Entrar Ainda não tem acesso?
Solucionado (ver solução)
Solucionado
(ver solução)
4
respostas

Sobre https://www.webpagetest.org/ para teste no Wordpress

por Fabricio Diniz
| 80.4k xp | 102 posts

Após fazer o curso Introdução SEO: Entenda como o Google Funciona peguei o link da webpagtest.org para avaliar um tempo de carregamento de uma página. Ai aparece algumas opções, dentre delas Security Score

1 - The following security headers are missing from the website: Tradução - Os seguintes cabeçalhos de segurança estão ausentes no site:

Strict Transport Security A HSTS Policy informing the HTTP client how long to cache the HTTPS only policy and whether this applies to subdomains.

Tradução - Segurança estrita do transporte Uma política HSTS que informa ao cliente HTTP por quanto tempo armazenar em cache a política somente HTTPS e se isso se aplica aos subdomínios.

O que seria isso?

2 -Clickjacking protection: deny - no rendering within a frame, sameorigin - no rendering if origin mismatch, allow-from - allow from specified location, allowall - non-standard, allow from any location

Tradução: Opções de quadro X Proteção contra clickjacking: negar - nenhuma renderização dentro de um quadro, mesma origem - nenhuma renderização se incompatível com a origem, permitir - permitir a partir do local especificado, allowall - não padrão, permitir a partir de qualquer local

O que seria isso?

3 - Content Security Policy A computer security standard introduced to prevent cross-site scripting (XSS), clickjacking and other code injection attacks resulting from execution of malicious content in the trusted web page context

Tradução: Política de Segurança de Conteúdo Um padrão de segurança de computador introduzido para impedir a execução de scripts entre sites (XSS), clickjacking e outros ataques de injeção de código resultantes da execução de conteúdo malicioso no contexto confiável da página da web

O que seria isso?

E por último

**JavaScript Libraries with vulnerabilities

❌ The following list of JavaScript libraries were found to contain known and public security vulnerabilities. Note: We detected this is a WordPress website, and as such it may include patched versions of the JavaScript vulnerabilities listed below.** Vulnerabilidade Jquery Versão detectada 1.12.4

Tradução: Bibliotecas JavaScript com vulnerabilidades ❌ A lista a seguir de bibliotecas JavaScript contém vulnerabilidades conhecidas e de segurança pública. Nota: Detectamos que este é um site do WordPress e, como tal, pode incluir versões corrigidas das vulnerabilidades do JavaScript listadas abaixo Vulnerabilidade Jquery

Peço por gentileza uma orientação onde corrigir estes 4 itens citados

obs: o site está hospedado como teste em 000webhost.com

4 respostas
por Wanderson Macêdo
| 3964.9k xp | 8086 posts
Instrutor Desenvolvedor

Oi Fabricio, tudo bem? Vamos lá, ponto a ponto!

1 - HTTPS: Os browsers e servidores começaram a não muito tempo a adotar medidas de segurança mais rígidas, então, ele sempre vai alertar que seu site não é seguro caso não use a versão do protocolo HTTP com camada de segurança, o HTTPS. Você pode aprender mais sobre HTTP e HTTPS neste curso: https://cursos.alura.com.br/course/http-fundamentos

2 - Está lidado a segurança também, Clickjacking é uma técnica onde alguém pode mostrar seu site em um outro domínio parecido usando técnicas de framing e capturar as interações do usuário para realizar outras tarefas, ele imagina que está interagindo com o seu site, mas na verdade, está sendo enganado. Neste caso ah algumas coisas que podem ser feitas, inclusive, informar um cabeçalho HTTP que previne a página de ser exibida se não for no seu domínio original.

3 - Esse considera o ponto 2 já explicado e vai mais além, XSS é uma técnica que caso seja permitida, pessoas podem injetar código malíciono no seu site.

4 - Aqui é uma questão de versões das bibliotecas disponíveis no WordPress mesmo, cada versão do WordPress usa versões específicas de bibliotecas javascript como o jQuery e outras, que podem estar desatualizadas e podem conter vulnerabilidades.

A maioria das soluções são programáticas, mas você pode encontrar algum plugin de WordPress que te ajude com todos os problemas de forma mais direta, acho que esse pode ajudar, mas precisa explorar um pouco. https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/

O plugin pode ajudar para os itens 1,2 e 3, para o item 4, se tratando de WordPress, não tem jeito, o que vai te ajudar é manter o WordPress sempre atualizado, isso por que, se você atualizar as bibliotecas do WordPress manualmente, pode acabar gerando comportamentos extranhos ou até mesmo deixando ele inoperável.

por Fabricio Diniz
| 80.4k xp | 102 posts

Obrigado Wanderson

Sobre este plugin: Wordfence Security – Firewall & Malware Scan vc o conhece?

solução!
por Wanderson Macêdo
| 3964.9k xp | 8086 posts
Instrutor Desenvolvedor

Não conheço Fabricio, mas tem algumas coisas que você pode verificar para saber se é seguro usar o plugin.

1 - Se ele tá no repositório oficial: wordpress.org

2 - Se ele continua sendo mantido, ou seja, tem data de atualização recente (não acho boa ideia usar plugins com 6 meses ou 1 ano sem atualização)

3 - Avaliações e número de instalações.

por Fabricio Diniz
| 80.4k xp | 102 posts

Olá Wanderson, no curso do Wordpress é comentado sobre estes itens. Repositório oficial, atualizações recentes, avaliações. Obrigado