Blog do MX Cursos

Dicas de segurança para o WordPress

Avaliar post

Muitas vezes o WordPress é acusado como não seguro e na maioria das vezes a culpa é do próprio usuário que não segue uma linha básica para evitar que problemas de invasão ocorram.

Nesse post irei informar várias dicas que deixe sua instalação mais segura.

Então vamos lá.

Deixe sempre o WordPress, os plugins e temas atualizados.

A comunidade do WordPress é muito ativa, então correções e otimizações são sempre postadas. Isso inclui plugins e temas.

Remova plugins e temas que não são utilizados.

As vezes fazemos testes com plugins e temas e vamos deixando eles lá, parados, sem utilização. Se não for utilizar, remova-os.

Definir permissão de pasta e arquivos

Deixe por padrão as permissões (Chmod) dos arquivos como 644 e das pastas 755.

Restringir mais a permissão do arquivo .haccess e wp-config.php

Deixe o arquivo .htaccess e wp-config.php com permissão 400. Esta permissão no arquivo wp-config.php pode ser adicionada no .htaccess.

Restringir acesso ao wp-includes e wp-admin/includes

Adicione no arquivo .htaccess:

Desabilitar Editor de temas e Plugins

Apesar de ser comodo editar algo pelo editor, é recomendável desativá-lo em produção. Basta adicionar no arquivo wp-config.php o seguinte código:

Remova a versão do WordPress do site

Sempre remova a versão do WordPress.

Caso você esteja com uma versão mais antiga e há alguma brecha conhecida, você pode ser atacado já que o invasor sabe a versão que seu WordPress possui. Adicione no arquivo functions.php do seu tema o seguinte código:

Altere ou exclua o usuário admin

Por padrão usamos usuário admin quee tem o ID 1. Dessa forma, qualquer usuário mal intencionado já saberá em 99% dos casos o nome e id de um de seus usuários e neste caso, o usuário mais importante, já que é o administrador.

Você pode fazer essa alteração no banco de dados através da tabela wp_users. Se for alterar o ID, acesse as tabelas wp_users e wp_usermeta wp_posts.

Altere o prefixo das tabelas do WordPress

Você pode dificultar os ataques de SQL injection alterando o prefixo, que por padrão é wp_. Lembramos que isso pode ser configurado no ato da instalação do WordPress em seu Wizard. Mas caso você já tenha instalado o WordPress com este prefixo padrão, não se preocupe. Há uma maneira de corrigir isso.

Depois de alterar no banco de dados, informe o novo prefixo no wp-config.php.

Gostou das dicas?

Deixe seu comentário e compartilhe.

Um abraço e até a próxima.

David CHC

David CHC

Trabalha com desenvolvimento web há 10 anos, atuou como programador líder do MX Cursos por mais de 8 anos e hoje dedica-se exclusivamente à criação de cursos para a plataforma. Possui vasto conhecimento em PHP, Javascript, HTML5, CSS3, Gulp.js, GIT, MySQL

Your Header Sidebar area is currently empty. Hurry up and add some widgets.

Newsletter

Newsletter

Receba em seu e-mail conteúdos semanais sobre desenvolvimento, design, audiovisual e tecnlogia.

Inscrição realizada com sucesso!