Hackers estão utilizando este recurso, embutido no WordPress, para invasão aos sites, saiba como minimizar o problema.
Em fevereiro/2023 fomos atacados, em vários sites hospedados e não desconfiamos de onde poderia estar vindo o problema.
Corrigimos algumas coisas, investigamos, o Data Center não conseguia encontrar por onde estavam nos invadindo, até que, um arquivo suspeito, passou a chamar a nossa atenção:
- em cada pasta do site havia um arquivo “.htaccess”, incomum nas instalações WordPress.
Encontramos uma pasta e, oculto, um arquivo compactado, que dava origem à mesma. Passamos estas informações ao DC, que prosseguiu com a pesquisa, dando origem ao que relatamos abaixo.
A invasão está sendo feita, utilizando uma função embutida, na instalação do WordPress, que executa tarefas CRON (agendamentos).
Através dele, arquivos são instalados, executados a cada acesso, o que, além de sobrecarregar o servidor, tornando o site lento, pode propagar SPAM, como foi no caso de um dos nossos sites hospedados.
Umas das formas de minimizar, encontrada nas pesquisas, é desativar esta função, nativa do WP, além de proteger pastas e arquivos importantes, contra a escrita.
Desativando o wp-cron.php para otimizar seu site WordPress
Se você tem um site WordPress, provavelmente já ouviu falar do wp-cron.php, um sistema de agendamento automático de eventos que roda em segundo plano. Embora possa ser útil em alguns casos, o wp-cron.php pode causar problemas de performance e, portanto, desativá-lo pode ser uma boa opção para otimizar seu site.
Por que desativar o wp-cron.php?
Por padrão, o WordPress está configurado para executar os trabalhos cron toda vez que há uma visita em seu site. Isso pode causar transtornos de performance em um ambiente de hospedagem compartilhada, pois quanto maior o número de visitas, mais vezes o cron do WordPress será executado, esgotando os recursos da hospedagem (CPU, memória, etc.).
Além disso, se você agendar a publicação de um post em determinado dia e horário e o WordPress não publicar esse post no dia e horário agendado, isso pode ser um problema comum do wp-cron.php. Isso ocorre porque o seu site em WordPress não recebeu uma visita nesse meio tempo (entre o agendamento do post e o dia e hora em que ele teria que ser publicado) e, portanto, o wp-cron.php não foi executado.
Como desativar o wp-cron.php?
Desativar o wp-cron.php é fácil. Basta editar o arquivo wp-config.php do seu site e adicionar a seguinte linha no final do arquivo:
define(‘DISABLE_WP_CRON’, ‘true’);
Dessa forma, você estará desativando o sistema de agendamento automático de eventos do WordPress.
Como configurar o Cron Jobs?
Agora que desabilitamos o wp-cron.php, precisamos configurar as tarefas agendadas conhecidas como Cron Jobs. Podemos fazer isso através do painel de controle da hospedagem.
Independente de qual seja, ele possui esta função, basta localizá-la como Cron Jobs ou “Trabalhos Cron”.
Cron Jobs no CWP Panel Free
Baseando no painel de controle cPanel, localize na primeira página: Avançado> Cron Jobs (ou “Trabalhos Cron”).
Cron Jobs no CPanel
Na página seguinte, role até “Adicionar novo trabalho cron”, role mais a tela e localize a opção “Adicionar novo trabalho cron” e, na seção “Configurações comuns” selecione “Duas vezes por hora (0,30****).
Role até a opção “Comando” e insira o seguinte, corrigindo “/home/seu_nome_de_usuario/” pelo endereço real da pasta “public_html”, de sua conta de hospedagem:
cd /home/seu_nome_de_usuario/public_html; php -q wp-cron.php
Clique no botão “Adicionar Novo Cron Job”, para concluir este processo.
Pronto, você concluiu uma otimização do seu website em WordPress e isso certamente ajudará a evitar consumo de recursos exagerados por parte de sua hospedagem.
Conclusão
Desativar o wp-cron.php pode ser uma boa opção para melhorar o desempenho do seu site WordPress. Ao desativá-lo, você pode configurar as tarefas agendadas através do sistema Cron Jobs disponível em sua hospedagem. Além disso, isso ajudará a evitar o consumo de recursos exagerados por parte da hospedagem e a manter seu site funcionando sem problemas de performance.