O WordPress é a plataforma de blogs mais usada no mundo, tanto por sua facilidade no uso como pelas diversas possibilidades de personalização que oferece. Justamente por ser um sistema tão popular, ele também é um dos principais alvos dos hackers. Por esse motivo, é essencial que você conheça algumas práticas para se proteger contra ataques de invasores, garantindo a segurança de seu site e de seus usuários. Quer ter certeza de que seu blog está protegido? Então confira nossas 12 dicas para aumentar a segurança no WordPress:
1. Mantenha o WordPress atualizado.
Manter o seu WordPress atualizado deve ser uma das prioridades em sua lista de segurança. Constantemente são disponibilizados novas versões do WordPress, não somente para trazer novidades, mas principalmente para correções de segurança.
2. Plugins e Temas desnecessários ou desatualizados.
Não basta atualizar somente o WordPress e deixar os Plugins e Temas desatualizados. Na maioria das vezes, os hackers têm invadido o WordPress através de vulnerabilidades em plugins e temas desatualizados ou não confiáveis. Para os plugins e temas que não estiverem sendo utilizados, o importante é que sejam totalmente excluídos.
3. Fazer Backup do Banco de Dados Regularmente.
É muito simples e rápido. (No próximo post, irei explicar como realizar backups)
4. Retire a Meta Tag que mostra a Versão do seu WordPress.
O código da meta tag fica dentro do arquivo header.php do seu tema. A linha que você deve remover é igual ou similar a demonstrado abaixo:
<meta name="generator" content="WordPress <?php bloginfo('version');?>"/>
5. Exclusão de arquivos
- /wp-config-sample.php
- /readme.html
- /license.txt
- /wp-admin/install.php
6. Bloquear indexação do Google de pastas indesejadas
Disallow: /wp-*
Disallow: /feed/
Disallow: /trackback
7. Não utilizar o login “Admin” padrão do WordPress
Para evitar ou dificultar esse acesso não autorizado, mude o login do usuário principal para outro qualquer. Quanto mais difícil de ser adivinhado, melhor.
Você pode fazer esta mudança facilmente, criando um novo usuário com os mesmos poderes de administrador e depois simplesmente apagar o usuário admin.
8. Restringir acesso a pasta wp-content
Você deve criar um arquivo .htaccess dentro da pasta wp-content com o seguinte conteúdo:
Order Allow,Deny
Deny from all
<FilesMatch "\.(jpg|gif|png|js|css|txt)$" >
Allow from all
</FilesMatch>
9. Proteger o arquivo de configuração “wp-config.php”
9.1 Manter o arquivo um nível acima do diretório público;
9.2 Usar a permissão 400 (readonly) ou 600 (para permissão de escrita);
9.3. No arquivo .htaccess fazer uso de diretiva para proteção;
<files wpconfig.php>
order allow,deny
deny from all
</files>
9.4. Fazer uso de algumas constantes do WordPress;
define( 'DISALLOW_FILE_EDIT', true );
ou
define( 'DISALLOW_FILE_MODS', true );
OBS: Com a constante DISALLOW_FILE_EDIT não será possibilitado ao usuário editar os arquivos de plugins e temas através da interface do WordPress. Já a constante DISALLOW_FILE_MODS além da mesma funcionalidade evita a instalação e atualização do core, plugins e temas.
9.5. Considerar o uso e atualização das Chaves únicas de autenticação e salts.
https://api.wordpress.org/secretkey/1.1/salt/
10. Permissão dos arquivos e pastas.
- Todos os arquivos devem ter a permissão chmod 644 .
- Todas as pastas devem ter a permissão chmod 755.
11. Captcha wp-login.
12. Ataque no WordPress através do arquivo xmlrpc.php.
<Files "xmlrpc.php">
Order Allow,Deny
deny from all
</files>
Post com informações: Dialhost