “essa não é uma solução rápida para suas necessidades de segurança; não é um substituto para o Sucuri Website Security ou Firewall, mas permitirá que você seja mais consciente da segurança e assuma uma postura melhor, com o objetivo de reduzir o risco.”

Agora vamos descobrir como configurar o plug-in, com um mergulho menu por menu.

Como configurar e usar o Sucuri Security
Visão geral do painel da Sucuri

O primeiro menu principal oferecido pela Sucuri Security é o Dashboard. É aqui que você encontrará os resultados da auditoria realizada pelo plugin em seu site.

Em termos concretos, a Sucuri inspeciona sua instalação do WordPress em busca de alterações nos arquivos básicos do WordPress (aqueles que você encontra toda vez que baixa o CMS).

A Sucuri verifica automaticamente os arquivos nos diretórios root, wp-admin e wp-includes e os compara com os arquivos distribuídos com a versão principal do WordPress instalada em seu site (6.1.1, no meu caso).

Assim que a Sucuri detecta um arquivo com inconsistências, ela o exibe em seu painel.

Se houver algum problema, aparece um “X” vermelho, acompanhado de uma mensagem não muito tranquilizadora da mesma cor: “Os principais arquivos do WordPress foram modificados”.

Os arquivos podem ter sido hackeados. No meu caso, a Sucuri relata duas supostas anomalias em um arquivo .txt e um arquivo error.log.

O último lista os logs de erros que ocorreram em seu site (erros de PHP, em particular). Então, tenho várias opções para resolver os problemas:

Marque o arquivo como falso positivo, se for um arquivo que eu mesmo adicionei, por exemplo. A Sucuri irá ignorá-lo durante varreduras futuras.
Exclua o arquivo, se você acha que é malicioso.
Restaure a versão original do arquivo.
Essa verificação é conveniente, mas há um problema principal: para um iniciante, ainda é muito difícil saber se o arquivo supostamente anômalo está causando um problema real de segurança em seu site ou não.

Como resultado, não sabemos realmente o que fazer. Deixar o arquivo como está? Restaurar sua versão original? Excluir mesmo que isso signifique correr o risco de excluir dados importantes? Não é fácil descobrir.

No encarte dedicado à análise do núcleo do WordPress, além dos logs de auditoria, você encontrará diversas abas que indicam as alterações ocorridas em:

Iframes (tags HTML)
links
roteiros

Por fim, a Sucuri também faz várias recomendações para reforçar a segurança da minha instalação sugerindo, por exemplo, que eu remova plugins não utilizados ou desabilite o editor de arquivos na administração:

O firewall do aplicativo: Firewall (WAF)

O segundo submenu do Sucuri é para o firewall Sucuri. Para se beneficiar disso, você deve optar por um dos planos premium oferecidos pela Sucuri.

Se você quiser dar este passo, basta adicionar sua chave de API na caixa fornecida.

Com esse firewall ativo, a Sucuri garante que seu site estará protegido contra ataques e evitará infecções e reinfecções por malware.

Além disso, o firewall “bloqueará tentativas de injeção de SQL, ataques de força bruta, XSS (script site a site), RFI (incorporar um arquivo remoto em seu servidor), backdoors (acesso remoto ao seu site) e muitas outras ameaças. para o seu site.”

Por meio das guias de configurações, você também pode:

Bloqueie certos endereços IP inserindo-os manualmente, para que eles não possam acessar seu site.
Ative o cache, o que melhorará o desempenho do seu site WordPress.
O menu relacionado aos logins: Últimos logins

Passemos ao terceiro menu do plugin Sucuri: “Últimos Logins”. Quatro guias estão disponíveis:

“Todos os usuários” mostra todos os usuários que fizeram login com sucesso no seu administrador do WordPress
“Admins” mostra todas as pessoas que possuem uma conta “admin” em seu site
“Usuários conectados” detalha todos os usuários que estão conectados no momento
“Logins com falha” mostra suas tentativas de login com falha em sua página de login. Isso o ajudará a ver muito rapidamente se você é vítima de ataques de força bruta, por exemplo.

Ufa, ninguém atacou meu site ainda!

O menu Configurações da Sucuri

E, finalmente, o último menu e o mais copioso. Aqui você encontrará vários recursos importantes da Sucuri, que detalharemos, guia por guia.

Aba Configurações Gerais

A guia Configurações gerais tem várias inserções. Eles incluem alguns dos seguintes elementos, que você pode modificar:

Um diretório com todos os seus registros de segurança (“Armazenamento de dados”)
Um exportador de registros
Um proxy reverso, que você pode ativar
Um módulo para importar e exportar suas configurações Sucuri para outro site WordPress
Guia do scanner

A aba “Scanner” inclui uma ferramenta gratuita oferecida pela Sucuri chamada SiteCheck. Esta ferramenta irá verificar o seu site para o seguinte:

Em particular, a Sucuri mostra a você:

Tarefas agendadas durante sua verificação (“tarefas agendadas”). Por padrão, a verificação ocorre uma vez por dia.
O utilitário “WordPress Integrity Diff” que compara os arquivos em seu servidor com os arquivos originais do seu site (diretórios raiz, temas, plugins e arquivos principais do WP).
Falsos positivos detectados.
Uma opção para excluir determinados arquivos e pastas durante a verificação, especialmente se forem muito grandes.
Guia de endurecimento

A guia “Hardening” lista dez medidas de segurança que você pode aplicar para evitar possíveis ataques. Eles fortalecerão a segurança da sua instalação do WordPress.

Por exemplo, com um clique você pode:

Bloqueie a execução de certos arquivos PHP nos diretórios wp-content e wp-includes
Desative o editor de arquivos em sua interface de administração para evitar que um hacker modifique seus arquivos
Remova a exibição da sua versão do WordPress
Verifique se sua versão do WordPress está atualizada

Na parte inferior da página, também é possível excluir manualmente determinados arquivos PHP cuja execução foi bloqueada.

Como medida de precaução, faça backup de seu site (arquivos + banco de dados) para aplicar uma dessas medidas. Você pode usar um plug-in de backup, como o UpdraftPlus. E, se possível, prossiga em um ambiente de teste, não em produção.

Aba Pós-Hack

Como o próprio nome sugere, a aba “Post-Hack” oferece várias medidas a serem aplicadas imediatamente após o seu site ter sido invadido. Então, espero que você nunca precise usá-lo! ^^
Veja o que você pode fazer:

Gere novas chaves de segurança. Eles estão presentes no arquivo wp-config.php e permitem uma melhor criptografia de algumas informações, principalmente os cookies de um usuário que se conecta à administração do seu site. Se um hacker estiver de posse desses cookies, ele poderá se conectar ao seu site mesmo se você redefinir sua senha – a menos que você altere suas chaves de segurança!
Atualizar senhas de usuários
Reinstale os plugins do seu site
Atualize seus temas e plugins
Aba Alertas da Sucuri

Na aba Alertas, você pode definir as configurações relacionadas aos alertas de segurança que a Sucuri enviará por e-mail.

Por padrão, o plug-in envia notificações de segurança ao administrador principal do site (aquele criado durante a instalação). No entanto, você pode especificar outros endereços de e-mail para receber essas notificações.

Você também pode gerenciar os tipos de alertas que receberá e autorizar endereços IP confiáveis para que não gerem alertas.

Por exemplo, você pode especificar:

Um número máximo de alertas a receber por hora (de cinco horas a ilimitado)
O número de tentativas de conexão com falha por hora (ataques de força bruta) antes que um alerta por e-mail seja enviado
Os eventos que acionarão um alerta de segurança (por exemplo, alterações nas configurações do plug-in, criação de um novo login, desativação de um tema ou plug-in, etc.)

Para ser totalmente abrangente, a Sucuri oferece duas outras guias de configuração: “API Service Communication” e “Website Info”. Essas duas guias não controlam configurações específicas: elas fornecem informações sobre sua API e seu site WordPress.

Após este amplo panorama, proponho que passemos para a parte final deste artigo. Primeiro falaremos sobre o preço da Sucuri, depois darei minha opinião sobre esse plugin de segurança.

Quanto custa a Sucuri Segurança?

A Sucuri é apresentada como um plugin gratuito, o que é verdade… mas com limites.

Na verdade, você tem que pagar se quiser usar o firewall do aplicativo oferecido pela Sucuri. E quando se trata de segurança, o uso de um firewall é altamente recomendado.

Essa opção, que também inclui acesso a um CDN, é oferecida a partir de US$ 9,99/mês para uso em um site.

Por outro lado, a Sucuri oferece um pacote de segurança muito mais abrangente chamado Website Security Platform. Os preços começam em US$ 199,99/ano para uso em um único local.

Este plano de preços inclui, é claro, o firewall da Sucuri, CDN e também a limpeza de malware e arquivos piratas por especialistas internos:

Nossa opinião final sobre o plugin de segurança Sucuri

Para concluir, o que você deve pensar sobre a Sucuri? Para responder a essa pergunta, vou discutir dois aspectos cruciais na hora de escolher um plugin: sua facilidade de uso e sua eficiência.

Primeiro de tudo, sobre o manuseio. Não é necessariamente complexo, pois a Sucuri optou por oferecer opções claras, bem distribuídas em diferentes abas.
Os menus não são muito sobrecarregados e é muito fácil realizar uma ação (um clique é suficiente na maioria das vezes).

Por outro lado, a área de segurança é repleta de termos técnicos — a Sucuri não tem nada a ver com isso — e nem sempre o usuário iniciante conseguirá entender o que lhe é recomendado ou o que deve fazer. Essa é uma primeira limitação a ser apontada.

Vamos passar para a eficiência do plugin. A Sucuri é, antes de tudo, uma ferramenta de monitoramento projetada para alertá-lo sobre problemas de segurança em seu WordPress. Ele verifica suas páginas em busca de anomalias, envia alertas em caso de problemas, etc.

Mas o plug-in realmente não permite que você resolva problemas de segurança (com exceção de alguns pequenos aspectos), exceto após o hacking (mas será tarde demais).

Um dos principais escudos de segurança é o uso de um firewall. A Sucuri oferece um, mas apenas em sua oferta paga.

Baixe o plug-in da Sucuri:

Em conclusão, eu não recomendaria o plug-in gratuito se você deseja proteger seu site WordPress com eficiência.

Você compartilha da minha opinião e usa Sucuri? Dê-me a sua opinião, postando um comentário.

Sobre o autor

Equipe WPMarmite

O WPMarmite ajuda os iniciantes a obter o melhor do WordPress com tutoriais detalhados e análises honestas. Conheça o fundador, Alex, e sua equipe aqui.

Fonte