Blog do MX Cursos

Dicas de segurança para o WordPress

Dicas de segurança para o WordPress

Muitas vezes o WordPress é acusado como não seguro e na maioria das vezes a culpa é do próprio usuário que não segue uma linha básica para evitar que problemas de invasão ocorram.

Nesse post irei informar várias dicas que deixe sua instalação mais segura.

Então vamos lá.

WordPress SeguroDeixe sempre o WordPress, os plugins e temas atualizados.

A comunidade do WordPress é muito ativa, então correções e otimizações são sempre postadas. Isso inclui plugins e temas.

Remova plugins e temas que não são utilizados.

As vezes fazemos testes com plugins e temas e vamos deixando eles lá, parados, sem utilização. Se não for utilizar, remova-os.

Definir permissão de pasta e arquivos

Deixe por padrão as permissões (Chmod) dos arquivos como 644 e das pastas 755.

Restringir mais a permissão do arquivo .haccess e wp-config.php

Deixe o arquivo .htaccess e wp-config.php com permissão 400. Esta permissão no arquivo wp-config.php pode ser adicionada no .htaccess.

<files wp-config.php>
order allow,deny
deny from all
</files>

Restringir acesso ao wp-includes e wp-admin/includes

Adicione no arquivo .htaccess:

Nossos cursos indicados

RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]

Desabilitar Editor de temas e Plugins

Apesar de ser comodo editar algo pelo editor, é recomendável desativá-lo em produção. Basta adicionar no arquivo wp-config.php o seguinte código:

define('DISALLOW_FILE_EDIT', true);

Remova a versão do WordPress do site

Sempre remova a versão do WordPress.

Caso você esteja com uma versão mais antiga e há alguma brecha conhecida, você pode ser atacado já que o invasor sabe a versão que seu WordPress possui. Adicione no arquivo functions.php do seu tema o seguinte código:

remove_action('wp_head', 'wp_generator');

Altere ou exclua o usuário admin

Por padrão usamos usuário admin quee tem o ID 1. Dessa forma, qualquer usuário mal intencionado já saberá em 99% dos casos o nome e id de um de seus usuários e neste caso, o usuário mais importante, já que é o administrador.

Leia também  WordPress - Entenda os privilégios de cada função de usuários

Você pode fazer essa alteração no banco de dados através da tabela wp_users. Se for alterar o ID, acesse as tabelas wp_users e wp_usermeta wp_posts.

Altere o prefixo das tabelas do WordPress

Você pode dificultar os ataques de SQL injection alterando o prefixo, que por padrão é wp_. Lembramos que isso pode ser configurado no ato da instalação do WordPress em seu Wizard. Mas caso você já tenha instalado o WordPress com este prefixo padrão, não se preocupe. Há uma maneira de corrigir isso.

Depois de alterar no banco de dados, informe o novo prefixo no wp-config.php.

Gostou das dicas?

Deixe seu comentário e compartilhe.

Um abraço e até a próxima.

O MX Cursos já está na Black Friday.