Sem categoria

Pesquisar no site...

Entre em Contato

Telefone » (48) 3025-3399
Telefone » (48) 4062-0124
Móvel » (48) 9600-6060 (TIM)
Móvel » (48) 9621-2006 (TIM)
MSN » suporte@dataspace.com.br
GTalk » suporte@dataspace.com.br

Assinar o Data News

Como Proteger Seu WordPress – WP

Recentemente alguns clientes tiverem problemas com invasões em seus scripts WP, porém a responsabilidade destas invasões na grande maioria dos casos não é do provedor de hospedagem e sim do próprio script WordPress. O WordPress é um dos melhores CMS do mundo, e um dos mais visados pelos hackers.

Selecionamos aqui, algumas dicas de como proteger o seu site, como medidas simples e altamente eficazes!

Na maioria das vezes que o WordPress é atualizado, é por causa de segurança. Todos os dias, hackers descobrem novas maneiras de invadir sistemas web, sendo então o nosso dever, proteger os nossos dados sigilosos…

Vamos as dicas:

1 – Permissão de Pastas e Arquivos

Acredito ser este um dos principais problemas de segurança do WordPress. Quando você instala o WordPress, ele vem por padrão com algumas permissões de pastas que podem causar problemas, como 777 ou 775. O ideal é, após instalar, definir permissões seguras em suas pastas e arquivos, para impedir que, usuários maliciosos injetem exploits em sua hospedagem. Segue as permissões adequadas:

  • .htaccess (644)
  • wp-config.php (644)
  • wp-admin (755)
  • wp-content (755)
  • plugins (755)
  • themes (444) ou (555)
  • upgrade (755)
  • uploads (755)
  • wp-includes (755)

Lembrando que, ao aplicar a permissão correta a pasta, aplique também as sub-pastas e todos os seus arquivos.

 

2 – Protega o seu arquivo wp-config.php e .htaccess

Este arquivo contém o login e senha do seu banco de dados, se algum hacker puder de alguma forma acessá-lo, ele terá acesso irrestrito ao seu site, podendo simplesmente deletar tudo. Além de definirmos uma permissão segura para este arquivo (644), devemos bloquear o acesso dele através da URL do site, via .htaccess.

Crie um arquivo chamado .htaccess na raiz da sua hospedagem, caso ainda não houver um, e insira a seguinte código:

<Files ~ "^\.(htaccess)$">
deny from all
</Files>
<files wp-config.php>
order allow,deny
deny from all
</files>
.

Com estes códigos, o acesso ao .htaccess e wp-config.php serão permitidos apenas ao seu site, qualquer usuário que acessar pela URL não irá conseguir fazer nada…

 

3 – Configuração Correta do wp-config.php

Assim que você instala o WordPress, é necessário reconfigurar o arquivo wp-config.php com algumas medidas de segurança. Observem a imagem abaixo:

configuracao seguran%C3%A7a wordpress wp config.php Como Proteger Seu Wordpress WP

Devemos sempre, alterar as chaves únicas de autenticação (marcado em azul), e mudar o prefixo das tabelas (marcado em vermelho). No caso das chaves únicas de autenticação, por padrão, o WordPress vem conforme a imagem, sem definir nenhuma chave. Você deve então, inserir ali alguma frase qualquer, o que representa uma espécie de senha secundária.

Caso queira, gere automaticamente estas senhas aqui: https://api.wordpress.org/secret-key/1.1/salt/

No caso do prefixo, devemos mudar para qualquer outro prefixo, menos o padrão. Assim, dificultaremos a ação de um hacker, caso o mesmo tente, por exemplo, o uso de SQl Injection em seu site.

 

4 – Senhas do WordPress

Já é clichê, mas temos que falar:

  1. Use sempre senhas seguras para o acesso ao banco de dados
  2. Use sempre senhas seguras para o admin do WordPress.
  3. Nunca use uma senha igual a de outro site (mesma senha do orkut, twtter, etc), pois se algum dia aquele site for hackeado, a sua senha estará em mãos maliciosas.
  4. Nunca salve a sua senha em lugares públicos, como lanhouses.

Caso queira gerar uma senha segura, acesse este site para gerar senhas seguras aleatórias: http://www.generate-password.com

 

5 – Mantenha SEMPRE seu WordPress Atualizado

Sempre mantenha o WordPress atualizado, pois quando os desenvolvedores lançam uma nova versão, geralmente é para corrigir problemas relacionados a segurança.

Você pode fazer isso diretamente pelo seu painel, basta ir em Painel > Atualizações.

 

6 – Plug-ins Desnecessários / Desatualizados

Se não está usando algum plug-in, ou ele não possui atualização para a sua versão do WordPress, desabilite e delete. Isso é importante porque, muitos hackers tem invadido blogs e sites WordPress através de vulnerabilidades conhecidas nos plug-ins do site.

 

7 – Bloquear Certas Pastas de Aparecem no Google

É fato hoje que o Google é uma ferramenta fundamental pra todo mundo que navega pelos mares da Internet, entretanto, nem tudo que aparece por lá é útil pra gente. No caso do WordPress, devemos impedir que o Google indexe páginas de administradores, plug-ins, uploads e etc. Para isso, basta criar (se ainda não existir) um arquivo chamado robots.txt na raiz da hospedagem, e adicionar nele a seguinte regra:

Disallow: / wp-*
.
.

8 – Mantenha Sempre um Backup Atualizado do seu Banco de Dados

Se mesmo com estas dicas você for invadido, e o hacker decidir apagar tudo… Basta ir lá e restaurar tudo. Para isso, use o plug-in WordPress Database Backup

 

9 – Bloqueie a Listagem de Arquivos em Suas Pastas

Alguns servidores por padrão, quando não encontram um arquivo index na pasta, listam todo o seu conteúdo. Quando um hacker tem acesso a listagem de arquivos, pode a partir dai, ver quais plug-ins você tem instalado, qual tema, enfim… Para bloquear, basta adicionar a seguinte regra ao seu arquivo .htaccess:

Options All -Indexes
.
.

10 – Desabilite o Registro de Novos Usuários

Desta forma, você impede o acesso ao seu painel administrativo por qualquer um. Para desabilitar, vá em Geral e desmarque a Opção: Qualquer pessoa pode se registrar, ou simplesmente delete o arquivo wp-register.php

 

11 – Impeça Múltiplas Tentativas de Login

Hackers muitas vezes invadem sistemas com o uso de softwares de brute force, que tentam descobrir a senha com milhões de combinações diferentes. Para impedir que alguém tente se logar “a força” em seu painel, use o plug-in Login LockDown. Com este plug-in, é possível determinar quantas tentativas máximas de login alguém poderá ter, e o tempo que ele deverá esperar para tentar se logar novamente.

 

12 – Guarde suas Senhas em Locais Seguros

De nada adianta todas estas dicas, se algum hacker invadir o seu computador e descobrir a senha de acesso FTP da sua hospedagem. Portanto, salve as suas senhas em um lugar que ninguém irá encontrar, de preferência nem deixe salvo no computador. Escreva num papel, e esconda embaixo do colchão… icon wink Como Proteger Seu Wordpress WP

 

13 – Plug-in para Segurança no WordPress

Recomendamos a instalação do plug-in WP Security Scan e WordPress Firewall 2. Eles tem a finalidade de encontrar vulnerabilidades e as corrigir, quando possivel e proteger de possíveis ações hackers de SQL Injection. Indispensável.

 

14 – Não mostre a Versão do WP

Edite sua página header.php do template em uso e retire a linha: <meta name=”generator” content=”WordPress <?php bloginfo(‘version’); ?>” />