Home Tutoriais Segurança 14 Dicas de Segurança em WordPress


Segurança com WordPressBlogs hackeados, sites invadidos, banco de dados exposto…O WordPress é um dos melhores CMS do mundo, e um dos mais visados pelos hackers. Aprenda aqui como proteger o seu site, como medidas simples e altamente eficazes.

Na maioria das vezes que o WordPress é atualizado, é por causa de segurança. Diariamente, hackers descobrem novas maneiras de invadir sistemas web, sendo então o nosso dever, proteger os nossos dados sigilosos. Vamos agora as principais dicas de segurança para WordPress.

1 – Permissão de Pastas e Arquivos

Acredito ser este um dos principais problemas de segurança do WordPress. Quando você instala o WordPress, ele vem por padrão com algumas permissões de pastas que podem causar problemas, como 777 ou 775. O ideal é, após instalar, definir permissões seguras em suas pastas e arquivos, para impedir que, usuários maliciosos injetem exploits em sua hospedagem. Segue as permissões adequadas:

  • diretório raiz (700)
  • .htaccess (644)
  • wp-config.php (644)
  • wp-admin (755)
  • wp-content (755)
  • plugins (755)
  • themes (444) ou (555)
  • upgrade (755)
  • uploads (755)
  • wp-includes (755)

Lembrando que, ao aplicar a permissão correta a pasta, aplique também as sub-pastas e todos os seus arquivos também!

2 – Protega o seu arquivo wp-config.php e .htaccess

Este arquivo contém o login e senha do seu banco de dados, se algum hacker puder de alguma forma acessá-lo, ele terá acesso irestrito ao seu site, podendo simplesmente deletar tudo. Além de definirmos uma permissão segura para este arquivo (644), devemos bloquear o acesso dele através da URL do site, via .htaccess. Crie um arquivo chamado .htaccess na raiz da sua hospedagem, se ainda não houver um, e insira a seguinte código:

<Files ~ "^.(htaccess)$">
deny from all
</Files>
<files wp-config.php>
order allow,deny
deny from all
</files>

Com este código, o acesso ao .htaccess, htpasswd e wp-config.php serão permitidos apenas ao seu site, qualquer usuário que acessar pela URL não irá conseguir.

3 – Configuração correta do wp-config.php

Assim que você instala o WordPress, é necessário reconfigurar o arquivo wp-config.php com algumas medidas de segurança. Observem a imagem abaixo:

Configuração de Segurança WordPress para o arquivo wp-config.php

Devemos sempre, alterar as chaves únicas de autenticação (marcado em azul), e mudar o prefixo das tabelas (marcado em vermelho). No caso das chaves únicas de autenticação, por padrão, o WordPress vem assim, sem definir nenhuma chave. Você deve então, inserir ali alguma frase qualquer, seria uma espécie de senha secundária. Caso queira, gere automáticamente estas senhas aqui:

https://api.wordpress.org/secret-key/1.1/salt/

No caso do prefixo, devemos mudar para qualquer outro prefixo, menos o padrão. Assim, dificultaremos a ação de um hacker, caso o mesmo tente por exemplo o uso de SQl Injection em seu site.

4 – Senhas do WordPress

Está já é cliche, mas tenho que falar:

  1. Use sempre senhas seguras para o acesso ao banco de dados
  2. Use sempre senhas seguras para o admin do WordPress.
  3. Nunca use uma senha igual a de outro site (mesma senha do orkut, twtter, etc), pois se algum dia aquele site for hackeado, a sua senha estará em mãos maliciosas.
  4. Nunca salve a sua senha em lugares públicos, como lanhouses.

Caso queiram, acessem este site para gerar senhas seguras aleatórias:http://www.generate-password.com

5 – Mantenha o seu WordPress atualizado

Sempre mantenha o WordPress atualizado, pois quando lançam uma nova versão, geralmente é para corrigir problemas relacionados a segurança. Você pode fazer isso diretamente pelo seu painel, basta ir em painel > atualizações.

6 – Plug-ins desnecessários / desatualizados

Se não está usando algum plug-in, ou ele não possui atualização para a sua versão do WordPress, desabilite e o delete. Isso é importante porque, muitos hackers tem invadido blogs e sites WordPress através de vulnerabilidades conhecidas nos plug-ins do site.

7 – Bloquear certas pastas de aparecem no Google

É fato hoje que o Google é uma ferramenta fundamental pra todo mundo que navega pelos mares da Internet, entretanto, nem tudo que aparece por lá é útil pra gente. No caso do WordPress, devemos impedir que o Google indexe páginas de administradores, plug-ins, uploads e etc. Para isso, basta criar (se ainda não existir) um arquivo chamadorobots.txt na raiz da hospedagem, e adicionar nele a seguinte regra:

Disallow: / wp-*

8 – Mantenha sempre um backup atualizado do seu banco de dados

Se mesmo com estas dicas você for invadido, e o hacker decidir apagar tudo…Basta ir lá e restaurar tudo..claro, quem tiver um backup atualizado do seu banco de dados. Para isso, usem o plug-in WordPress Database Backup

9 – Bloqueie a listagem de arquivos em suas pastas

Alguns servidores por padrão, quando não encontram um arquivo index na pasta, listam todo o sue conteúdo. Isso é uma falha de segurança, pois o hacker pode a partir disto, ver quais plug-ins você tem instalado, qual tema, enfim…Para bloquear, basta adicionar a seguinte regra ao seu arquivo .htaccess:

Options All -Indexes

10 – Desabilite o registro de novos usuários

Desta forma, você impede o acesso ao seu painel administrativo por qualquer um. Para desabilitar, vá em Geral e desmarque a opção Qualquer pessoa pode se registrar, ou simplesmente delete o arquivo wp-register.php

11 – Impeça múltiplas tentativas de login

Hackers muitas vezes invadem sistemas com o uso de softwares de brute force, que tentam descobrir a senha com milhões de combinações diferentes. Para impedir que alguém tente se logar “a força” em seu painel, use o plug-in Login LockDown. Com este plug-in, é possível determinar quantas tentativas máximas de login alguém poderá ter, e o tempo que ele deverá esperar para tentar se logar novamente.

12 – Escolha bem a empresa de hospedagem do site

Uma empresa de hospedagem desatualizada ou mal configurada, pode trazer muitas vulnerabilidades ao seu WordPress. Invista sempre em boas empresas de hospedagens, mesmo que tenha que pagar um pouco a mais. Eu uso e recomendo a HostGator

13 – Guarde suas senhas em locais seguros

De nada adianta todas estas dicas, se algum hacker invadir o seu computador e descobrir a senha de acesso FTP a hospedagem. Portanto, salve as suas senhas em um lugar que ninguém irá encontrar, de preferência nem deixe salvo no computador. Escreva num papel, e esconda embaixo do colchão (:

14 – Plug-in para segurança no WordPress

Recomendo que instalem o plug-in WP Security Scan. Este plug-in, tem como finalidade encontrar vulnerabilidades e as corrigir, quando possivel. Neste meu blog, este plug-in corrigiu mais de 10 vulnerabilidades. Indispensável.

 

Fonte: http://www.lucaspeperaio.com.br/blog/14-dicas-de-seguranca-em-wordpress

   

Leave a Reply

This blog is kept spam free by WP-SpamFree.