Segurança para WordPress

De Wiki Hostnet
Ir para: navegação, pesquisa

Seguranca wp.png

O WordPress é um CMS cada vez mais utilizado no mundo, por vários motivos: é gratuito, flexível, open source e bastante completo.

Por ser bastante adotado, é um alvo muito evidente para ataques e descoberta de vulnerabilidades. É preciso estar atento para evitar problemas, hacking, defaces, etc.

Aqui vão algumas dicas muito úteis para ter uma instalação segura do WordPress em sua conta.


Atualize o WordPress

O sistema do WordPress e seus plugins sofrem atualizações que adicionam nova funcionalidade e também fecha brechas de seguranças que poderiam ser utilizados pelos invasores para ter controle do blog. Por isso é muito importante manter o blog atualizado de forma a evitar que eles se aproveitem das vulnerabilidades.
Os sites https://wordpress.org/ (oficial em inglês) ou https://br.wordpress.org/ (Versão para o Brasil) são fontes confiáveis para você baixar suas atualizações. Evite baixar em fontes desconhecidas;

Veja informações sobre a atualização no endereço: https://www.hostnet.com.br/wiki/index.php/Atualizando_a_vers%C3%A3o_do_WordPress


Plug-ins desnecessários / desatualizados

Se você não está usando algum plug-in, ou ele não possui atualização para a sua versão do WordPress, desabilite-o e delete sem pensar. Isso é de extrema importância, pois muitos hackers têm invadido blogs e sites WordPress através de vulnerabilidades conhecidas em plug-ins, principalmente os mais antigos e populares.

O plugin All in One SEO Pack por exemplo possui uma falha de segurança muito conhecida, clique AQUI para mais detalhes.


Permissão de escrita em diretórios

Geralmente usuários do Wordpress acreditam ser mais fácil aplicar permissão de escrita para todos os diretórios de uma única vez ou para a raíz do site, entretanto se esquecem ( ou não sabem ) que essa ação pode abrir vulnerabilidades para a gravação nos diretórios. Por isso, recomendamos que aplique permissão de escrita apenas para diretórios que realmente necessitam.


Usuário para administração

Na maioria dos blogs com WordPress o usuário padrão é o "admin", o que torna mais fácil a invasão por força bruta. Caso o seu usuário seja esse, recomendamos que altere para outro usuário menos sugestivo.
Para fazer isso crie um novo usuário e dê a ele a permissão de "Administrador". Em seguida, logue-se com este novo usuário e apague o usuário admin.
Para tornar o blog mais seguro, é recomendável que a senha seja forte, com duas ou mais palavras, números e caracteres especiais. Por exemplo *H0$tN3t*


Endereço de administração

Normalmente a administração do WordPress é feita pelo endereço site.com.br/wp-admin

Recomendamos que altere essa URL de administração, clique AQUI e veja como fazer isso.


Bloquear o endereço de administração por IP

Faça isso apenas caso seu IP seja fixo.

Crie um arquivo .htaccess dentro da pasta de administração do WordPress, normalmente a pasta de administração é a: wp-admin

Informe o código abaixo:

Order Deny,Allow
Deny from all
Allow from xx.xx.xx.xx

No lugar de xx.xx.xx.xx informe o seu IP.


Bloqueie o arquivo xmlrpc.php

Ultimamente têm aumentado o número de ataques ao arquivo xmlrpc.php, que é instalado por padrão por Sistemas de Gerenciamento de Conteúdo (CMS) como WordPress. O xmlrpc.php é uma API que permite que conteúdos sejam postados por meio de aplicativos remotos, incluindo o próprio app oficial do WordPress, por exemplo.

Caso o seu WordPress não necessite desta integração, recomendamos desativar o acesso externo à este arquivo.

Para efetuar esta configuração, edite o arquivo .htaccess e inclua a configuração abaixo:

<Files xmlrpc.php>
    order allow,deny
    deny from all
</Files>


Anti vírus

Mantenha seu sistema operacional atualizado, passe regulamente antivírus em sua máquina, e não salve sua senha em seu computador.


Veja também: