Mesmo o WordPress sendo uma plataforma considerada segura, existem algumas preocupações básicas de segurança que precisam ser tomadas, se não, você mesmo acaba deixando seu WordPress vulnerável, abaixo vamos listar as principais dicas de como proteger o WordPress de ataques.

Segurança

Há muitas críticas a plataforma do WordPress com relação a segurança, porém, primeiramente precisamos entender que qualquer plataforma mal configurada, e/ou um servidor mal configurado, podem influenciar diretamente no seu sistema, ou seja, você precisa se preocupar com segurança em qualquer plataforma, sendo assim, não podemos considerar o WordPress uma plataforma vulnerável por si só.

Servidor

O servidor que roda o WordPress, também pode conter falhas de segurança, que podem estar relacionadas a programas desatualizados ou mal configurado, firewall mal configurado, permissão de pasta e várias outras possibilidades.
Também é importante deixar claro, que se você usa uma hospedagem compartilhada, a sua plataforma também pode ser comprometida devido a vulnerabilidades em outras aplicações rodando no mesmo servidor e não exatamente na sua plataforma.

WordPress na prática

Após garantir que seu Sevidor realmente é seguro, podemos ir em cima das preocupações básicas para garantir a segurança total.
Abaixo, fizemos uma lista das coisas que aplicamos em nossos projetos para vocês:

wp-config.php

.htaccess

  • Insira procedimentos de segurança negando os arquivos que não devem ser acessados

[php]
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

<Files ~ “^\.(htaccess)$”>
deny from all
</Files>

<Files wp-config.php>
order allow,deny
deny from all
</Files>

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

# Block WordPress readme.html requests
<Files readme.html>
order deny,allow
deny from all
</Files>

# Exclude the files ajax, upload and WP CRON scripts from authentication
<FilesMatch “(admin-ajax\.php|media-upload\.php|async-upload\.php|wp-cron\.php|xmlrpc\.php)$”>
Order allow,deny
Allow from all
Satisfy any
</FilesMatch>

# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
[/php]

functions.php

  • Desabilite a versão do WordPress
  • Altere as mensagens de logins para mensagens genéricas

[php]
<?php //Disable Print WordPress Version for Security remove_action(‘wp_head’, ‘wp_generator’); //Insert Generic Login and Password for Security function generic_error_msgs() { //insert how many msgs you want as an array item. it will be shown randomly $custom_error_msgs = array( ‘Login e/ou senha inválido’, ); //get random array item to show return $custom_error_msgs[array_rand($custom_error_msgs)]; } add_filter(‘login_errors’, ‘generic_error_msgs’); ?>
[/php]

Plugins

É extremamente importante que você possua todos os plugins sempre atualizados.
Abaixo, a lista dos plugins que usamos para auxiliar na segurança:

  • Disable Rest Api – Desabilite tudo ou as funções da api que não serão utilizadas
  • reCAPTCHA – Insira o Google reCaptcha no formulário de login

  • Wordfence – Possui várias ferramentas de segurança, como observador de arquivos modificados, scan de vulnerabilidades, firewall para bloqueio de tentativas de login e outras.
  • Anti-Malware Security and Brute-Force Firewall –  Scan de Malwares inseridos no código,

Banco de dados

Durante a instalação do WordPress, sempre alterar o prefixo da tabela padrão (wp_)

Permissões de pasta

Esse é outro ponto importante, qualquer outra permissão usada sem ser a padrão, você corre risco, portanto, nunca resolva problemas do seu WordPress deixando as permissões mais fracas.

  • Pastas – 755
  • Files – 644

[php]
//Comandos Linux para definir as permissões corretas
//pastas
find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;
//arquivos
find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;
[/php]

Atualizações

Não é seguro manter qualquer versão do WordPress desatualizada.

Conclusões

Podemos com toda certeza dizer que o WordPress, não é inseguro, normalmente todas as invasões encontradas são por falta de dar a importância necessária para a segurança seguindo alguns procedimentos, que inclusive, são todos documentados pelo WordPress.

Referências

Blindando o WordPress
Hardening WordPress
Changing File Permissions
WordPress Security List

Summary
Como proteger o Wordpress de ataques
Article Name
Como proteger o Wordpress de ataques
Description
Aprenda as principais dicas de como proteger o Wordpress de ataques e se manter livre de vírus.
Author
Publisher Name
Heitor Sousa Pedroso
Publisher Logo