Todos sabemos que tornar o WordPress seguro é uma das primeiras prioridades depois da instalação. Neste post vou compartilhar algumas dicas de segurança que podem ser aplicadas por qualquer usuário e que são essenciais para se proteger de qualquer invasão.

Esse artigo foi publicado, originalmente, em 4 de julho de 2013.

Configurações de segurança para a instalação do WordPress

Um problema potencial é que vários usuários deixam seu diretório disponível e nem sabem disso, o que facilita muito para alguém que quer invadir por um simples plugin ou solicitação via web. A seguinte regra no arquivo .htaccess impede que terceiros naveguem pelos diretórios do seu site:

Options All -Indexes

Precisamos proteger também o próprio arquivo  .htaccess uma vez que ele vai carregar as informações de segurança mais importante, para isso use a seguinte regra no mesmo:

<Files ~ "^\.(htaccess)$">

deny from all

</Files>

Todos sabemos também como o arquivo wp-config.php  é importante, então para sua proteção use isso no .htaccess:

<Files wp-config.php>

order allow,deny

deny from all

</Files>

Se tiver SSL no servidor contratado, podemos forçar o WordPress a criptografar os dados que ele transmite, como por exemplo as credenciais de login. Então basta inserir o código abaixo no arquivo wp-config.php:

define (‘FORCE_SSL_ADMIN’, true);

Para impedir ainda que informações das versões do servidor fiquem disponíveis use a seguinte regra no arquivo .htaccess:

ServerSignature Off

É importante também que as informações de erro do WordPress não fiquem visíveis a qualquer usuário, use o código a seguir no arquivo functions.php do seu tema:

add_filter('login_errors',create_function('$a', "return null;"));

Para impedir que as pastas wp- dentro do diretório sejam indexadas pelos motores de busca de alguma forma, insira o código no arquivo robots.txt:

Disallow: / wp-*

Por padrão o WordPress costuma mostrar no cabeçalho a versão do sistema,  o que pode ser uma porta para invasão, ainda mais quando seu blog está desatualizado, portanto para esconder essa informação use o seguinte código ainda no arquivo functions.php:

remove_action('wp_head','wp_generator');

Plugins de Segurança

WP Security Scan

Esse plugin faz uma varredura no WordPress em busca de vulnerabilidades, com isso ele fornece dicas e funções úteis de segurança como alterar o prefixo das tabelas do banco de dados.

Limit Login Attempts

Eu considero esse plugin essencial, uma vez que ele bloqueia o IP de um determinado usuário por tentativas de login ao tentar um ataque de força bruta o que é muito comum no WordPress. Acesse o seguinte tutorial para configurar em seu site.

Better WP Security

Esse plugin oferece praticamente todas as funções manuais atribuídas acima, o que permite que usuários que não tem muita familiaridade com códigos possam proteger seu site sem muito esforço.

AntiVirus

Essa é uma ferramenta que de forma prática faz uma varredura no WordPress para proteger a instalação contra malware e spam.

Exploit Scanner

O plugin procura nos arquivos do seu site e no banco de dados por sinais de atividades suspeitas. Ele não vai impedir ninguém de invadir, mas ajuda a encontrar os rastros de arquivos enviados e comprometidos deixados pelo hacker.

BBQ: Block Bad Queries

A função desse plugin é proteger o site contra solicitações de URL maliciosas, verificando todo o tráfego de entrada e os blocos de pedidos suspeitos.

Essas são as principais dicas de segurança para o WordPress, mas ainda eu recomendo como maior dica o bom senso. Procure usar senhas fortes tanto para seu usuário do WordPress, como para o banco de dados, evite usar temas e plugins de sites suspeitos que oferecem temas premium gratuitamente e por fim não cometa o erro de repassar sua senha para uma pessoa desconhecida, sem credibilidade na rede, seja inteligente e menos ingênuo. Afinal, nenhuma dica ou plugin recomendado acima vai funcionar se você não tiver bom senso.

Confira também o plugin BruteProtect, ele é o melhor para impedir ataques a seus blogs em wordpress. Veja no link abaixo um vídeo explicando como instalar e configurar.

Rafaela Rodrigues

Rafaela Rodrigues é estudante de Gestão da Qualidade pela UNA BH, blogueira nas horas vagas e ainda divide todo o seu tempo com o trabalho e estudos. Verdadeira amante de seriados americanos e cinema...

Participe da conversa

5 Comentários

Comentários

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

  1. Onde exatamente tenho que colocar esses códigos? adicionei as regras que você mandou no .htaccess e apresentou erro aqui.