Por que o acesso SSH é a barreira definitiva contra falhas de plugins GPL
Plugins com licença GPL (General Public License) são a base de boa parte dos sites WordPress por sua flexibilidade e custo zero. No entanto, a má gestão desses plugins – especialmente quando baixados de fontes não oficiais – pode abrir brechas graves de segurança. Enquanto tutoriais comuns focam em manter plugins atualizados ou usar repositórios confiáveis, a verdade é que a maioria das vulnerabilidades é explorada após a instalação, quando permissões de arquivos e configurações de servidor são negligenciadas. É aí que o acesso SSH (Secure Shell) se torna a ferramenta mais subestimada.
Por que o acesso raiz (SSH) faz diferença
Hospedagens compartilhadas limitam comandos e bloqueiam o uso de chaves SSH, forçando o usuário a depender apenas do painel de controle. Sem acesso SSH, você não pode definir permissões de arquivos granulares (como 644 para arquivos e 755 para pastas), nem criar usuários específicos para cada tarefa, como um usuário para execução do PHP e outro para upload de arquivos. Essa separação é crucial: se um plugin malicioso tentar modificar arquivos, ele só conseguirá se tiver as mesmas permissões do servidor web. Com SSH, você configura o usuário do servidor web (www-data, por exemplo) com acesso mínimo de escrita apenas às pastas de upload e cache, bloqueando qualquer escrita em wp-content/plugins ou wp-content/themes.
Configuração prática: isolando plugins GPL com SSH
Primeiro, crie um usuário não privilegiado para gerenciar arquivos via SFTP. Por exemplo, no terminal: adduser meu_usuario e usermod -aG www-data meu_usuario. Em seguida, ajuste as permissões: chown -R root:www-data /var/www/html e chmod -R 755 /var/www/html. Depois, conceda permissão de escrita apenas para as pastas necessárias: chmod -R 775 /var/www/html/wp-content/uploads e chown -R www-data:www-data /var/www/html/wp-content/uploads. Plugins GPL baixados manualmente devem ser instalados via SFTP com o usuário criado, garantindo que o servidor web não possa alterá-los em tempo de execução.
Monitoramento contínuo com SSH
Com acesso SSH, você pode usar ferramentas como inotify para vigiar alterações em tempo real nos diretórios de plugins. Exemplo de comando: inotifywait -m -r /var/www/html/wp-content/plugins -e modify,create,delete. Ou automatizar varreduras com scripts que verificam hashes de arquivos contra repositórios oficiais. Um script simples em Bash pode baixar o plugin original e comparar cada arquivo, alertando sobre diferenças. É a única forma de detectar backdoors injetados em plugins GPL que passam por atualizações legítimas.
Conclusão: sem SSH você está vendado
Depender apenas de soluções gráficas é brincar de roleta russa com seu site. O acesso SSH em servidores WordPress não é um luxo, é uma necessidade para quem leva segurança a sério, especialmente quando plugins GPL abrem a porta para código potencialmente perigoso. Na próxima escolha de hospedagem, priorize um provedor que libere acesso raiz (ao menos SSH) – é o investimento mais barato e eficaz que você pode fazer.