Se você não é blogueiro, tampouco sabe o que é wordpress, desconsidere o post. Caso contrário, leia com bastante atenção.

6 dicas bastante utéis para maior segurança de seu wordpress evitando futuras dores de cabeça.

Aqui vão algumas dicas de segurança para seu wordpress não virar uma vítima fácil de ataques e brechas de segurança.

1. Atualize sempre – sempre mantenha atualizados seus plugins. Ok, essa dica não é tão boa. Porém, muita gente não tem saco de atualizar seu wordpress e plugins para a versões mais recentes. E isso é, de fato, importante para sua segurança.

Como exemplo a nova versão 2.3.3, poucos ainda tiveram paciência pra modificar, porém, se você era usuário da versão 2.3.2, basta substituir o arquivo xmlrpc.php. Isso evitará que terceiros pudessem editem posts inseridos por usuários em seus blogs. Usa o WP-Forum? Desative e aguarde um pouco, ainda não há correção para um bug que está sendo explorado por hackers.

2. Esconda seus Plugins – muitos plugins vêm bugados e cheios de vulnerabilidades que podem ser exploradas podendo causar tremendos estragos, assim é importante esconder os plugins. Para fazer isto basta criar uma página html vazia, chama-la index.html e colocar dentro da pasta plugins (/wp-content/plugins/).

3. Esconda a versão de seu WordPress – no arquivo header.php há uma Meta Tag que informa a versão do WordPress. Isso é uma bela forma de um hacker pressumir que falhas seu wordpress possui. Assim, vá até o arquivo header.php e procure a linha:

<meta name="generator" content="WordPress <?php bloginfo('version');?>" />

Deletem então o trecho:

<?php bloginfo('version');?>

Ok, agora você evita que até o google lhe denuncie por usar uma versão obsoleta do WordPress, o que continua não sendo uma boa prática de segurança.

4. Proteja seu Login – Há um plugin chamado Login LockDown que registra o IP e hora de cada tentativa de login falha. Este plugin é extremamente útil e interessante. Por default (o que você pode modificar se necessário), caso alguém erre em 3 tentativas de login no período de 5 min este só poderá voltar a tentar logar sob mesmo IP dentro de uma hora.

E no que isso ajuda? Pois bem, normalmente a um hack tentar senhas no seu Wordpress ele não tentará manualmente, mas sim, utilizando uma antiga técnica chamada Brute Força (força bruta), através de um algoritmo o PC dele ficará tentando sequência infinitas de senhas até que seja quebrada sua senha. Ou seja, se você não colocar uma restrição para senhas erradas, será uma vítima fácil de qualquer invasão.

5. Proteja seu Wp-Admin - Tem IP dinâmico? Então não leia a dica. Só serve para quem tem IP fixo.
Como fazer? Basta colocar uma arquivo .htaccess dentro da pasta /wp-admin/ para bloquear o acesso de outros IPs que não o nosso.

O arquivo ficará assim:

AuthUserFile /dev/null

AuthGroupFile /dev/null
AuthName “Example Access Control”
AuthType Basic
order deny,allow deny from all
allow from xxx.xxx.xxx.xxx (seu IP nos xxx)
allow from xxx.xxx.xxx.xxx (seu IP nos xxx)

6. Esconda o WP- folders - Normalmente a Wp- folders fica bem visível para as engines de busca. Não há necessidade de ter todos os seus arquivos Wordpress indexados pelo Google, por isso é melhor para bloqueá-los no seu arquivo robots.txt. Adicione a linha a seguir à sua lista: Disallow: / wp-*

Algumas outras dicas em: VOMICAE

2 Comentários »