Back-End

4 fev, 2015

Proteja seu WordPress com essas incríveis dicas de segurança

Publicidade

Garantir proteção ao seu WordPress é regra básica em qualquer situação e em qualquer tipo de projeto. Imagina um dia de trabalho super produtivo e do “nada” tudo desaparece, seu site cai ou fica a maior bagunça no seu servidor. Esse tipo de problema é de deixar qualquer desenvolvedor de cabelos em pé e desesperado – isso no caso de você não ter um backup de tudo. A segurança no WordPress deve estar presente durante todo o levantamento de requisitos de qualquer site. Utilizando técnicas, métodos e até plugins, você consegue garantir que seu WordPress esteja blindado contra os tipos mais comuns e diferentes de ataques e problemas de segurança. Por isso, vamos listar agora dicas incríveis para a segurança no WordPress.

Admin_ID difente de 1

Sempre que se realiza uma nova instalação WordPress, o primeiro usuário criado (comumente o admin) recebe o ID igual a 1 – o ID é referente ao usuário no banco de dados. Perceba que, nós – usuários com um conhecimento maior sobre a plataforma -, já sabemos que o ID é sempre 1. Logo, alguém mal intencionado pode direcionar um ataque a este usuário.

Alterar o ID do usuário não é algo tão complicado, mas você precisa ter um nível considerável em banco de dados. Do contrário, uma simples alteração através de queries de update pode invalidar seu usuário e até derrubar seu site. O ID que precisa ser alterado, referente ao usuário admin, deve ser atualizado em pelo menos duas tabelas por padrão: wp_user e wp_usermeta.

wordpress-seguranca

Senhas mais difíceis

Se você não quer perder seu usuário e também o seu site, o mínimo é manter senhas seguras e fortes para os seus usuários. O WordPress tem um analisador de senha, onde você pode saber qual a força da senha digitada. Para ter senhas fortes você deve sempre recorrer a um gerador de senhas. Então esqueça senhas como: 123456 ou a1b2c3d4e5.

Backup do seu banco de dados

Manter um cronograma para realizar backups do seu site é importante. Se algo deu errado, quebrou ou desconfigurou – a restauração do banco de dados por meio de um backup garante todo o seu trabalho e conteúdo do seu site. Faça backups manuais ou utilize plugins que façam esse trabalho. Existe plugin até para fazer backup junto com o Dropbox.

Gerencie o login e tudo relacionado aos usuários

Você pode se livrar de ataques a página de login apenas escondendo a mesma. Dessa forma, o login não poderá ser feito por meio da página padrão, wp-login. Também é válido retirar a opção de recuperação de senha. Um furo inocente, mas que nas mãos de quem tem conhecimento muito pode fazer, é liberar acesso ao painel por parte dos usuários do tipo assinantes.

Secret keys

O WordPress trabalha com secret keys para a criptografia de seus cookies. As secret keys, que ficam localizadas no arquivo wp-config.php, devem ser setadas de forma correta. Cada chave é um conjunto com letras, números e caracteres especiais, o que as torna difíceis de serem descobertas. Acesse o Secret Key Generation Tool do WordPress para atualizar as suas.

Limitar tentativas de login

No WordPress existe plugin para fazer tudo. Então, utilizar plugins para limitar tentativas de login e o tempo de espera é mais do que útil. Defina um número limite para cada tentativa de login, bem como um intervalo de tempo para bloquear as tentativas de login. É possível, também, armazenar o IP da máquina do usuário que tenta realizar login e então, bloqueá-lo.

Permissão de acesso por IP

Se o sistema deve permitir o login derivado apenas de dentro da empresa (IP fixo), você deve definir permissões por meio de IP. Aqui estou dando um exemplo de como você pode gerenciar o acesso – tanto ao login, quanto ao site, derivados de um único local. Trabalhar com gerenciamento de IPs é interessante para garantir a segurança e acesso ao seu sistema.

Permissão de arquivos

Desenvolvendo com WordPress, ou não, cuidar das permissões para pastas e arquivos é requisito essencial à segurança de seu servidor. Por padrão, as pastas devem responder ao padrão 755 e os arquivos 644. No WordPress você deve estudar e realizar permissões diferenciadas para pastas e arquivos. Tornando-os inacessíveis a partir de suas permissões.

Ocultar ou personalizar mensagens de erro no login

Cuidado básico, mas que muitos não percebem sua importância: oculte ou personalize as mensagens de erro do sistema de login. Oculte as mensagens de erro que informam que o e-mail não existe, ou que o nome de usuário é inválido e que a senha digitada está incorreta. Com tais informações qualquer um já tem muitas pistas que ajudam o seu acesso.

Configurações no .HTACCESS

Utilizando instruções específicas você consegue proteger pastas, arquivos e até o próprio arquivo .htaccess. Proteja qualquer tipo de acesso externo ao wp-config.php e também a listagem de diretórios dentro da URL. Permita que apenas imagens e arquivos sem extensão .php sejam acessados dentro da pasta wp-content. Tudo isso você consegue apenas por meio do .htaccess.

Segurança nunca é demais para o seu WordPress. Com as dicas que passamos aqui você pode:

  1. Gerenciar acesso por IP;
  2. Criptografia de cookies confiável;
  3. Fugir do óbvio alterando o ID para o admin – este que requer conhecimento elevado em WordPress e banco de dados.

Abraços!