A segurança em seu blog é muito importante. Já falamos aqui algumas vezes sobre segurança e mais recentemente fizemos um post sobre 9 plugins de segurança para WordPress
Existem várias maneiras diferentes que você pode utilizar para maior proteção e segurança de seu blog e hoje falarei um pouco sobre algumas dicas e códigos que podem auxiliá-lo nesta tarefa.
Por favor, antes de começar, tenha certeza que possui um bakup de segurança antes de fazer qualquer alteração em seus arquivos. Uma modificação errada no arquivo “.htaccess”, por exemplo, pode fazer com que seu blog pare de funcionar completamente!
DICAS
Login
O padrão do WordPress é “admin”, que basicamente deixa o hacker precisando apenas se dedicar a descobrir sua senha. Não torne isso mais fácil para ele e mude também seu login!
Mantenha sua Instalação sempre Atualizada
Mantendo sua instalação WP atualizada, você garante que todos os últimos patches e correções estão instaladas, portanto qualquer exploração conhecidas não irá funcionar no seu blog. A atualização é muito rápida e simples, não deixe de fazer.
Excluir Arquivos
Parece simples, mas muitas pessoas deixam nos arquivos, um chamado README.html na pasta raiz, exclua-o!! O arquivo README.html tem o número da versão da sua instalação WordPress dentro.
Você pode excluir também o arquivo wp-admin/install.php pois só a necessidade dele na primeira instalação. Após a instalação do WordPress, tê-lo pode deixar seu blog vulnerável a ataques.
Use uma Senha Forte
Eu sei que algumas dessas dicas são óbvias para alguns, mas muitas pessoas ainda usam “password” ou “123456” como sua senha. Pense em algo forte, uma mistura de maiúsculas e minúsculas com alguns números.
CÓDIGOS
Proteja o arquivo wp-config.php
Seu arquivo wp-config. php contém os detalhes de banco de dados do blogs e outras informações sobre o seu blog que um hacker potencial gostaria de ver. Portanto vá ao arquivo .htaccess (na raiz) e adicionar:
order allow,deny
deny from all |
Bloqueie todos wp-“folders”
As pastas “wp-…” contêm vários elementos de informação sobre o seu blog, que você não quer que as pessoas vejam e certamente não querem bots de indexação na estrutura do arquivo. Até para evitar que isso aconteça, adicione ao seu arquivo robots.txt:
Disallow: /wp- |
Remova a Versão do WordPress
Já mencionei mais acima sobre o Readme, mas vale a pena mencionar novamente. Isto é diferente do trecho que está acima. O número da versão aparece também no feed RSS, para não aparecer mais adicione isso ao seu arquivo functions. php:
function no_generator() { return ''; } add_filter( 'the_generator', 'no_generator' ); |
Permita apenas o administrador acessar o endereço de IP
No arquivo .htaccess para acesso de seu endereço IP estático somente:
# my ip address order deny,allow allow from MY IP ADDRESS (replace with your IP address) deny from all |
Nota: se você tem um IP dinâmico isto pode ser um incômodo, pois você teria que manualmente alterar o IP via FTP cada vez que precisar acessar seu wp-admin.
Desabilitar Directory Browsing
Certos tipos de servidores permitem a navegação nos diretórios via navegador. Por razões de segurança, já que você não quer que ninguém seja capaz de acessar seus arquivos bastando um hack no navegador, adicione em seu arquivo . htaccess, o seguinte:
# disable directory browsing Options All –Indexes |
Proteger o seu site é importante independentemente de sua escolha de CMS e plugins. Muitas dessas dicas são óbvias, mas é importante tomar nota até por muitas vezes esquecermos coisas tão simples e implementar na sua instalação WordPress.
E suas dicas para segurança? Compartilhe conosco! Comente!
