Proteja seu WordPress com 10 dicas básicas de segurança
Acho que a grande maioria concorda que o WordPress é um CMS sensacional e que nos oferece uma flexibilidade e facilidade em gerenciar nossos conteúdos de uma forma simples e sempre moderna.
Por ser tão querido e usado pela grande maioria das pessoas, ele também acaba sendo alvo de diversos ataques que podem causar diversos problemas e dores de cabeça para você resolver. Os ataques são muito comuns e acontecem com frequência pois existem diversas formas de explorar as “vulnerabilidades” do WordPress.
Mas da mesma forma, existem maneiras simples de se proteger, aplicando soluções rápidas e eficientes, que vão diminuir a chance de uma invasão em mais de 80%.
Separei uma lista com 10 práticas básicas e essenciais para você se manter seguro:
- Mantenha seu WordPress sempre atualizado com a última versão disponível.
- O WordPress fica em constante busca de aprimoramentos e melhorias de segurança. Por isso, sempre que é lançada uma nova versão, atualize-o.
- Crie chaves de segurança
- Usando a API do próprio WordPress pra gerar estes chaves de segurança, você garante um nível extra tornando seu site menos vulnerável. Basta gerar e definir essa chave no seu wp-config.php.
- Nomenclatura diferente para as tabelas do WordPress
- Evite usar o prefixo padrão “wp_” para as tabelas do seu banco de dados. Como elas são conhecidas, fica muito mais fácil executar um comando através de SQL Injection, para tentar ver o conteúdo de suas tabelas.
- Caso você não tenha instalado o WordPress ainda, altere o prefixo das tabelas no arquivo wp-config.php na linha: $table_prefix = ‘wp_’;
- Caso você já tenha instalado, terá que renomear as tabelas via query, conforme exemplo: RENAME TABLE ‘wp_tabela’ para ‘outroprefixo_wp_tabela’.
- Permissionamento de arquivos
- Um dos principais motivos de invasão se dá pois o permissionamento de arquivos é feito de forma equivocada, liberando o acesso completo de leitura e escrita (777) em todos os arquivos e diretórios. Essa é uma brecha de segurança muito comum e simples de ser corrigida.
- As permissões corretas e seguras recomendadas são:
- chmod 755 em seus diretórios
- chmod 644 em seus arquivos PHP
- chmod 640 em seus arquivos wp-config.php.
- Para informações mais detalhadas sobre permissionamento, o conteúdo oficial está aqui.
- Login e senhas
- Não utilize o usuário padrão chamado “admin”. Tente mudar para qualquer outro nome.
- Utilize senhas complexas e de difícil combinação, exemplo: W3rd$32#22d#4d#ampS!
- Use algum plugin para que seu login de administração fique protegido. Você pode utilizar tanto um sistema de Captcha como o ReCaptcha, quanto um plugin de dupla autenticação do Google.
- Proteja seu wp-config.php com o .htaccess
- Você pode restringir o acesso a esse arquivo vital do WordPress, com as seguintes configurações no .htaccess na raiz do site:
- <files wp-config.php>
order allow,deny
deny from all
</files>
- <files wp-config.php>
- Você pode restringir o acesso a esse arquivo vital do WordPress, com as seguintes configurações no .htaccess na raiz do site:
- Desabilite a edição de arquivos via ADMIN
- Deixar habilitada a edição de arquivos através do ADMIN é uma brecha de segurança que pode ser fechada facilmente colocando o código abaixo no wp-config.php
- define(‘DISALLOW_FILE_EDIT’, true);
- Deixar habilitada a edição de arquivos através do ADMIN é uma brecha de segurança que pode ser fechada facilmente colocando o código abaixo no wp-config.php
- Desabilite a opção “qualquer pessoa pode se registrar”
- Vá até a seção Geral e desmarque a opção “Qualquer pessoa pode se registrar”.Com isso você impede que qualquer um tenha acesso ao painel de administração do site.
- Não divulgue a versão do seu WordPress
- Por padrão, os temas do WP utilizam uma metatag no código que divulga, para fins de estatística, a versão que está sendo utilizada.Essa informação pode ser usada para um possível ataque e é aconselhável removê-la. Para isso, basta editar o seu arquivo header.php e remover a seguinte linha:
- <meta name=”generator” content=”WordPress <?php bloginfo(‘version’); ?>” />
- Por padrão, os temas do WP utilizam uma metatag no código que divulga, para fins de estatística, a versão que está sendo utilizada.Essa informação pode ser usada para um possível ataque e é aconselhável removê-la. Para isso, basta editar o seu arquivo header.php e remover a seguinte linha:
- E por fim, instale e utilize PLUGINS com moderação
- Certifique-se de que o plugin que você irá instalar possui comentários positivos e não tenha sido alvo de nenhuma falha ou ataque. A fonte dos plugins também é muito importante. Se achar algo duvidoso ou desconhecido, não instale.
Espero que tenham gostado e por favor, comentem e adicionem mais considerações e práticas que utilizam para proteger o seu WordPress.
