Dicas de segurança para o WordPress [1]

O WordPress, CMS conhecido mundialmente pelo seu uso e, principalmente, pelo envolvimento de sua comunidade no desenvolvimento de um sistema seguro, também está suscetível a exploits, que muitas vezes são sabidamente direcionados aos seus plugins ou até mesmo, de forma mais ousada, ao seu arquivo principal de configurações, o wp-config.php.

Veja algumas dicas de como diminuir possíveis invasões e evitar o problema de ter todo o seu conteúdo apagado ou mesmo violado por terceiros indesejados.

1- Permissões do wp-config.php

A minha recomendação é que seja feito o uso padrão das permissões “755? para pastas e “644? para arquivos, no entanto há uma ressalva: Os arquivos de configuração. Tanto o WordPress, quanto o Joomla ou qualquer outro CMS de grande porte possuem arquivos responsáveis pela configuração do sistema. A nossa experiência diz que, para estes casos, mesmos arquivos de configuração com estas permissões (644) também estão vulneráveis e podem ter, inclusive, todo o seu conteúdo visualizado.

Para evitar este problema, determine a permissão “600? para o arquivo wp-config.php. Lembre-se que esta alteração pode ser feita tanto pelo painel de controle do seu plano de hospedagem/revenda, quanto através do seu sistema de FTP favorito (como o FileZilla, por exemplo).

2- Medida não usual, mas funcional – Proteção do wp-admin

Você pode adicionar uma dupla camada de proteção à pasta WP-Admin através da ferramenta de criação de senhas para pastas disponível no cPanel. É necessário lembrar que você deve criar uma senha totalmente diferente daquela utilizada no seu usuário administrativo do WordPress.

3- Evite que o Google ou outros buscadores indexem pastas indesejadas

O poder dos buscadores é tão forte que, se você deixar, eles indexarão as suas pastas internas também! Para evitar que isto aconteça, adicione a seguinte linha ao seu arquivo “robots.txt” (se não tiver, crie um):

1 Disallow: /wp-admin

4- Esconda as mensagens de erro da página de login

Além de esconder as mensagens de erro do WP-Admin, estipule um número máximo de tentativas a serem feitas. Um excelente plugin que pode te ajudar bem nesta tarefa é o Login Lockdown.

5- Mantenha as atualizações em dia

É muito, mas muito importante mesmo manter as suas atualizações em dia. Não apenas as atualizações de versão do WordPress, como também os plugins e temas (se você utiliza temas de terceiros ou gratuitos).

Tome cuidado com o download de plugins e temas que não estão diretamente hospedados no repositório do WordPress e escolha sempre os que já foram baixados milhares de vezes, pois já houve casos com vulnerabilidades baixadas diretamente do repositório oficial do WordPress.

6- Senhas seguras e backup constante

Faça sempre com que suas senhas administrativas atinjam o critério máximo de segurança, sempre que possível na marca de 100% (e cuide para não deixá-las anotadas em algum lugar de acesso público). As senhas inseguras podem ser facilmente descobertas com sistemas de Força Bruta.

Sobre o backup, é importante mantê-lo sempre atualizado, seja do Banco de Dados (o coração do seu WordPress), quanto do seu tema. Se possível, faça uma rotina de backups e os mantenha sempre seguros em seu computador.

7- Impossibilite o registro de novos usuários

Se você não tem a necessidade de ter os seus usuários registrados, desabilite a função de novos registros através do painel de controle, em: “Configurações” > “Geral“. Desmarque a opção “Qualquer pessoa pode se registrar”.

Estas são algumas dicas básicas de proteção do seu WordPress, mas são dezenas ou até mesmo centenas de possibilidades.

A seguir a segunda parte do artigo.>

Não há comentários. Seja o primeiro a comentar.

Assinar feed dos Comentários

Deixe seu Comentário