Sem dúvida alguma o WordPress é o melhor e mais popular gerenciador de conteúdo para blogs, porém toda esta popularidade atrai uma enorme quantidade de hackers que aproveitam-se do fato que o sistema é open source para estudá-lo por completo e descobrir maneiras de invadir. Para evitar estes problemas vamos dar algumas dicas de segurança para você implementar no seu WordPress.
Todas as dicas que serão mostradas agora são para o WordPress 2.7 e superior. Se você ainda utiliza uma versão anterior está aí um bom motivo para atualizar.
Protegendo seu login
- 1. CHAP Secure Login – Este plugin utiliza o protocolo CHAP para criptografar sua senha e garantir mais segurança durante o sessão de acesso à administração. Não é necessário nenhuma configuração, basta fazer o upload do plugin e ativá-lo.
- 2. Stealth Login – Neste caso o plugin oculta a página de login default do WP (wp-login.php) permitindo que você configure uma nova URL para realizar o login. É uma boa forma para evitar que bots encontrem a página de login e tentem quebrar sua senha.
- 3. Login Lockdown – Já tinha comentado sobre este plugin aqui no pBlog, sua função é bloquear o login temporariamente se ocorrer diversas tentativas não bem sucedidas seguidas vezes em curto período de tempo.
- 4. AskApache Password Protect – Este plugin adiciona uma autenticação HTTP extra, garantindo uma camada a mais de proteção, assim você poderá adicionar uma nova senha. É importante verificar se o servidor onde seu blog está hospedado possui compatibilidade com a HTTP Basic Authentication ou HTTP Digest Authentication (o próprio plugin tem uma ferramenta de deste).
Protegendo seu Banco de Dados
- 5. WP-DB-Backup – Lembre-se sempre de fazer backup! O plugin WP-DB-Backup facilitará esta tarefa chata, podendo até enviar um backup do seu banco de dados todos os dias para seu email.
- 6. Trocando o prefixo das tabelas do Banco de Dados – Por default o WordPress adiciona o prefixo “wp” em todas as tabelas do BD. Para trocar este prefixo facilmente basta utilizar o plugin WP-Security-Scan.
- 7. Protegendo o arquivo wp-config.php – Este arquivo possui todas as informações do seu BD, protegê-lo do acesso público é uma importantíssimo. Para isso adicione o seguinte código ao seu arquivo .htaccess.
order allow,deny
deny from all
Protegendo as Páginas da Administração
- 8. Admin SSL – Plugi que força criptografia SSL em todas as páginas que exige senha, assim todas as informações transmitidas estarão cryptografadas.
- 9. Mude o seu Login!! – Utilizando o login “admin” que é adicionado por default durante a instalação, o hacker terá que quebrar apenas sua senha, pois já saberá o login. Para isso crie um novo usuário com poderes de administrador e apague o usuário “admin”.
Prevenindo que usuários vejam a estrutura de pastas do WP
- 10. Escondendo a Pasta wp-content – Nesta pasta estão armazenadas o seu tema, plugins e uploads, torná-la inacessível é uma boa opção. Uma maneira é criar um arquivo index.html em branco dentro da pasta ou criar um arquivo .htaccess também dentro da pasta wp-content com o seguinte código:
- 11. Bloquei as pasta do WP dos mecanismos de busca – Enquanto você deseja que os mecanismos de busca indexem todo o conteúdo do seu blog para trazer o máximo de visitantes possível, a última coisa que você gostaria é que os mesmos mecanismos de buscas tornasse público a estrutura de pastas do seu blog. Para evitar este problema adicione o seguinte código ao arquivo robot.txt:
Options All -Indexes
Disallow: /wp-*
Manutenção
- 12. WP Security Scan – Já citado anteriormente, este plugin procura por vulnerabilidades e fornece sugestões corretivas. É sempre bom executá-lo de tempos em tempos para que verifique eventuais problemas de segurança.
- 13. Troque sua senha com regularidade!!
- 14. Mantenha sempre atualizado seu WordPress e todos os plugins instalados.
- 15. Proteja sua conexão de FTP – Algo bastante comum no dia-a-dia de qualquer blogueiro, a transferência de arquivos via FTP pode expor seus arquivos durante o envio, o ideal é utilizar uma conexão SFTP (secure FTP). A grande maioria das hospedagem já possuem suporte a SFTP e apesar de sua configuração ser um pouco mais trabalhosa, você só precisará fazer uma vez. Aprenda a configurar com este tutorial.
Aplicando todas estas dicas em seu blog pode ter a certeza que ele estará 99,9% seguro!!
Fonte: MakeUseOf.com