O WordPress, CMS conhecido mundialmente pelo seu uso e, principalmente, pelo envolvimento de sua comunidade no desenvolvimento de um sistema seguro, também está suscetível a exploits, que muitas vezes são sabidamente direcionados aos seus plugins ou até mesmo, de forma mais ousada, ao seu arquivo principal de configurações, o wp-config.php.
Veja algumas dicas de como diminuir possíveis invasões e evitar o problema de ter todo o seu conteúdo apagado ou mesmo violado por terceiros indesejados.
1- Permissões do wp-config.php
A recomendação da EuroTI Host para todos os clientes é que seja feito o uso padrão das permissões “755″ para pastas e “644″ para arquivos, no entanto há uma ressalva: Os arquivos de configuração. Tanto o WordPress, quanto o Joomla ou qualquer outro CMS de grande porte possuem arquivos responsáveis pela configuração do sistema. A nossa experiência diz que, para estes casos, mesmos arquivos de configuração com estas permissões (644) também estão vulneráveis e podem ter, inclusive, todo o seu conteúdo visualizado.
Para evitar este problema, determine a permissão “600″ para o arquivo wp-config.php. Lembre-se que esta alteração pode ser feita tanto pelo painel de controle do seu plano de hospedagem/revenda da EuroTI Host, quanto através do seu sistema de FTP favorito (como o FileZilla, por exemplo).
2- Medida não usual, mas funcional – Proteção do wp-admin
Você pode adicionar uma dupla camada de proteção à pasta WP-Admin através da ferramenta de criação de senhas para pastas disponível no cPanel. É necessário lembrar que você deve criar uma senha totalmente diferente daquela utilizada no seu usuário administrativo do WordPress.
3- Evite que o Google ou outros buscadores indexem pastas indesejadas
O poder dos buscadores é tão forte que, se você deixar, eles indexarão as suas pastas internas também! Para evitar que isto aconteça, adicione a seguinte linha ao seu arquivo “robots.txt” (se não tiver, crie um):
1 | Disallow: /wp-admin |
4- Esconda as mensagens de erro da página de login
Além de esconder as mensagens de erro do WP-Admin, estipule um número máximo de tentativas a serem feitas. Um excelente plugin que pode te ajudar bem nesta tarefa é o Login Lockdown.
5- Mantenha as atualizações em dia
É muito, mas muito importante mesmo manter as suas atualizações em dia. Não apenas as atualizações de versão do WordPress, como também os plugins e temas (se você utiliza temas de terceiros ou gratuitos).
Tome cuidado com o download de plugins e temas que não estão diretamente hospedados no repositório do WordPress e escolha sempre os que já foram baixados milhares de vezes, pois já houve casos com vulnerabilidades baixadas diretamente do repositório oficial do WordPress.
6- Senhas seguras e backup constante
Faça sempre com que suas senhas administrativas atinjam o critério máximo de segurança, sempre que possível na marca de 100% (e cuide para não deixá-las anotadas em algum lugar de acesso público). As senhas inseguras podem ser facilmente descobertas com sistemas de Força Bruta.
Sobre o backup, é importante mantê-lo sempre atualizado, seja do Banco de Dados (o coração do seu WordPress), quanto do seu tema. Se possível, faça uma rotina de backups e os mantenha sempre seguros em seu computador.
7- Impossibilite o registro de novos usuários
Se você não tem a necessidade de ter os seus usuários registrados, desabilite a função de novos registros através do painel de controle, em: “Configurações” > “Geral“. Desmarque a opção “Qualquer pessoa pode se registrar”.
Estas são algumas dicas básicas de proteção do seu WordPress, mas são dezenas ou até mesmo centenas de possibilidades.