Segurança no wordpress

1 – ATUALIZE SEMPRE SUA VERSÃO DA PLATAFORMA WORDPRESS E PLUGINS UTILIZADOS.

A atualização da plataforma wordpress e a dos plugins utilizados é essencial, pois em quase todas elas existem correções de segurança. Fique atento com as atualizações (é fácil, rápido e automático) assim que forem liberadas e não corra o risco de se manter com uma falha de segurança.

2 – VERIFIQUE OS PLUGINS QUE ESTÁ INSTALANDO EM SUA PLATAFORMA

Procure sempre verificar se o plugin desejado está no repositório de plugins do próprio site da wordpress: http://wordpress.org/extend/plugins . Os plugins disponibilizados no repositório são verificados quanto a questão de segurança. Existem diversos sites que disponibilizam plugins na internet, porém eles podem estar com arquivos maliciosos que ao instalar em sua plataforma poderão danificá-la. LINK: http://wordpress.org/extend/plugins

3 – PLUGINS DE SEGURANÇA PARA A PLATAFORMA WORDPRESS

http://akismet.com/wordpress

Akismet – Plugin padrão na instalação do wordpress, basta ativá-lo e solicitar o código de verificação no site do plugin.

https://wordpress.org/plugins-wp/all-in-one-wp-security-and-firewall/

All In One WP Security & Firewall – Você pode configurar uma série de bloqueios de segurança, firewall, criar página em manutenção, limita o número de tentativas de login e coloca captcha em logins em sua instalação do WordPress. Plugin de ótimo rendimento e altamente recomendado!

4 – RETIRAR A VERSÃO DO SEU WORDPRESS DO ARQUIVO HEADER

Os temas padrão do WORDPRESS deixam uma metatag no código divulgando, para fins de estatística a versão você está utilizando do WP. Muitos temas também utilizam esta forma para deixar a informação visível, mas isso não é aconselhável. Ao sondar vulnerabilidades em seu sistema, o atacante pode utilizar a informação para definir técnicas de ataque, descobrir falhas de segurança, etc.

O código que divulga a versão está presente no arquivo header.php de seu TEMA (pasta – SUA_INSTALAÇÃO_WP/wp-content/themes/SEU_TEMA ….). A linha que você deve remover é a seguinte:

Esse script pode ser adicionado ao functions.php do seu tema ou do seu arquivo  functions.php do seu tema filho.

5 – NUNCA UTILIZAR O LOGIN PADRÃO DO WORDPRESS

Ao criar seu site/blog, o wordpress por padrão cria o seu usuário como “admin” que passa a ser o usuário com poderes plenos no blog, porém isso já é manjado por hackers que buscam ataques aos blog. Agora imagine ele tendo a conta do administrador do blog…. Controle total de suas informações. Portanto, ao fazer uma nova instalação da plataforma modifique o usuário administrador para um nome diferente do padrão e escolha uma senha confiável que não contenha seus dados, como nome do blog, nome de usuário, 12345, etc…

6 – BLOQUEAR O ACESSO A PASTA WP-CONTENT

Na pasta wp-content estão seus arquivos de temas e plugins instalados no WordPress. O acesso a essa pasta não deve ser direto, com exceção às imagens, javascript e CSS que possam ser utilizados pelo tema escolhido.

Acessos indevidos a esta pasta podem possibilitar ataques futuros, seja utilizando alguma vulnerabilidade de algum plugin ou tema instalado (o atacante vai saber que plugin você possui).

Mais uma vez, a solução vem da edição de seu arquivo .htaccess (não o principal, um outro, dentro da pasta wp-content), com a seguinte informação:

7 – MELHORE SUA CRIPTOGRAFIA

As mais recentes versões do WordPress possuem uma configuração para melhorar a criptografia dos cookies gravados nas máquinas dos usuários. Setar corretamente essa configuração, dificulta alguns tipos de ataques que utilizam essas informações.

1.Entre na página do gerador de chaves do WordPress ( https://api.wordpress.org/secret-key/1.1/salt/ )

2.Copie as 8 linhas geradas (elas são aleatórias e únicas. Se APERTAR F5 “refresh”, elas mudam);

3.Baixe para editar o seu arquivo wp-config.php e procure as linhas que possuem essas informações (AUTH_KEY, etc);

4.Substitua as 8 linhas pelas que você copiou do site gerador;

5.Grave o arquivo e substitua em seu servidor.

8 – COMO BLOQUEAR A INDEXAÇÃO DE ARQUIVOS DO WORDPRESS

Você pode impedir que mecanismos de busca façam indexação de suas pastas e arquivos do WordPress. Para isso, crie ou edite o arquivo robots.txt, e coloque este em sua pasta principal do site (“/”), adicionando a seguinte informação:

9 – PROTEJA O ARQUIVO “WP-CONFIG.PHP”

As vezes o seu servidor pode dar alguma pane temporária e com isso há possibilidade de expor o conteúdo de arquivos que deveriam ser executados. Para proteger que um arquivo importante, como o wp-config.php, que contém a senha do banco de dados e sua SECRET KEY, edite o arquivo .htaccess (da pasta principal) e adicione a informação abaixo:

10 – PREFIRA SSH OU SFTP AO INVÉS DE FTP

File Transfer Protocol é o protocolo padrão de comunicação de arquivos utilizado na Internet, porém não é o mais seguro, pois os dados trafegam pela rede sem criptografia e abertos. Se você estiver em uma conexão comprometida, sua senha pode ser capturada ou mesmo possibilitar uma alteração de dados durante as transferências.

Utilizando o SSH (login seguro remoto) e transferindo os arquivos via SCP (secure copy), você dificulta qualquer interceptação e alteração de seus dados. Da mesma forma, o protocolo SFTP (secure FTP), trafega os dados com criptografia, estabelecendo o mesmo padrão de transferências seguras.

WinSCP – link: http://winscp.net/eng/download.php

Deixe seu comentário abaixo

Loading Facebook Comments ...