 Acho que a primeira coisa, né, muita gente me perguntou ali, o que que o Wordpress, quando tem a ver com segurança, e de fato não tem nada a ver, uma coisa que nada a ver com a outra. Só que como vocês podem perceber, a minha apresentação é lá uma continuação da Dua Milton. E toda boa continuação não é aquela continuação que surpreende, né. E eu acho que algo que surpreendeu muito foi quando no filme 1 eram apenas peixes e no filme 2 a parada toda estava voando. E essa surpreendeu todo mundo, todo mundo mesmo, por isso é um tipo. Meu nome é Samuel, como já falaram. Eu sou bacharel em direito pela Universidade Federal. Sou formado em gastronomia. E aí eu resolvi criar vergonha na cara e toro por sete anos de formação agora. Então é isso mesmo, vocês vão ouvir sobre a segurança de um cara aqui. Sabe para desenhar e sabe para você encontrar. Eu programo já há muito tempo, claro, programo desada da faculdade de direito. Acho que é por isso que vai dar um aluno. Eu vou narrar um caso aqui para vocês, né. A gente vai hoje, vamos falar um pouco de empatia. A gente vai se colocar no lugar desse belo rapaz, o Wordpress. Ele tem 19 anos, é um torcedor fanático de futebol. Ele é super-influente da comunidade. Por que ele é influente? Porque ele que atualiza todo o pessoal em vários jogaços de futebol. Jogaços mesmo. Como ele tem esse belo site, não adianta vocês entrarem se eu não compreendo domínio. Eu estava fazendo a academia, porque eu não queria comprar isso domínio. O futebol é nóis.com.br. Tem ali uma caixapante Wordpress versão 2.5.6. Você sabe o Wordpress agora, está na versão 4.9. O usuário de senha, a admin e aquela senha que é bem fácil para ele lembrar, só que também é bem fácil para todo mundo lembrar. Ele tem 37 plugins no site, ou seja, vocês podem perceber que isso não é bom, isso não é bom ter 37 plugins no site. Do que manter o nível de plugins limitados a, sei lá, 8, no máximo. E como a gente está em clima de Copa do Mundo, acho que eu vou tentar exemplificar o Wordpress como se fosse um dia de futebol mesmo. A gente tem o campo, que é o servidor, é ele onde a bola está rolando. O amigo nos mostrou muito bem como é que consegue proteger bem essa parte. Você tem o core do Wordpress, que é a tua instalação, ela é a tua zaga, ela que está ali garantindo a base do teu time, segurando ali a retaguarda. Você tem plugins como laterais de campo, porque o lateral, o plugin que ele faz, ele é basicamente uma funcionalidade, esse que o site tem. E como um bom lateral, ele é super polivalente, às vezes ele está jogando nas agas, às vezes ele está jogando no meio, às vezes ele está jogando no ataque, o plugin faz de tudo. E claro, na frente do site, a gente tem o nosso quadrado mágico, que é o teu tema. O teu template, onde vai ter o teu HTML, CSS, JS, e ele é que vai meter a bola pro bom, ele que está ali na cara do usuário. Agora a gente vai tentar usar um pouco de imaginação, por isso que é um slide vazio. Eu quero que vocês imaginem, o final de semana, a cervejinha está gelando, a carne, tu está pronto para botar a carne no fogo, tu está ligando o teu computador, tu vai botar aquele jogaço de tibol, um capivalhando em barretos da série Atreso Paulista, jogaço, você está super empolgado para ver, o WordPress não está ali ao pronto para lançar o jogo. Tu bota o teu PC e sempre fica aquele loader maldito, quando você quer ver um tibol que nunca sai da tela, está aqui, imaginado, cinco minutos para começar o final da série Atreso Paulista e... Paulo. Se perrou. Teu site foi saqueado. Eu vi que alguns anos levantaram a mão, que já tiveram um site saqueado, e é chato, é muito chato teu site saqueado. É chato demais. Começando então, agora que a gente apresentou um pouco, a história contextualizou aqui, basicamente tudo que eu vou falar, como é que tu protege o WordPress, por favor, tinha um vídeo disso, tu encontra tudo ali nesse site e está tudo em checklist. É uma lista de coisas que tu pode ir marcando. E porra, checklist, gente, hoje em dia é a principal ferramenta de organização do Serubano de Gondor, todo mundo que usa checklist para se organizar está de parabéns, tá? Tem que usar checklist mesmo. Começando a achar uma coisa mais importante da proteção do teu WordPress, são as organizações. Por quê? Porque o brasileiro, eu me incluo nisso, o brasileiro é reactivo. O brasileiro vai ser preventivo. O que significa? A gente espera a merda acontecer para daí a gente lá tentar resolver ela, que, em vez da gente se prevenir. Essa aqui é uma tela que muitos que já trabalham no WordPress já alogaram no WordPress, conhecem. E tudo isso que está marcado em vermelho ali não é besteira. Aquilo ali é a coisa que tu mais tem que se preocupar na tua instalação. Tu tem que fazer as atualizações. Essas bolinhas ali, elas não estão indo para nada. Sempre que tem uma dessas, tu tem que parar um pouco, tomar um pouco de atenção e lá atualizar. Porque às vezes é uma atualização de um patch de segurança. Daqui a pouco já era. Da igual ao WordPress, são ali chorando aqui. Da igual a esse rapaz aí, triste, caro de bunda, né? Qual que é a prioridade de fazer atualizações? A prioridade é libertadores e mundial. Por quê? Todo o time que é ganhar isso é muito alta a prioridade de atualizar. Tu precisa, é o master. Para se dizer. Outra coisa muito, muito importante é tu instalar plugins e temas confiáveis. Acho que o pessoal nas palestras antes já deram algumas boas dicas de como tu escolhe um plugin ou um tema. Essa aqui é um exemplo. Olha só, que beleza esse plugin. Versão 1.0, a última atualização dele foi a 7 anos atrás. Esse está lá no repositório do WordPress. Testada da versão 3, testada da versão já 4, dentro da 5. E como que tu, acho que eles já falaram mas eu vou repetir porque vale a pena, né? É como tu escolhe um plugin decente. Aqueles três itens ali, quantidade de downloads, se tem muito download, quer dizer que tem muita gente utilizando, ele é confiável, com certeza, vai ter alguma empresa, alguma coisa por trás mantendo esse plugin atualizado. A data da última atualização, que é que um ano atrás, mesmo que aquela super funcionalidade que tu precisa, que tu quer ter no site, faz de outra maneira, não instala o plugin que não é atualizada dando tempo assim. E claro, se ele está testado até as últimas versões do WordPress, se tiver preencheio os três requisitos, ele é um plugin confiável para tu usar. Que os templates são a mesma coisa. Tu pode pegar templates do repositório do WordPress, templates que é online, são validados, se tu for para algum desse WordPress, tipo Team Forest, qualquer outro plugin, procurem listar os templates pelos mais vendidos, ou com maior classificação. Esses ali, você pode ter certeza que é uma grande empresa que está por trás e ela mantém a parada atualizada, então é uma preocupação a menos que tu tem que ter. E outra coisa muito legal, às vezes, nesse WordPress, você vai lá e vê como é o suporte desse pessoal, se ele se responde o suporte, porque às vezes alguém identifica alguma coisa, vai ali no suporte, é aberto, comenta, e aí sei lá, depois de três meses algum deve, foi lá e respondeu o cara. Como é que tu quer vender um template se o seu suporte demora três meses para curtir um problema? Não consegue. Então é legal tu ir lá, dar uma olhada e ver se o pessoal do tema está respondendo, está dando suporte para a galera. E você vai ter também um template confiável. Esse aqui tem praticamente a mesma prioridade que fazer as atualizações. Por isso que estaria a prioridade. É conquistar a BI, ser BI de libertadores e do mundial. Instalar um plugin de segurança. O que o plugin de segurança faz para ti? Tudo. O plugin de segurança faz muita coisa, eu bloqueia muita muita coisa. Pessoal que não tem um plugin de segurança instalado no site agora eu não vou ficar bravo se vocês puxarem o celular por favor log em lá e instala. Porque isso aqui é muito importante. Esses três aqui, claro, tem vários, mas esses três que eu gosto de recomendar, especialmente o primeiro porque o primeiro, além de proteger em muitas coisas, ele também cria um firewall para ti. É uma coisa que o Hamilton comentou antes. Só de tu instalar ele ele já coloca um firewall é entre tudo de configurar e quando tu instala, tipo, muita coisa eu já vai de conta, mas tu consegue ainda personalizar. Por exemplo, tu quer incêder e-mails toda vez que alguém com a previsão administrador logou no teu site. Se o site é só teu se alguém mais administrador logou é porque tem alguém errado. Ele é do ponto de receber o e-mail e tu consegue configurar tudo isso nele. Super, super essencial tem um desses. Isso aqui é outra coisa que pelo nome, sim, parece... Meu Deus, o que é isso? Brute Force Protection É algo bem simples, não sei se vocês escutaram isso mas isso foi um robô tentando invadir o site de cada um de vocês. De novo e acontece o tempo todo. O tempo todo tem um robô batendo lá no adivinho, no login tentando descobrir quebrar a ciência de vocês. Se tu não tem um Brute Force e uma proteção de ataque de força Brute instalada ele vai ficar tentando tentando, tentando, tentando, tentando até que ele quebra, até que ele descobre a ciência. Se tu tem a ciência instalada ele tentou 3, 5 vezes configurado por ti o IP dele é banhito. Então o site banhime dele não tem mais acessar nada que é teu. Por isso é muito, muito importante e aí, aqui fala tem pouquins que fazem só isso mas aqueles 3 pouquins que eu citei antes eles também já implementam isso aqui pra ti. Essa aqui também se alguém se alguém aqui usa ser, usa o usuário admin vai bem que aqui no puxo do celular aqui de ganto ir, cria um outro usuário com ele logo com esse usuário de eleto admin. É inadmissível ter um usuário admin. É o primeiro usuário que bote qualquer pessoa tenta colocar no teu site, é com esse. Senhas também uma coisa que ninguém se toca é que tu não precisa criar uma senha toda louca que tem um lugar que te pere e a caractere minúsculo, caractere maiúsculo bota sentuação bota número, bota sei lá tudo o que tu puder e aí o cara jamais faz embrassa a senha a dificuldade de quebrar uma senha ela tá pelo tamanho dela. Se tu escreve uma frase é muito mais difícil que um robô quebrar uma frase do que algo de 8 caractere mas que tenha mesclado um monte de coisa tipo o espaço é algo que ninguém se da conta também é um caractere. Se tu escreveu uma frase minha senha é super segura. Essa senha é praticamente quebrava por um bote e claro utiliza a autenticação de duas etapas que é aquela e se alguém tiver a tua senha e tentar logar logo no computador da padaria alguém tinha instalado alguma coisa lá o cara vai botar a senha se tu tem a autenticação de duas etapas instalada quando alguém tenta logar com a senha, tu recebeu um e-mail para desbloquear eu não sei se alguém, o que é que tem instalado a autenticação de duas etapas não, muito bom então é uma oportunidade aqui para o monte de gente implementar porque tu vai receber um e-mail para confirmar que é tu mesmo tentando acessar esse site então uma pessoa que tem a sua senha necessariamente vai conseguir acessar por isso é super importante especialmente no e-mail pessoal coisa pessoal não se aplica só a WordPress está protegendo em tudo isso está protegendo a zaga está protegendo o nosso core está blindando o core da nossa WordPress para os devs pessoal que desenvolve tem algumas práticas para seguir essas são algumas delas, não são todas acho que são as principais tu não modificar os plugins diretamente mesmo que tenha aquela necessidade de entrar lá mas é só isso aqui o que acontece se tu modifica o plugin tu não pode mais atualizar ele porque se tu atualizar ele tu perde a tua modificação o que acontece se tu não atualiza ele já era usar chariotinho, isso é outra coisa não modifiquem os temas diretamente, criem um tema filho e modifiquem ele porque se tu precisar atualizar o teu tema vai que alguém vai ver uma brecha lá se tu tiver um chariotinho tu pode atualizar o teu tema sem problema nenhum porque o chariotinho vai segurar a barra ali e outra coisa não faz miguel na programação a WordPress te dá muita ferramenta, te dá muita função pronta tem um codex gigantesco você pode pesquisar funções e todas elas são testadas tem um clipe multidisciplinar um clipe gigantesco, é uma plataforma gigantesca o pessoal se envolve e te dá essas funcionalidades para que tu use para que tu não abre uma conexão com os dados do meio feder e tu sai para buscar alguma coisa isso é inadmissível e é o que nunca vale reforçar o que que a gente está protegendo por isso a gente está protegendo o nosso na verdade está protegendo tudo está protegendo basicamente o teu tema e os plugins algumas práticas legais de fazer para o pessoal mais mais hardcore é tu usar ferramentas que foram desenvolvidas para chariotes e brechas em WordPress contra o seu próprio site porque ali tu vai pegar muita coisa muita funcionalidade esses são dois exemplos de ferramentas a WordPress plan é bem legal porque ele revista tudo tudo que tem brecha e ele já te dá o link de como explorar essa brecha com essa informação é algo que tu consegue ir lá e fazer o que? tu protege protege exatamente contra isso utilizar SSL vai ter uma palestra de cores explicando como tu uma maneira bem fácil de instalar eu não sabia mas o comodo tem também um certificado gratuito do lado de sempre o que é um certificado gratuito não custa nada só precisa entrar lá e instalar tem lá tutorial de como fazer tal ou outro pede para o seu afiliado ali que manda um pouco de teio ele faz para ti mas isso é muito importante para o teu certificado outra coisa é de fazer backup o backup ele pode ser feito tanto na tua hospedagem muitas acho que todas elas têm um serviço de backup só que tem plugins para o WordPress e também fazem isso e o mais legal tu pode salvar esses backups no teu drive por exemplo pode salvar esses backups no teu Dropbox um plugin que eu esqueci de colocar aqui é o UpDraft que eu costumo usar tu consegue programar ele por exemplo, a cada dois dias você tem um backup sobre o meu drive guarda os 10 últimos backups e o resto dele e ele faz automático então tu está sempre sempre com um backup atualizadinho ele tem um modo para recuperar aconteceu alguma coisa de mexer, alguma coisa você vai vir ao seu site pode ir ali e restaurar o backup automaticamente fica no botão e ele restaura para o WordPress como que estava da última vez que tu fez o backup essa que eu coloquei coloquei uma interrogação pelo que o Hamilton falou porque a obscuridade nem sempre funciona mas sempre na vida do desenvolvedor as vezes tu pega em projeto e tu não pode atualizar quebra tudo, o scope do projeto era outro, não tem dinheiro para refazer tu está com aquela batata quente na mão o que tu vai fazer, não pode atualizar tu pode esconder como o WordPress pelo menos os caras não sabem que está nessa versão e claro, eles não vão saber as falhas porque como o WordPress é uma plataforma muito usada as falhas são bem divulgadas e por isso que também tem atualizações tão recorrentes e são tão importadas cê nem fez tu pode, claro, proteger esse arquivo aqui ele contém as entradas do banco de dados e que está o usuário de senha do banco de dados o banco de dados é onde praticamente toda a informação está guardada então esse cara é muito, muito importante de proteger tu pode aqui tem dois exemplos tu pode bloquear o acesso dele nas configurações do servidor coloco um comando lá na configuração e deu, esse é o que fica aí na acessina ou tu consegue até a ferramenta que o Funchal vai mostrar na classic coisa e automaticamente ela move o WP config pra fora da raiz do seu servidor ou seja, ninguém que tenha acesso ao teu domínio consegue acessar isso aqui já é isso, ele tem aquela segurança, né? eu faço amanhã, amanhã não vale acontecer comigo aí tu fica com essa cara de funda quando acontece, em vez de estar aí após bonito se eu posso deixar vocês aqui na apresentação, não, não é tão longa mas, se eu posso deixar vocês com duas coisas essenciais são atualizações, façam elas estão ali por um motivo e instalar um plugin de segurança fazendo essas duas, tu já está tu nem precisa manjar de programação, simplesmente entre o botão WordPress, vai lá nos plugins procuram nesses, instala aí então já pode pelo menos expirar um pouco mais aliviado que o botão WordPress está mais seguro que o botão WordPress e aos servis, claro né? para quem quiser conversar depois um pouco mais sobre segurança futebol, ou sobre a vida, o universo tudo mais e revoltares na saída valeu