O WordPress é um CMS cada vez mais utilizado no mundo, por vários motivos: é gratuito, flexível, open source e bastante completo.

Por ser bastante adotado, é um alvo muito evidente para ataques e descoberta de vulnerabilidades. É preciso estar atento para evitar problemas, hacking, defaces, etc.

Aqui vão algumas dicas muito úteis para ter uma instalação segura do WordPress em sua conta.

Atualize o WordPress

O sistema do WordPress e seus plugins sofrem atualizações que adicionam nova funcionalidade e também fecha brechas de seguranças que poderiam ser utilizados pelos invasores para ter controle do blog. Por isso é muito importante manter o blog atualizado de forma a evitar que eles se aproveitem das vulnerabilidades.
Os sites https://wordpress.org/ (oficial em inglês) ou https://br.wordpress.org/ (Versão para o Brasil) são fontes confiáveis para você baixar suas atualizações. Evite baixar em fontes desconhecidas;

Veja informações sobre a atualização clicando aqui.

Plug-ins desnecessários / desatualizados

Se você não está usando algum plug-in, ou ele não possui atualização para a sua versão do WordPress, desabilite-o e delete sem pensar. Isso é de extrema importância, pois muitos hackers têm invadido blogs e sites WordPress através de vulnerabilidades conhecidas em plug-ins, principalmente os mais antigos e populares.

Permissão de escrita em diretórios

Geralmente usuários do WordPress acreditam ser mais fácil aplicar permissão de escrita para todos os diretórios de uma única vez ou para a raíz do site, entretanto se esquecem ( ou não sabem ) que essa ação pode abrir vulnerabilidades para a gravação nos diretórios. Por isso, recomendamos que aplique permissão de escrita apenas para diretórios que realmente necessitam.

Usuário para administração

Na maioria dos blogs com WordPress o usuário padrão é o “admin”, o que torna mais fácil a invasão por força bruta. Caso o seu usuário seja esse, recomendamos que altere para outro usuário menos sugestivo.
Para fazer isso crie um novo usuário e dê a ele a permissão de “Administrador”. Em seguida, logue-se com este novo usuário e apague o usuário admin.
Para tornar o blog mais seguro, é recomendável que a senha seja forte, com duas ou mais palavras, números e caracteres especiais. Por exemplo *H0$tN3t*

Endereço de administração

Normalmente a administração do WordPress é feita pelo endereço site.com.br/wp-admin

Recomendamos que altere essa URL de administração, clique AQUI e veja como fazer isso.

Bloquear o endereço de administração por IP

Faça isso apenas caso seu IP seja fixo.

Crie um arquivo .htaccess dentro da pasta de administração do WordPress, normalmente a pasta de administração é a: wp-admin

Informe o código abaixo:

Order Deny,Allow
Deny from all
Allow from xx.xx.xx.xx

No lugar de xx.xx.xx.xx informe o seu IP.

Bloqueie o arquivo xmlrpc.php

Ultimamente têm aumentado o número de ataques ao arquivo xmlrpc.php, que é instalado por padrão por Sistemas de Gerenciamento de Conteúdo (CMS) como WordPress. O xmlrpc.php é uma API que permite que conteúdos sejam postados por meio de aplicativos remotos, incluindo o próprio app oficial do WordPress, por exemplo.

Caso o seu WordPress não necessite desta integração, recomendamos desativar o acesso externo à este arquivo.

Para efetuar esta configuração, edite o arquivo .htaccess e inclua a configuração abaixo:

<Files xmlrpc.php>
    order allow,deny
    deny from all
</Files>

Anti vírus

Mantenha seu sistema operacional atualizado, passe regulamente antivírus em sua máquina, e não salve sua senha em seu computador.

Páginas relacionadas: