Categorias
Tutoriais Web WordPress

Dicas de segurança para sites WordPress

Se fala muito sobre as vulnerabilidade de segurança no WordPress. Os problemas de segurança nem sempre são problemas da Aplicação, mas maior parte vem da forma em que ele é utilizado. Não sou um perito em segurança mas nesse post vou listar algumas dicas básicas de segurança para o seu site WordPress.

1 – Tenha uma hospedagem decente, antes de subir seu site procure saber se a hospedagem realiza backup do seu site e de quanto em quanto tempo isso é feito. Se a hospedagem fornece SFTP ou SSL* é plus considerável para sites com bastante visitação.

2 – Não dependa 100% da hospedagem também realize backups temporários do seu site.

3 – Manter o wordpress sempre atualizado (incluindo plugins), cada atualização do wordpress sempre eles corrigem algumas brechas, então mantenha seu WordPress atualizado.

4 – Manter sua máquina limpa(óbvio). Invadir a maquina de um desenvolvedor WordPress pode gerar dor de cabeça para vários sites.

5 – Eliminar os plugins que não estão sendo utilizados, feche a maior parte de janelas possívies para invasão.

6 – Não exibir a versão do seu WordPress, muitos temas informam qual a versão do WordPress em uma tag meta no header.php (inspecione o código do seu site e procure essa meta no head). Cade versão do WordPress tem uma vulnerabilidade específica então isso pode ser uma atalho para o hacker

7 – Evitar de subir o site com o usuário admin. (Se o hacker sabe do seu usuário ele já tem meio caminho andado para invadir seu site)

8 – Nunca usar senhas fáceis, tente usar letras maiúsculas/minúsculas, caracteres especiais e números. (“admin”, “admin123”, “nomedosite123”, “adminadmin”… not!)

9 – Não usar mesma senha para admin do wordpress, o admin da hospedagem e o admin do banco de dados. “O camarada descobriu uma senha ferrou tudo brother!”

10 – Mudar o prefixo do banco de dados ”wp_” (essa opção você seleciona na instalação ou no wp-config)

11 – Nunca usar Permissões 777 para todos os arquivos, pode usar um esquema simples para permissões: 755 para pastas e 644 para arquivos

12 – Mudar o local do wp-config.php você pode mover o arquivo wp-config.php para o diretório logo acima da sua instalação do WordPress, ele será reconhecido automaticamente pelo WordPress. Mas cuidado o wp-config.php poderá ficar apenas UM nível acima da instalação do WordPress.

13 – Bloquear via .htaccess** o acesso ao wp-config.php com o seguinto código :


order allow,deny
deny from all

14 – Configurar os mecanismos de busca para não varrer as pastas de adminstração do wordpress com o robots.txt*** adicionando o código:

Disallow:/wp-*

15 – Desabilitar multiplas tentativas de Login com o plugin login lockdown, vou falar dele a seguir quando for listar alguns plugins.

16 – Não informar que informação está errada na tela de login, se alguém tentar adivinhar a senha do seu site, podemos retirar a mensagem “user inválido” ou “senha inválida”, isso dificulta a vida de nosso invasor. Para aplicar essa ação adicionamos o seguinte filtro no functions.php do seu tema:

add_filter('login_errors',create_function('$a','returnnull;'));

17 – Instalar um plugin anti-spam, não suba seu site sem o http://akismet.com/ ou plugin equivalente. Não é bem uma invasão mas é possível fazer um ataque de estress sobre o servidor. Como funciona? O hacker usa várias máquinas para enviar comentários para o seu site, com um número muito alto de requisições por um determinado tempo ele consegue derrubar seu servidor.

Links complementares

*criptografia com ssl : http://codex.wordpress.org/Administration_Over_SSL
** Bloqueando acesso a pastas ou diretorios com htaccess : http://www.deivison.com.br/blog/2012/01/27/bloqueando-acesso-a-pasta-por-htpass-e-htaccess/
*** “O que é o robots.txt ?” : http://www.seomarketing.com.br/robots.txt.html
Verificação de segurança do seu site : http://sitecheck.sucuri.net/scanner/

Plugins

Abaixo vou listar alguns plugins que vão aplicar alguns dos conceitos citados acima além de outras funcionalidades.

BulletProof Security – plugin que realiza configurações de segurança com o .htaccess em vários diretórios. Realiza um scan de segurança para as permissões das pastas. Link : http://wordpress.org/extend/plugins/bulletproof-security/

WordPressSecurityScan – Plugin que busca falhas no seu site wordpress, senhas fracas, permissões, meta contendo versão do wordpress e códigos escondidos. link : http://wordpress.org/extend/plugins/wp-security-scan/

Secure WordPress – Esconde a mensagem de login error, adiciona index.php para para todas as pastas que não a possuem evitando que algumas pastas quando acessadas listem os arquivos. Link : http://wordpress.org/extend/plugins/secure-wordpress/

Exploit Scanner – Realizar uma varredura por arquivos, códigos ou informações no banco dados potencialmente maliciosas(não remove a informação apenas detecta). Link : http://wordpress.org/extend/plugins/exploit-scanner/

Login lockdown plugin – Bloqueia um usuário(por IP) caso tente fazer várias tentativas de login por números de tentativas em um intervalo. Link : http://wordpress.org/extend/plugins/login-lockdown/

Fast Secure Contact Form – Uma alternativa para formulário de contato com alguns ajustes de segurança. Link : http://wordpress.org/extend/plugins/si-contact-form/

Referências :

http://codex.wordpress.org/pt-br:Blindando_o_WordPress
http://codex.wordpress.org/pt-br:Site_Invadido
http://blog.sucuri.net/2012/04/lockdown-wordpress-a-security-webinar-with-dre-armeda.html
http://www.slideshare.net/williamsba/wordpress-security-from-wordcamp-nyc-2012
http://www.slideshare.net/flavioaugustosilveira/por-um-wordpress-mais-seguro-13354465

Categorias
Eventos Web WordPress

Aberta as inscrições do Wordcamp São Paulo 2012

Olá pessoal anteriormente tinha comentado sobre o evento Wordpcamp São Paulo, que acontece 25 de agosto de 2012. Uma boa notícia para quem está interessado em participar, as inscrições estão abertas e o melhor de tudo por apenas R$30,00 reais. Falo “apenas” não por estar dando uma de “locutor das Casas Bahia”, mas pelo fato de acompanhar a inflação de alguns eventos em São Paulo, vejo eventos de um dia para developers por R$ 250 a R$ 450.

No caso do wordcamp é um evento sem fins lucrativos com o objetivo de unir a comidade. Então está ai a oportunidade de atualizar seus conhecimentos e conhecer novos profissionais da área. O evento acontece em uma região central de São Paulo, na Faculdade de Ciências Exatas e Tecnologia da PUC SP, no Campus Consolação, localizado na Rua Marquês de Paranaguá, 111.


Exibir mapa ampliado

A inscrição você pode realizar no link : http://saopaulo.wp-brasil.org/inscricao/

A organização montou um FAQ com algumas perguntas básicas sobre evento : http://2012.saopaulo.wordcamp.org/f-a-q/

Com o andar da carruagem vou mandando mais posts sobre o evento.

Categorias
Eventos Web WordPress

WordCamp SP 2012 confirmado

Pra mim umas das grandes dificuldades é achar eventos de específicos de WordPress, quando acho ou estão com inscrições esgotadas ou já passaram.

Mais ai vem uma boa notícia para quem é de São Paulo foi confirmado que haverá o WordCamp SP. Será Realizado no dia 25 de agosto de 2012 na Faculdade de Ciências Exatas e Tecnologia da PUC SP, no Campus Consolação, localizado na Rua Marquês de Paranaguá, 111, região central.

Quem não conhece o WordCamp é um evento realizado pela comunidade do WordPress ao redor do mundo, o primeiro wordcamp foi realizado em julho de 2006 em São Francisco. Se você quer saber mais sobre o wordcamp tem o site que centraliza todos os eventos realizados no mundo : http://central.wordcamp.org/

Temos 2 meses ai do evento para quem é de for se programar. Os palestrantes ainda não foram definidos. Quando tiver alguma info vou divulgar aqui no blog.

As inscrições serão iniciadas no dia 10 de julho. A organização do evento avisa que não será cobrado taxas abusivas pois o evento não tem fins lucrativos.

Mais informações em : http://2012.saopaulo.wordcamp.org/

Categorias
Web WordPress

Versão 3.4 do wordpress

13 de junho saiu a versão 3.4 do WordPress chamada de Green, como de costume as versões levam nomes de grandes nomes do Jazz, dessa vez o homenageado foi o guitarrista Grant Green, a nova versão veio com algumas novidades que vou listar abaixo:

Edição de temas ao vivo.

Uma das funcionalidades mais comentadas, nessa nova versão é a possibilidade editar algumas propriedades como imagem do header, título do site, cor ou imagem de background, página principal e o menu do site. E o melhor é que o wordpress fornece um preview antes de aplicar as mudanças. Para acessar essa opção entre em aparência ao lado do screenshot do tema e abaixo da sua descrição, vai aparecer a opção personalizar, claro se o tema tiver suporte para essa opção.

Embed de Tweets

Esse novo recurso permite o usuário embedar tweets apenas passando a url dentro do editor visual do post. Este recurso já existia para outros tipos de links como do youtube e do flickr. Esse embed automático era habilitado no painel de administração em Configurações > Mídia:

Se você está no editor html basta passar a url dentro do shortcode embed como no código abaixo :

O resultado será o seguinte :

Além dessas questões visuais, foram feitas melhorias de desempenho no WP_Query.

Todas as melhorias vocês podem conferir aqui: http://codex.wordpress.org/Version_3.4

Categorias
Tutoriais Web WordPress

Como Traduzir o wordpress para versão pt_BR

Olá pessoal, este tutorial é simples e vai para aquelas pessoas que instalaram a versão inglês do wordpress e querem traduzir o painel. Claro tem a versão já em pt_BR pode instalar direto, mas por algum motivo você tem a versão em inglês, calma não precisa reinstalar tudo, apenas adicionar o arquivo de tradução e configurar o wordpress, então vamos lá.

Primeiro você precisa baixar o arquivo de tradução com a extensão “.mo” e no link a seguir você tem informações sobre as traduções :

http://codex.wordpress.org/WordPress_in_Your_Language

Uma lista meio extensa procure por pt_BR ou acesse o svn das traduções:

http://svn.automattic.com/wordpress-i18n/pt_BR/tags/

Se você não trabalha com svn, procure pelo arquivo “pt_BR.mo” no caso da verssão 3.2 está em “/3.3.2/messages” clique no link do arquivo com o botão direto e escolha “salvar link como” e baixe a tradução.

No link acima você vai encontrar as traduções das últimas versões, baixe a tradução referente a versão do seu wordpress. Para saber qual é a versão do seu wordpress pode visualizar no painel de administração de seu wordpress como na imagem abaixo :

Depois que você baixou o seu arquivo de tradução.

1. Crie uma pasta “languages” dentro de sua pasta “wp-content”. Como na imagem a seguir :

2. Adicione os arquivos que você baixou na pasta “languages”
3. Edite seu arquivo wp-cofig.php, procure a linha de comando que contém o seguinte comando :

define ('WPLANG', '');

Modifique para :

define ('WPLANG', 'pt_BR');

Se tudo der certo seu wordpress será traduzido. Se o tema que você usa tem suporte a multi idioma algumas partes do tema serão traduzidos assim como informações como de data exemplo os meses.