Dicas de Segurança para WordPress

Veja como melhorar a segurança do seu WordPress

WordPress, mundialmente conhecido como o melhor gerenciador de conteúdo (CMS), atualmente vem sendo mais utilizado e por vários fatores. Dentre eles, Vasta documentação, Plugins, Temas, Envolvimento da Comunidade, Open Source e o principal, é totalmente gratuito.

Por ser bastante utilizado e ser totalmente Open Source, este famoso CMS vem sendo alvo dos chamados hackers, que descobrem vulnerabilidades no código fonte e depois acabam atacando sites que utilizam o WordPress. Por isso, temos que estar sempre atentos a todas as atualizações.

Para evitar a indesejada surpresa de ter o seu site hackeado, estamos listando algumas formas comuns de vulnerabilidades e as providências que você pode tomar para manter o seu WordPress seguro.

1. Mantenha o WordPress atualizado.

Manter o seu WordPress atualizado deve ser uma das prioridades em sua lista de segurança.

Constantemente são disponibilizados novas versões do WordPress, não somente para trazer novidades, mas principalmente para correções de segurança.

2. Plugins e Temas desnecessários ou desatualizados.

Não basta atualizar somente o WordPress e deixar os Plugins e Temas desatualizados.

Na maioria das vezes, os hackers têm invadido o WordPress através de vulnerabilidades em plugins e temas desatualizados ou não confiáveis.

Para os plugins e temas que não estiverem sendo utilizados, o importante é que sejam totalmente excluídos.

3. Fazer Backup do Banco de Dados Regularmente.

É muito simples e rápido.

4. Retire a Meta Tag que mostra a Versão do seu WordPress.

Os temas padrão do WordPress tem uma meta tag no cabeçalho que revela a versão que está sendo utilizada. Muitos temas desenvolvidos deixam essa informação visível, mas isso não é aconselhável. Quando um hacker descobre alguma possível vulnerabilidade em uma determinada versão, eles começam a buscar as possíveis vitimas que estão utilizando a versão através desta meta tag.

O código da meta tag fica dentro do arquivo header.php do seu tema. A linha que você deve remover é igual ou similar a demonstrado abaixo:

<meta name="generator" content="WordPress <?php bloginfo('version');?>"/>

5. Exclusão de arquivos

Alguns arquivos do WordPress expõe a versão e detalhes da plataforma em uso e outros são necessários para o processo de instalação. Depois de instalado, ambos arquivos devem ser excluídos. A lista é pequena:

1. /wp­-config­-sample.php
2. /readme.html
3. /license.txt
4. /wp-­admin/install.php

6. Bloquear indexação do Google de pastas indesejadas

Você deve bloquear todas as pastas wp (wp-admin, wp-include e etc) de serem indexadas pelos mecanismos de busca (Google, Yahoo, Bing e etc). Crie um arquivo chamado “robots.txt” dentro da public_html, com o seguinte conteúdo.

Disallow: /wp-*
Disallow: /feed/
Disallow: /trackback

7. Não utilizar o login “Admin” padrão do WordPress

Ao fazer uma nova instalação do WordPress, automaticamente é criado um usuário chamado “admin” que passa a ser o usuário com poderes de Administrador. Como o login é padrão e quase ninguém o modifica, fica fácil escolher um login para tentar descobrir a senha.

Para evitar ou dificultar esse acesso não autorizado, mude o login do usuário principal para outro qualquer. Quanto mais difícil de ser adivinhado, melhor.
Você pode fazer esta mudança facilmente, criando um novo usuário com os mesmos poderes de administrador e depois simplesmente apagar o usuário admin.

8. Restringir acesso a pasta wp-content

Sua pasta wp-content contém seus arquivos de temas e plugins instalados no WordPress. O acesso a esta pasta não deve ser direto, com exceção às imagens, javascript e css que possam ser utilizados pelo seu tema escolhido.

Você deve criar um arquivo .htaccess dentro da pasta wp-content com o seguinte conteúdo:

Order Allow,Deny
Deny from all
<FilesMatch "\.(jpg|gif|png|js|css|txt)
quot; >
 Allow from all
 </FilesMatch>

9. Proteger o arquivo de configuração “wp-config.php”

O arquivo wp-­config.php é o maestro que rege uma aplicação em WordPress. Ele deve ser bem tratado e potencializado com constantes que elevam o nível de segurança. Alguns conselhos.

9.1  Manter o arquivo um nível acima do diretório público;

9.2  Usar a permissão 400 (readonly) ou 600 (para permissão de escrita);

9.3. No arquivo .htaccess fazer uso de diretiva para proteção;

<files wp­config.php>
order allow,deny
deny from all
</files>

9.4. Fazer uso de algumas constantes do WordPress;

define( 'DISALLOW_FILE_EDIT', true );
ou
define( 'DISALLOW_FILE_MODS', true );

OBS: Com a constante DISALLOW_FILE_EDIT não será possibilitado ao usuário editar os arquivos de plugins e temas através da interface do WordPress. Já a constante DISALLOW_FILE_MODS além da mesma funcionalidade evita a instalação e atualização do core, plugins e temas.

9.5. Considerar o uso e atualização das Chaves únicas de autenticação e salts.

10. Permissão dos arquivos e pastas.

As permissões corretas para os arquivos e pastas são:

• Todos os arquivos devem ter a permissão chmod 644 .
• Todas as pastas devem ter a permissão chmod 755.

11. Captcha wp-login.

Uma outra boa forma para tornar o sistema de login do teu blog mais seguro é usar este plugin “captcha-on-login“.

12. Ataque no WordPress através do arquivo xmlrpc.php.

Está ocorrendo muito ataque DDos neste arquivo. O aconselhável é realizar a configuração abaixo no arquivo .htaccess:

<Files "xmlrpc.php">
Order Allow,Deny
deny from all
</files>

Conclusão:

É importante lembrar que as dicas acima ajudam na segurança do seu WordPress, porém nada é 100% seguro.