Blog fellyph cintra - Dicas de seguranca para WordPress jpg

17 Dicas de segurança para WordPress

Se fala muito sobre segurança para WordPress, devido aos problemas de vulnerabilidade da plataforma, mas maior parte vem da forma em que ele é utilizado. Não sou um perito em segurança, mas nesse post listarei algumas dicas básicas de segurança para o seu site WordPress.

Gestão de segurança de Software

Antes de começarmos a falar sobre as dicas de segurança para WordPress, precisamos intender a importância de uma boa gestão de segurança de software. A maioria das falhas de segurança de WordPress estão relacionadas a falta de manutenção e a falta de cuidado com os dados de acesso.

A gestão de segurança do software é uma área da segurança da informação que se concentra na proteção dos dados e na disponibilidade dos sistemas de software. Em grandes empresas a gestão de segurança do software também envolve a definição de políticas e procedimentos para garantir a proteção dos dados, mas nesse caso indo para nível de criadores de conteúdo, devemos incluir regras na nossa rotina para manter a segurança da nossa aplicação WordPress.

Lista de dicas de segurança para WordPress

1 – Tenha uma hospedagem decente, antes de subir o seu site procure saber se a hospedagem realiza backup do seu site e de quanto em quanto tempo isso é feito. Se a hospedagem fornece SFTP ou SSL* é plus considerável para sites com bastante visitação.

2 – Não dependa 100% da hospedagem, também realize backups temporários do seu site.

3 – Manter o WordPress sempre atualizado (incluindo plugins), cada atualização do WordPress sempre eles corrigem algumas brechas, então mantenha o seu WordPress atualizado.

Vídeo com dicas de segurança para WordPress

4 – Manter a sua máquina limpa(óbvio). Invadir a máquina de um desenvolvedor WordPress pode gerar dor de cabeça para vários sites.

5 – Eliminar os plugins que não são utilizados, feche a maioria de janelas possíveis para invasão.

6 – Não exibir a versão do seu WordPress, muitos temas informam qual a versão do WordPress numa tag meta no header.php (inspecione o código do seu site e procure essa meta no head). Cada versão do WordPress tem uma vulnerabilidade específica, então isso pode ser um atalho para o hacker.

7 – Evitar subir o site com o usuário admin. (Se o hacker sabe do seu usuário ele já tem meio caminho andado para invadir o seu site)

8 – Nunca usar senhas fáceis, tente usar letras maiúsculas/minúsculas, caracteres especiais e números. (“admin”, “admin123”, “nomedosite123”, “adminadmin”… Não!)

9 – Não usar mesma senha para admin do WordPress, o admin da hospedagem e o admin do banco de dados. “O camarada descobriu uma senha, ferrou tudo brother!”

10 – Mudar o prefixo do banco de dados wp_ (essa opção você seleciona na instalação ou no wp-config).

11 – Nunca usar Permissões 777 para todos os arquivos, pode usar um esquema simples para permissões: 755 para pastas e 644 para arquivos

12 – Mudar o local do wp-config.php você pode mover o arquivo wp-config.php para o diretório logo acima da sua instalação do WordPress, ele será reconhecido automaticamente pelo WordPress. Mas cuidado o wp-config.php poderá ficar apenas UM nível acima da instalação do WordPress.

13 – Bloquear via .htaccess o acesso ao wp-config.php com o seguinte código:

order allow,deny
deny from allCode language: JavaScript (javascript)

14 – Configurar os mecanismos de busca para não varrer as pastas de administração do WordPress com o robots.txt adicionando o código:

Disallow:/wp-*

15 – Desabilitar múltiplas tentativas de Login com o plugin login lockdown, vou falar dele a seguir quando for listar alguns plugins.

16 – Não informar que informação está errada na tela de login, se alguém tentar adivinhar a senha do seu site, podemos retirar a mensagem “user inválido” ou “senha inválida”, isso dificulta a vida do nosso invasor. Para aplicar essa ação adicionamos o seguinte filtro no functions.php do seu tema:

add_filter('login_errors',create_function('$a','returnnull;'));
Code language: JavaScript (javascript)

17 – Instalar um plugin anti-spam, não suba o seu site sem o http://akismet.com/ ou plugin equivalente. Não é bem uma invasão, mas é possível fazer um ataque de stress sobre o servidor. Como funciona? O hacker usa várias máquinas para enviar comentários para o seu site, com um número muito alto de requisições por um determinado tempo ele consegue derrubar o seu servidor.

5 dicas práticas de segurança para WordPress
5 dicas práticas de segurança para WordPress

Lista de Plugins de segurança para WordPress

Blog fellyph cintra - lista de plugins de seguranca para wordpress

Plugin segurança WordPress é algo que pode ajudar você a implementar as dicas de segurança para WordPress de forma automática.

Sucuri Scanner – Um dos plugins mais populares de segurança para WordPress. Com especialização em WordPress Security. O plugin Sucuri Security WordPress é gratuito e vem com um pacote de segurança destinado a complementar as regras de segurança do WordPress. Atualmente, a propriedade deste plugin foi transferida para GoDaddy.

BulletProof Security – plugin que realiza configurações de segurança para WordPress com o .htaccess em vários diretórios. Realiza um scan de segurança para as permissões das pastas.

WordPress Security Scan – Se fala muito sobre segurança para WordPress, devido aos problemas de vulnerabilidade da plataforma, ele irá funcionar como um antivirus WordPress, mas maior parte vem da forma em que ele é utilizado. O Plugin de segurança para WordPress que busca falhas no seu site, senhas fracas, permissões, meta contendo versão do WordPress e códigos escondidos. http://wordpress.org/extend/plugins/wp-security-scan/

Wordfence Security – O Wordfence inclui um firewall de endpoint e um scanner de malware para WordPress. O plugin adiciona defesa contra ameaças com as mais regras de firewall WordPress, assinaturas de malware e endereços IP maliciosos necessários para manter o seu site seguro. Além disso, o plugin disponibilizar duplo fator de autenticação.

iThemes Security – Fornece uma experiência de configuração e integração. Projetada para permitir que qualquer pessoa proteja o seu site WordPress em menos de 10 minutos.

Resumindo tudo que aprendemos sobre segurança para WordPress

Falamos sobre vários aspectos de segurança para WordPress mas aqui fica um resumo do que cobrimos neste artigo.

Como proteger o WordPress?

Blog fellyph cintra - seguranca para wordpress

Cuidando dos dados de acesso da nossa aplicação, mantendo as nossas máquinas longe de vírus e atualizando a nossa aplicação WordPress.

Como faço para proteger o meu site?

Blog fellyph cintra - como proteger um site wordpress

Melhor forma de proteger um site WordPress é utilizando duplo fator de autenticação. Utilizando senhas fortes, não utilizando a mesma senha em outras aplicações e utilizando um plugin de segurança para WordPress.

Como colocar senha de acesso no WordPress?

Blog fellyph cintra - password para wordpress

Depende de como você quer definir o acesso da sua aplicação, mas caso queira restringir o acesso público do seu site WordPress, existem plugins para restringir o acesso público e disponibilizar um formulário de cadastros.

Qual o plugin que instalar para auxiliar na segurança do site?

Blog fellyph cintra - plugin de segunracao para WordPress

Existem uma infinidade de plugins de segurança, a melhor forma de avaliar um plugin é verificando a quantidade de downloads do plugin, a média de avaliações e a frequência de respostas no fórum de suporte do plugin.

Como adicionar autenticação de dois fatores?

Blog fellyph cintra - duplo fator de autenticacao

Para adicionar mais uma camada de segurança no WordPress com duplo fator de autenticação é necessário instalar um plugin que adicione o recurso. 2FAS e Wordfence Security adicionam este recurso.

Conclusão

WordPress evoluiu bastante com o passar dos anos, com várias melhorias de segurança. Mas segurança para WordPress é algo que não depende apenas do software, mas também a gestão de segurança é algo essencial para um site ou qualquer tipo de aplicação na web. Mantenha-se informado, o seu WordPress e plugins sempre atualizados e lembre-se de ter backups sempre com a última versão do seu site.

Para mais conteúdo relacionado a WordPress confira os posts relacionados ao tema:


Publicado

em

, ,

por

Comentários

5 respostas para “17 Dicas de segurança para WordPress”

  1. Avatar de Diego
    Diego

    Grande artigo, me atualizei por completo. Obrigado!

    1. Avatar de Fellyph

      Valeu Diogo espero ter ajudado.

  2. Avatar de alexissilva7

    Boas dicas Felipe. Parabéns!

  3. Avatar de alexissilva7

    Boas dicas Fellyph. Parabéns pelo post.

    1. Avatar de Fellyph

      Valeu Alex ! trampando com wp agora ?

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *