A segurança de CMS, como o WordPress, sempre foi um problema para aqueles que trabalham com designer ou suporte. Há dezenas, se não for centenas de vulnerabilidades divulgadas e passíveis de exploração, que resultam na pixação, e nos  piores casos, deleção de todos os dados.

Parte da culpa de tantas vulnerabilidades está no desenvolvimento de plugins que não segue as melhores práticas quando o assunto é segurança. Daí, você é obrigado a implementar uma série de medidas de contorno, chamadas por muitos como workaround ou hardening.

Fato é que para valerem, essas medidas precisam ser implementadas por quem entende do assunto. Que administra sistema operacionais, como o Linux, que mange de Apache ou Nginx, os servidores web mais utilizados quando o assunto é suporte aos CMS.

Mas há um conjuntos de plugins, focados em segurança, que auxilia e muito aqueles que não sabem como fechar as portas do seu ambiente. Isso já foi tema deste post.

Há algumas semanas que percebi que a comunidade WordPress e algumas empresas disponibilizaram um conjunto novo de plugins focados em segurança. Vocês poderão atestar isso escrevendo a palavra firewall na parte de adicionar novos plugins, como demonstrado na imagem abaixo:

Screen Shot 2013-02-09 at 10.12.13 AM

Falando especificamente do OSE Firewall – pluging de segurança que implementa alguns pontos de segurança no seu ambiente, como demonstrado na imagem abaixo, eu o achei interessante e simples de usar. Bastar clicar nas opções desejados e depois rodar um simples teste.

Screen Shot 2013-02-09 at 10.13.36 AM

Eu percebi que os blogs que o utilizam ficam um pouco mais lento que o normal. Digo isso porque plugins de segurança diminuim a performance do seu ambiente. Também pudera. Eles colocam pontos de checagem antes dos dados serem tratados pelo CMS ou recebidos pelo usuário (bem que na maioria das vezes é inbound usuário –> server(CMS)

Mas a pergunta que fica, e aí, vale a pena habilitar este cara no meu CMS ? A resposta será não dependendo dos plugins focados em segurança que vc já possua instalados em seu ambiente. E vejam, este lance quanto mais melhor no WordPress não funciona não. Pelo contrário. Quanto mais plugins instalados, mais lento o seu ambiente fica, principalmente quando o assunto é segurança.

Este é um dos temas que irei abordar na palestra Segurança para Startups que rolará no HackingDay 2013. Fica a dica 🙂

Eu já ia me esquecendo. O WP WAF  é mais um dos plugins para wordpress que compõem a nova dos que são focados em segurança. Acontece que ele vem com menos funções que o OSE. Então, eu não aconselho a sua instalação.