Como proteger o Wordpress

Permissões em arquivos e pastas

Definir corretamente as permissões para as pastas e arquivos é necessário, pois assim você impede que os arquivos sejam acessados e as informações confidenciais sejam obtidas.




iThemes Security


Um dos melhores e mais usados plugins de segurança. Receba alertas via email, bloqueie IP's e tentativas frustradas de logon, bloqueie usuários, realize backup do banco de dados, altere o caminho de acesso a sua administração e muito mais.


Download: https://wordpress.org/plugins/better-wp-security/

Ou direto pelo WP.



Atualizações


Temas também podem ser a porta de entrada para as invasões, por isso é fundamental manter seu tema sempre atualizado, pois conforme as versões do WordPress são atualizadas, algumas funções podem se tornar obsoletas e outras podem ser adicionadas.


Atualizar a versão de seu WordPress é adicionar mais ao fator proteção, pois cada atualização traz novas implementações de segurança, além de trazer novas funcionalidades de edição e publicação. Não se esqueça de sempre fazer uma cópia de segurança de seu banco de dados e arquivos.



Boas práticas de login e senha


Por defeito, o nome de utilizador/login é “admin”… e é verdade que a quase totalidade dos donos de blogs deixam ficar esse nome de utilizador… e os hackers também sabem isso. Por isso, mude o seu nome de utilizador para algo diferente, e tenha o cuidado de não escolher palavras óbvias ou variações do seu nome ou iniciais.


Tenha uma senha forte Os hackers vão tentar descobrir a sua senha utilizando programas de “brute force”… basicamente, o programa vai correr uma biblioteca com várias palavras e combinações de palavras até encontrar a sua senha. Escolha por isso uma senha com combinações de números, símbolos e letras (maiúsculas e minúsculas).



Altere as WordPress Keys no wp-config.php


Visite o WordPress Key Generator para criar novas chaves de segurança.


Abra o seu ficheiro wp-config.php e encontre as seguintes linhas de código e substitua-as pelas novas que foram criadas.


define(‘AUTH_KEY’, ‘put your unique phrase here’);

define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);

define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);

define(‘NONCE_KEY’, ‘put your unique phrase here’);


https://api.wordpress.org/secret-key/1.1/



Robots.txt

Este ficheiro dá indicações aos spiders dos motores de busca (e outros programas que se fazem passar por eles), impedindo-os de acederem a determinadas partes do seu blog. Crie um ficheiro “robots.txt” no seu diretório base (root) e coloque o seguinte código dentro dele:


# user-agent: *

Disallow: /cgi-bin

Disallow: /wp-*



.htaccess

Vamos criar vários ficheiros .htaccess para oferecer mais uma camada de proteção ao blog.


Criar um ficheiro .htaccess no seu directório base (root)


Adicione o seguinte código ao ficheiro para o proteger:


# STRONG HTACCESS PROTECTION</code>

<Files ~ "^.*.([Hh][Tt][Aa])">

order allow,deny

deny from all

satisfy all

</Files>


Adicione o seguinte código para não permitir que os visitantes do blog possam navegar pelos diretórios do blog:


# disable directory browsing

Options All -Indexes


Adicione o seguinte código para proteger o ficheiro wp-config.php


# protect wp-config.php

<files wp-config.php>

Order deny,allow

Deny from all

</files>


Adicione o seguinte código para prevenir a injeção de código malicioso por sql e modificações não desejadas do _REQUEST e GLOBALS:


# protect from sql injection

Options +FollowSymLinks

RewriteEngine On

RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]

RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]

RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})

RewriteRule ^(.*)$ index.php [F,L]



Limite o Número de Tentativas de Login


Às vezes o hacker pode saber parte de sua senha (ou achar que sabe) ou desenvolver um script que irá ficar tentando combinações até o final dos tempos ou conseguir entrar. Neste caso, uma boa ideia é limitar o número de tentativas de logins.


Você pode fazer isso facilmente usando um plugin para WordPress chamado Limit Login Attempts. Este plugin irá bloquear o usuário se ele tentar a senha errada mais vezes do que o permitido. O invasor será bloqueado por um tempo específico. Até mesmo um minuto pode atrapalhar os planos do hacker de tentar entrar usando infinitas combinações, aumentando o tempo necessário de forma inviável.


Todos os parâmetros do plugin são plenamente configuráveis (número de tentativas, mensagem, tempo de bloqueio…).



Proteja com Senha o Diretório WP-Admin


O que pode ser melhor do que uma senha de acesso? Duas senhas de acesso. Pelo cPanel configurar usuario e senha para acessar pasta wp-admin.



Proteção Antivírus Para WordPress

Se um antivírus é bom para o seu computador, por que não para o seu WordPress? O plugin AntiVirus é uma solução inteligente e eficiente para proteger o seu site ou blog contra vulnerabilidades e injeções não autorizadas de conteúdo.


Este plugin analisa diariamente o conteúdo da sua instalação em busca de arquivos maliciosos ou corrompidos e avisa por email se encontrar algo fora do normal. Você também pode começar uma análise manual e obter resultados imediatos, quando quiser.


https://wordpress.org/plugins/antivirus/



WordPress Firewall Plugin

Mais uma vez, vale a pergunta: “se funciona para seu PC, por que não para seu WordPress”? Com o plugin WordPress Firewall Plugin você tem em mãos um sistema de segurança capaz de detectar, interceptar e registrar qualquer parâmetro suspeito antes que ele comprometa seus dados no WordPress. Este plugin também protege a maioria dos plugins de WordPress da mesma forma.


Você pode querer configurar este “firewall” para ser o primeiro plugin a carregar da sua instalação para obter segurança máxima. Outra funcionalidade interessante é sua habilidade de enviar um email para você detalhando todas as informações de um ataque potencial evitado.



Plugins recomendados


https://wordpress.org/plugins/better-wp-security/

https://wordpress.org/plugins/hide-login/

http://www.askapache.com/wordpress/htaccess-password-protect.html



Scan online


Ótima ferramenta para analise: https://sitecheck.sucuri.net/



Captcha


Também recomendo que utilize em todos os formulários de contato, login, comentários a utilização do captcha.



  • 0 Bu dökümanı faydalı bulan kullanıcılar:
Bu cevap yeterince yardımcı oldu mu?