Eu sempre gostei de entender como um site está funcionando por trás, principalmente quando o assunto é segurança. Durante muito tempo, quando eu precisava analisar um site WordPress, eu fazia tudo manualmente.
Eu verificava se o site estava usando HTTPS, olhava se o XML-RPC estava ativo, conferia plugins desatualizados, testava endpoints diretamente no navegador, analisava headers. Era um processo repetitivo, mas necessário.
Foi daí que surgiu a ideia de criar um plugin.
A proposta não era criar um scanner complexo ou uma ferramenta que promete resolver tudo automaticamente. Era mais simples e mais honesta. Eu queria um checklist técnico que me desse um panorama rápido do estado de segurança de um site WordPress.
Assim nasceu o Nousk WP SafeCheck.
Cada verificação é classificada como:
- OK
- Atenção
- Risco
- Manual
Isso permite entender rapidamente o que está bem, o que merece atenção e o que precisa de análise mais cuidadosa.
O objetivo não é dizer que o site está seguro. O objetivo é ajudar a enxergar melhor.
O que o plugin verifica hoje
Na versão atual, o plugin cobre algumas áreas importantes.
Verifica configuração interna do WordPress, como a existência de usuário com login admin, edição de arquivos pelo painel e atualizações pendentes de plugins e temas.
Também analisa endpoints públicos, como acesso ao wp-login.php e xmlrpc.php.
Faz testes reais de acesso a arquivos sensíveis, como wp-config.php, .env e .git.
Verifica se há exposição de diretórios sensíveis.
Analisa headers de segurança no servidor.
E inclui uma verificação do robots.txt como revisão manual.
Tudo isso organizado em uma interface simples, direto no painel do WordPress.
Por que eu não quis fazer um scanner completo
Segurança não é algo que dá para resolver com um botão.
Muitas ferramentas prometem análises completas, mas na prática isso pode gerar:
- falsos positivos
- falsa sensação de segurança
- conclusões fora de contexto
Eu preferi seguir outro caminho. O plugin não toma decisões por você. A ideia é apontar caminhos. Mostra o que está acontecendo e sugere o que pode ser feito, mas a análise final continua sendo responsabilidade de quem está olhando.
O que eu aprendi construindo esse plugin
Construir esse plugin me fez olhar para segurança de uma forma mais estruturada.
Antes, eu sabia verificar as coisas. Mas fazia isso de forma dispersa.
Agora, eu tenho um fluxo.
Eu penso em categorias, em tipo de risco, em como apresentar informação de forma clara e útil.
E principalmente, eu passei a separar melhor o que é realmente risco, o que é apenas atenção e o que precisa de análise manual.
Próximos passos
A versão atual já está funcional e cobre um bom conjunto de verificações. Mas ainda tem bastante espaço para evoluir.
Para a próxima versão, que deve ser uma versão 1.1, eu pretendo melhorar e expandir alguns pontos.
Quero refinar a análise de headers de segurança, não apenas verificando se existem, mas também validando seus valores. Adicionar verificação de debug ativo no WordPress, já que isso pode expor informações sensíveis em ambiente de produção.
Também pretendo incluir a verificação de configurações como DISALLOW_FILE_MODS, que limita alterações pelo painel administrativo.
Outro ponto importante é verificar a exposição da versão do WordPress e analisar melhor a REST API.
Além disso, quero melhorar algumas heurísticas dos checks atuais para reduzir possíveis falsos positivos.
Conclusão
Esse plugin nasceu de uma necessidade real.
Não tenta ser uma solução completa, mas sim uma ferramenta prática para ajudar a entender melhor a segurança de um site WordPress. Não substitui auditorias de segurança ou ferramentas especializadas, mas funciona como uma primeira camada de análise.
E a ideia é continuar evoluindo, adicionando novos checks e melhorando a forma como a informação é apresentada.
