Compartilhe:

 width=É, meus amigos, como diriam para Joseph Climber: “A vida é uma caixinha de surpresas“. O WordPress, CMS conhecido mundialmente pelo seu uso e, principalmente, pelo envolvimento de sua comunidade no desenvolvimento de um sistema seguro, também está suscetível a exploits, que muitas vezes são sabidamente direcionados aos seus plugins ou até mesmo, de forma mais ousada, ao seu arquivo principal de configurações, o wp-config.php.
Hoje eu falarei para você um pouco mais sobre a segurança desse maravilhoso sistema, dando algumas dicas de como diminuir possíveis invasões e evitar o problema de ter todo o seu conteúdo apagado ou mesmo violado por terceiros indesejados.

1- Permissões do wp-config.php

A recomendação da HostDime para todos os clientes é que seja feito o uso padrão das permissões “755” para pastas e “644” para arquivos, no entanto há uma ressalva: Os arquivos de configuração. Tanto o WordPress, quanto o Joomla ou qualquer outro CMS de grande porte possuem arquivos responsáveis pela configuração do sistema. A nossa experiência diz que, para estes casos, mesmos arquivos de configuração com estas permissões (644) também estão vulneráveis e podem ter, inclusive, todo o seu conteúdo visualizado.
Para evitar este problema, determine a permissão “600” para o arquivo wp-config.php. Lembre-se que esta alteração pode ser feita tanto pelo painel de controle do seu plano de hospedagem/revenda da HostDime, quanto através do seu sistema de FTP favorito (como o FileZilla, por exemplo).

2- Medida não usual, mas funcional – Proteção do wp-admin

Você pode adicionar uma dupla camada de proteção à pasta WP-Admin através da ferramenta de criação de senhas para pastas disponível no cPanel. É necessário lembrar que você deve criar uma senha totalmente diferente daquela utilizada no seu usuário administrativo do WordPress.
Veja um vídeo-tutorial sobre como ativar esta proteção de senhas via cPanel: https://www.youtube.com/hostdimebr#p/u/6/NrEhDGyuHLo

3- Evite que o Google ou outros buscadores indexem pastas indesejadas

O poder dos buscadores é tão forte que, se você deixar, eles indexarão as suas pastas internas também! Para evitar que isto aconteça, adicione a seguinte linha ao seu arquivo “robots.txt” (se não tiver, crie um):
[code]Disallow: /wp-admin[/code]

4- Esconda as mensagens de erro da página de login

Além de esconder as mensagens de erro do WP-Admin, estipule um número máximo de tentativas a serem feitas. Um excelente plugin que pode te ajudar bem nesta tarefa é o Login Lockdown.

5- Mantenha as atualizações em dia

É muito, mas muito importante mesmo manter as suas atualizações em dia. Não apenas as atualizações de versão do WordPress, como também os plugins e temas (se você utiliza temas de terceiros ou gratuitos).
Tome cuidado com o download de plugins e temas que não estão diretamente hospedados no repositório do WordPress e escolha sempre os que já foram baixados milhares de vezes, pois já houve casos de atualizações contaminadas com vulnerabilidades baixadas diretamente do repositório oficial do WordPress.
Veja as nossas dicas sobre o assunto neste artigo: https://blog.hostdime.com.br/tecnologia/atualize-sempre-os-seus-cms

6- Senhas seguras e backup constante

Faça sempre com que suas senhas administrativas atinjam o critério máximo de segurança, sempre que possível na marca de 100% (e cuide para não deixá-las anotadas em algum lugar de acesso público). As senhas inseguras podem ser facilmente descobertas com sistemas de Força Bruta.
Sobre o backup, é importante mantê-lo sempre atualizado, seja do Banco de Dados (o coração do seu WordPress), quanto do seu tema. Se possível, faça uma rotina de backups e os mantenha sempre seguros em seu computador.

7- Impossibilite o registro de novos usuários

Se você não tem a necessidade de ter os seus usuários registrados, desabilite a função de novos registros através do painel de controle, em: “Configurações” > “Geral“. Desmarque a opção “Qualquer pessoa pode se registrar”.

E você, tem alguma dica pra dar?

Estas são algumas dicas básicas de proteção do seu WordPress, mas são dezenas ou até mesmo centenas de possibilidades. Queremos saber de você, usuário de um dos CMSs mais famosos do mundo: O que você faz para proteger o seu sistema?