Wordpress Security

Proteja seu WordPress com 10 dicas básicas de segurança

Acho que a grande maioria concorda que o WordPress é um CMS sensacional e que nos oferece uma flexibilidade e facilidade em gerenciar nossos conteúdos de uma forma simples e sempre moderna.

Por ser tão querido e usado pela grande maioria das pessoas, ele também acaba sendo alvo de diversos ataques que podem causar diversos problemas e dores de cabeça para você resolver. Os ataques são muito comuns e acontecem com frequência pois existem diversas formas de explorar as “vulnerabilidades” do WordPress.

Mas da mesma forma, existem maneiras simples de se proteger, aplicando soluções rápidas e eficientes, que vão diminuir a chance de uma invasão em mais de 80%.

Separei uma lista com 10 práticas básicas e essenciais para você se manter seguro:

  1. Mantenha seu WordPress sempre atualizado com a última versão disponível.
    • O WordPress fica em constante busca de aprimoramentos e melhorias de segurança. Por isso, sempre que é lançada uma nova versão, atualize-o.
  2. Crie chaves de segurança
    • Usando a API do próprio WordPress pra gerar estes chaves de segurança, você garante um nível extra tornando seu site menos vulnerável. Basta gerar e definir essa chave no seu wp-config.php.
  3. Nomenclatura diferente para as tabelas do WordPress
    • Evite usar o prefixo padrão “wp_” para as tabelas do seu banco de dados. Como elas são conhecidas, fica muito mais fácil executar um comando através de SQL Injection, para tentar ver o conteúdo de suas tabelas.
    • Caso você não tenha instalado o WordPress ainda, altere o prefixo das tabelas no arquivo wp-config.php na linha: $table_prefix  = ‘wp_’;
    • Caso você já tenha instalado, terá que renomear as tabelas via query, conforme exemplo: RENAME TABLE ‘wp_tabela’ para ‘outroprefixo_wp_tabela’.
  4. Permissionamento de arquivos
    • Um dos principais motivos de invasão se dá pois o permissionamento de arquivos é feito de forma equivocada, liberando o acesso completo de leitura e escrita (777) em todos os arquivos e diretórios. Essa é uma brecha de segurança muito comum e simples de ser corrigida.
    • As permissões corretas e seguras recomendadas são:
      • chmod 755 em seus diretórios
      • chmod 644 em seus arquivos PHP
      • chmod 640 em seus arquivos wp-config.php.
    • Para informações mais detalhadas sobre permissionamento, o conteúdo oficial está aqui.
  5. Login e senhas
    • Não utilize o usuário padrão chamado “admin”. Tente mudar para qualquer outro nome.
    • Utilize senhas complexas e de difícil combinação, exemplo: W3rd$32#22d#4d#ampS!
    • Use algum plugin para que seu login de administração fique protegido. Você pode utilizar tanto um sistema de Captcha como o ReCaptcha, quanto um plugin de dupla autenticação do Google.
  6. Proteja seu wp-config.php com o .htaccess
    • Você pode restringir o acesso a esse arquivo vital do WordPress, com as seguintes configurações no .htaccess na raiz do site:
      • <files wp-config.php>
        order allow,deny
        deny from all
        </files>
  7. Desabilite a edição de arquivos via ADMIN
    • Deixar habilitada a edição de arquivos através do ADMIN é uma brecha de segurança que pode ser fechada facilmente colocando o código abaixo no wp-config.php
      • define(‘DISALLOW_FILE_EDIT’, true);
  8. Desabilite a opção “qualquer pessoa pode se registrar”
    • Vá até a seção Geral e desmarque a opção “Qualquer pessoa pode se registrar”.Com isso você impede que qualquer um tenha acesso ao painel de administração do site.
  9. Não divulgue a versão do seu WordPress
    • Por padrão, os temas do WP utilizam uma metatag no código que divulga, para fins de estatística, a versão que está sendo utilizada.Essa informação pode ser usada para um possível ataque e é aconselhável removê-la. Para isso, basta editar o seu arquivo header.php e remover a seguinte linha:
      • <meta name=”generator” content=”WordPress &lt;?php bloginfo(‘version’); ?&gt;” />
  10. E por fim, instale e utilize PLUGINS com moderação
    • Certifique-se de que o plugin que você irá instalar possui comentários positivos e não tenha sido alvo de nenhuma falha ou ataque. A fonte dos plugins também é muito importante. Se achar algo duvidoso ou desconhecido, não instale.

Espero que tenham gostado e por favor, comentem e adicionem mais considerações e práticas que utilizam para proteger o seu WordPress.

Deixe uma resposta