MX Cursos
wordpress security
WordPress

Dicas de segurança para o WordPress

David CHC
3 Min de leitura
1 Comentário
Rate this post

Muitas vezes o WordPress é acusado como não seguro e na maioria das vezes a culpa é do próprio usuário que não segue uma linha básica para evitar que problemas de invasão ocorram.

Nesse post irei informar várias dicas que deixe sua instalação mais segura.

Então vamos lá.

WordPress SeguroDeixe sempre o WordPress, os plugins e temas atualizados.

A comunidade do WordPress é muito ativa, então correções e otimizações são sempre postadas. Isso inclui plugins e temas.

Remova plugins e temas que não são utilizados.

As vezes fazemos testes com plugins e temas e vamos deixando eles lá, parados, sem utilização. Se não for utilizar, remova-os.

Definir permissão de pasta e arquivos

Deixe por padrão as permissões (Chmod) dos arquivos como 644 e das pastas 755.

Restringir mais a permissão do arquivo .haccess e wp-config.php

Deixe o arquivo .htaccess e wp-config.php com permissão 400. Esta permissão no arquivo wp-config.php pode ser adicionada no .htaccess.

<files wp-config.php>
order allow,deny
deny from all
</files>

Restringir acesso ao wp-includes e wp-admin/includes

Adicione no arquivo .htaccess:

RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]

Desabilitar Editor de temas e Plugins

Apesar de ser comodo editar algo pelo editor, é recomendável desativá-lo em produção. Basta adicionar no arquivo wp-config.php o seguinte código:

define('DISALLOW_FILE_EDIT', true);

Remova a versão do WordPress do site

Sempre remova a versão do WordPress.

Caso você esteja com uma versão mais antiga e há alguma brecha conhecida, você pode ser atacado já que o invasor sabe a versão que seu WordPress possui. Adicione no arquivo functions.php do seu tema o seguinte código:

remove_action('wp_head', 'wp_generator');

Altere ou exclua o usuário admin

Por padrão usamos usuário admin quee tem o ID 1. Dessa forma, qualquer usuário mal intencionado já saberá em 99% dos casos o nome e id de um de seus usuários e neste caso, o usuário mais importante, já que é o administrador.

Você pode fazer essa alteração no banco de dados através da tabela wp_users. Se for alterar o ID, acesse as tabelas wp_users e wp_usermeta wp_posts.

Altere o prefixo das tabelas do WordPress

Você pode dificultar os ataques de SQL injection alterando o prefixo, que por padrão é wp_. Lembramos que isso pode ser configurado no ato da instalação do WordPress em seu Wizard. Mas caso você já tenha instalado o WordPress com este prefixo padrão, não se preocupe. Há uma maneira de corrigir isso.

Depois de alterar no banco de dados, informe o novo prefixo no wp-config.php.

Gostou das dicas?

Deixe seu comentário e compartilhe.

Um abraço e até a próxima.

Compartilhar
Twittar
Compartilhar
Clube de Cursos Clube de Cursos

Conheça nosso Clube de Cursos e potencialize suas habilidades em Produção e Edição de Vídeos, Design, Marketing Digital, Programaço, WordPress, 3D e Modelagem, Motion Graphics e muito mais!

CONHEÇA O CLUBE
Hostnet
Compartilhar
Twittar
Compartilhar