Todos sabemos que tornar o WordPress seguro é uma das primeiras prioridades depois da instalação. Neste post vou compartilhar algumas dicas de segurança que podem ser aplicadas por qualquer usuário e que são essenciais para se proteger de qualquer invasão.
Esse artigo foi publicado, originalmente, em 4 de julho de 2013.
Configurações de segurança para a instalação do WordPress
Um problema potencial é que vários usuários deixam seu diretório disponível e nem sabem disso, o que facilita muito para alguém que quer invadir por um simples plugin ou solicitação via web. A seguinte regra no arquivo .htaccess impede que terceiros naveguem pelos diretórios do seu site:
Options All -Indexes
Precisamos proteger também o próprio arquivo .htaccess uma vez que ele vai carregar as informações de segurança mais importante, para isso use a seguinte regra no mesmo:
<Files ~ "^\.(htaccess)$"> deny from all </Files>
Todos sabemos também como o arquivo wp-config.php é importante, então para sua proteção use isso no .htaccess:
<Files wp-config.php> order allow,deny deny from all </Files>
Se tiver SSL no servidor contratado, podemos forçar o WordPress a criptografar os dados que ele transmite, como por exemplo as credenciais de login. Então basta inserir o código abaixo no arquivo wp-config.php:
define (‘FORCE_SSL_ADMIN’, true);
Para impedir ainda que informações das versões do servidor fiquem disponíveis use a seguinte regra no arquivo .htaccess:
ServerSignature Off
É importante também que as informações de erro do WordPress não fiquem visíveis a qualquer usuário, use o código a seguir no arquivo functions.php do seu tema:
add_filter('login_errors',create_function('$a', "return null;"));
Para impedir que as pastas wp- dentro do diretório sejam indexadas pelos motores de busca de alguma forma, insira o código no arquivo robots.txt:
Disallow: / wp-*
Por padrão o WordPress costuma mostrar no cabeçalho a versão do sistema, o que pode ser uma porta para invasão, ainda mais quando seu blog está desatualizado, portanto para esconder essa informação use o seguinte código ainda no arquivo functions.php:
remove_action('wp_head','wp_generator');
Plugins de Segurança
Esse plugin faz uma varredura no WordPress em busca de vulnerabilidades, com isso ele fornece dicas e funções úteis de segurança como alterar o prefixo das tabelas do banco de dados.
Eu considero esse plugin essencial, uma vez que ele bloqueia o IP de um determinado usuário por tentativas de login ao tentar um ataque de força bruta o que é muito comum no WordPress. Acesse o seguinte tutorial para configurar em seu site.
Esse plugin oferece praticamente todas as funções manuais atribuídas acima, o que permite que usuários que não tem muita familiaridade com códigos possam proteger seu site sem muito esforço.
Essa é uma ferramenta que de forma prática faz uma varredura no WordPress para proteger a instalação contra malware e spam.
O plugin procura nos arquivos do seu site e no banco de dados por sinais de atividades suspeitas. Ele não vai impedir ninguém de invadir, mas ajuda a encontrar os rastros de arquivos enviados e comprometidos deixados pelo hacker.
A função desse plugin é proteger o site contra solicitações de URL maliciosas, verificando todo o tráfego de entrada e os blocos de pedidos suspeitos.
Essas são as principais dicas de segurança para o WordPress, mas ainda eu recomendo como maior dica o bom senso. Procure usar senhas fortes tanto para seu usuário do WordPress, como para o banco de dados, evite usar temas e plugins de sites suspeitos que oferecem temas premium gratuitamente e por fim não cometa o erro de repassar sua senha para uma pessoa desconhecida, sem credibilidade na rede, seja inteligente e menos ingênuo. Afinal, nenhuma dica ou plugin recomendado acima vai funcionar se você não tiver bom senso.
Confira também o plugin BruteProtect, ele é o melhor para impedir ataques a seus blogs em wordpress. Veja no link abaixo um vídeo explicando como instalar e configurar.
Onde exatamente tenho que colocar esses códigos? adicionei as regras que você mandou no .htaccess e apresentou erro aqui.
Ótimas dicas Rafaela. Fantástico e riquíssimo este artigo. Parabéns e obrigado por compartilhar essas dicas.
Olá Rodrigo,
Essas dicas são essenciais para a segurança do WordPress. Fico feliz em compartilhar essas informações e ajudar a manter uma rede mais segura.
😀
Rafaela,
sensacional, uma verdadeira aula de segurança para o WordPress.
Uso alguns desses e uso sempre o akismet contra spam posso dizer que já evitou vários problemas e a minha hospedagem também ajuda com a segurança.