O site Smashing Magazine fez uma recopilação de 10 passos com os que podemos proteger melhor nosso painel de administração do WordPress.
1. Mudar o nome da pasta do seu WordPress.
Desde da versão 2.6 é possível mudar a pasta wp-content/
de WordPress a outra rota, fazendo mais dificil ao localização do mesmo, mas wp-admin/
(o lugar onde se encontra o painel administrador) não é possível.
Quando descomprimimos o WordPress, aparece uma pasta com o nome wordpress/
, este diretório deveria ser renomeado sempre, o ideal seria algo mais oculto, e posteriormente podemos ajustar o novo nome no nosso arquivo wp-config.php
.
2. Exporar o arquivo wp-config.php
Podemos adicionar mais uma camada de segurança com algumas chaves personalizadas.
[sourcecode language=”php”]define(‘AUTH_KEY’, ‘aO@`@V. F&392KTGHV9+yL%!-Zx-B|>ujz@.SX=^MGE7f98;$`R^M(p97u+bm7Rw’);
define(‘SECURE_AUTH_KEY’, ‘&%O(s14++I|v;P>,[${Rq]nuk!4-MR$kmuU`P+#o%8`2n}Uy]?HRVG2J:RUD5TRU’);
define(‘LOGGED_IN_KEY’, ‘je!#rS1Ujn66YF*s+Xa#Z+#f|]P$qjJO|q|Zs^PV{+Y9Qb:|,7:2]`X7{‘);[/sourcecode]
Para obter estes nossas chaves personalizadas o pessoal do WordPress oferece uma url que gere automaticamente e aleatoriamente fazendo deixando mais segura as claves. Estas serão usadas a modo de hash para encriptar os passwords que usemos em nosso WordPress.
Simplesmente teremos que os copiar dentro do ficheiro wp-config.php
.
3. Mover o arquivo wp-config.php
É muito bom que nós podemos adicionar uma camada de segurança para o arquivo wp-config.php
, mas se esse arquivo não está devidamente protegido estamos perdidos. Podemos optar por movê-lo e colocá-lo em uma rota diferente da rota padrão.
4. Proteja o arquivo wp-config.php
Usando o .htaccess
do Apache podemos proteger o arquivo wp-config.php
adicionando 4 linhas no arquivos .htaccess
.
[sourcecode language=”php”]# protect wpconfig.php
Order deny,allow
deny from all
5. Apagar o usuários admin
Ao igual que em sistemas Unix, o usuário root(admin em nosso caso) não deveria usar-se para nada, exceto para configurações concretas. Mas para adicionar um graus mais de segurança apagá-lo poderia ajudar-nos a proteger nosso WordPress. Para isso previamente criaremos um usuário que assumirá os papéis do administrador, dessa forma poderemos seguir tendo um usuário administrador que gira as coisas que os usuários editores e/ou autores não podem.
6. Use senhas seguras
Há que pensar em senhas mais complicadas e que sejam dificiles de obter reunindo nossa informação. O usar carácteres especiais tais como acentos, %, $,?,… ajudará a complicar a possibilidade de obtê-la mediante força bruta.
Agora com as versões atuais de WordPress dispomos de uma funcionalidade que informa da complexidade da nossa senha, desta forma podemos assegurar-nos de que seja complicada e dificil de obter.
7. Protejer o diretório wp-admin/
À espera de que seja possível mover a pasta wp-admin/
fora do diretório público podemos proteger o acesso a dito diretório com um sistema baseado em .htaccess
+ .htpasswd
. Trata-se de definir um usuário e um password para aceder a este diretório, podemos usar ferramentas que nos geram o conteúdo que deveria ir dentro do arquivo .htpasswd
.
8. Elimina informação da tela de login
A tela de Login é a porta ao painel de administração e eliminando informação em caso de erro evitamos dar pistas sobre os dados que se introduziram.
Para isso podemos adicionar isto ao arquivo functions.php
do nosso theme.
[sourcecode language=”php”]add_filter(‘login_errors’,create_function(‘$a’, “return null;”));[/sourcecode]
Isto esvaziará a saída de erros no processo de login.
9. Limitar o número de tentativas login
Para evitar que se possam provar muitas vezes e muitas combinações na nossa tela login WordPress nos oferece a possibilidade de definir o número de tentativas de login possíveis mediante o uso de um destes plugins:
- Login LockDown
- Limit Login Attempts
10. Fique atualizado
Importantísimo, sempre estar atualizado, não só à versão de WordPress sinó aos plugins. Sempre saem versões melhoradas e mais seguras, estar à última te pode ajudar a solver um pequeno bug que não sabias que um plugin estava provocando.
Há muitas coisas envolvidas num WordPress (apache, php, mysql,…) que podem estar comprometidas por um bug, e é muito dificil estar sempre ao dia para evitar possíveis problemas. 😀
via anieto2k.com
valeu! a maioria já implementei mas algumas das dicas ainda não conhecia.
opa d nada ! tinha alguns que eu nao sabia tb.
Pode explicar melhor como alterar o diretório wp-content?
onde você tem problemas?
Obrigado pelas dicas! Alyen, estou com uma ideia para implementar no wp mas ainda não tenho o conhecimento necessário para tal, acredito que seria algo bem útil para o wp e que ainda não encontrei algo do tipo. Teria como me dar uma ajuda?
Abraço
talvez sim, me envia uma mensagem no twitter @alyenstudio .