Home » WordPress » 12 dicas para aumenta a Segurança do blog em WordPress

12 dicas para aumenta a Segurança do blog em WordPress

O WordPress é a plataforma de blogs mais usada no mundo, tanto por sua facilidade no uso como pelas diversas possibilidades de personalização que oferece. Justamente por ser um sistema tão popular, ele também é um dos principais alvos dos hackers. Por esse motivo, é essencial que você conheça algumas práticas para se proteger contra ataques de invasores, garantindo a segurança de seu site e de seus usuários. Quer ter certeza de que seu blog está protegido? Então confira nossas 12 dicas para aumentar a segurança no WordPress:

1. Mantenha o WordPress atualizado.

Manter o seu WordPress atualizado deve ser uma das prioridades em sua lista de segurança. Constantemente são disponibilizados novas versões do WordPress, não somente para trazer novidades, mas principalmente para correções de segurança.

2. Plugins e Temas desnecessários ou desatualizados.

Não basta atualizar somente o WordPress e deixar os Plugins e Temas desatualizados. Na maioria das vezes, os hackers têm invadido o WordPress através de vulnerabilidades em plugins e temas desatualizados ou não confiáveis. Para os plugins e temas que não estiverem sendo utilizados, o importante é que sejam totalmente excluídos.

3. Fazer Backup do Banco de Dados Regularmente.

É muito simples e rápido. (No próximo post, irei explicar como realizar backups)

4. Retire a Meta Tag que mostra a Versão do seu WordPress.

Os temas padrão do WordPress tem uma meta tag no cabeçalho que revela a versão que está sendo utilizada. Muitos temas desenvolvidos deixam essa informação visível, mas isso não é aconselhável. Quando um hacker descobre alguma possível vulnerabilidade em uma determinada versão, eles começam a buscar as possíveis vitimas que estão utilizando a versão através desta meta tag.

O código da meta tag fica dentro do arquivo header.php do seu tema. A linha que você deve remover é igual ou similar a demonstrado abaixo:

<meta name="generator" content="WordPress <?php bloginfo('version');?>"/>

5. Exclusão de arquivos

Alguns arquivos do WordPress expõe a versão e detalhes da plataforma em uso e outros são necessários para o processo de instalação. Depois de instalado, ambos arquivos devem ser excluídos. A lista é pequena:

/wp-config-sample.php
/readme.html
/license.txt
/wp-admin/install.php

6. Bloquear indexação do Google de pastas indesejadas

Você deve bloquear todas as pastas wp (wp-admin, wp-include e etc) de serem indexadas pelos mecanismos de busca (Google, Yahoo, Bing e etc). Crie um arquivo chamado “robots.txt” dentro da public_html, com o seguinte conteúdo.

Disallow: /wp-*
Disallow: /feed/
Disallow: /trackback

7. Não utilizar o login “Admin” padrão do WordPress

Ao fazer uma nova instalação do WordPress, automaticamente é criado um usuário chamado “admin” que passa a ser o usuário com poderes de Administrador. Como o login é padrão e quase ninguém o modifica, fica fácil escolher um login para tentar descobrir a senha.

Para evitar ou dificultar esse acesso não autorizado, mude o login do usuário principal para outro qualquer. Quanto mais difícil de ser adivinhado, melhor.
Você pode fazer esta mudança facilmente, criando um novo usuário com os mesmos poderes de administrador e depois simplesmente apagar o usuário admin.

8. Restringir acesso a pasta wp-content

Sua pasta wp-content contém seus arquivos de temas e plugins instalados no WordPress. O acesso a esta pasta não deve ser direto, com exceção às imagens, javascript e css que possam ser utilizados pelo seu tema escolhido.

Você deve criar um arquivo .htaccess dentro da pasta wp-content com o seguinte conteúdo:

Order Allow,Deny
Deny from all
<FilesMatch "\.(jpg|gif|png|js|css|txt)$" >
Allow from all
</FilesMatch>

9. Proteger o arquivo de configuração “wp-config.php”

O arquivo wp-config.php é o maestro que rege uma aplicação em WordPress. Ele deve ser bem tratado e potencializado com constantes que elevam o nível de segurança. Alguns conselhos.

9.1 Manter o arquivo um nível acima do diretório público;

9.2 Usar a permissão 400 (readonly) ou 600 (para permissão de escrita);

9.3. No arquivo .htaccess fazer uso de diretiva para proteção;

<files wpconfig.php>
order allow,deny
deny from all
</files>

9.4. Fazer uso de algumas constantes do WordPress;

define( 'DISALLOW_FILE_EDIT', true );
ou
define( 'DISALLOW_FILE_MODS', true );

OBS: Com a constante DISALLOW_FILE_EDIT não será possibilitado ao usuário editar os arquivos de plugins e temas através da interface do WordPress. Já a constante DISALLOW_FILE_MODS além da mesma funcionalidade evita a instalação e atualização do core, plugins e temas.

9.5. Considerar o uso e atualização das Chaves únicas de autenticação e salts.

https://api.wordpress.org/secretkey/1.1/salt/

10. Permissão dos arquivos e pastas.

As permissões corretas para os arquivos e pastas são:

Todos os arquivos devem ter a permissão chmod 644 .
Todas as pastas devem ter a permissão chmod 755.

11. Captcha wp-login.

Uma outra boa forma para tornar o sistema de login do teu blog mais seguro é usar este plugin “captcha-on-login“.

12. Ataque no WordPress através do arquivo xmlrpc.php.

Está ocorrendo muito ataque DDos neste arquivo. O aconselhável é realizar a configuração abaixo no arquivo .htaccess:

<Files "xmlrpc.php">
Order Allow,Deny
deny from all
</files>

Post com informações: Dialhost

Leandro Santos

Ceo & Founder at Navegin - Jovem Empreendedor pensa que é nerd e apaixonado por WordPress, startup, futebol, FIFA 2014, Palmeiras e tecnologia com muito café!