Veja como aumentar a segurança do seu blog ou site na plataforma WordPress com essas novas dicas…
O WordPress deve grande parte da sua popularidade à sua segurança e estabilidade. O sistema WordPress é altamente confiável, são raros os bugs ou problemas com a plataforma. No post WordPress: aprenda a deixar seu site mais seguro tratamos do assunto, apontando alguns plugins úteis para a segurança do seu blog.
Atendendo a pedidos dos leitores, resolvi juntar mais algumas dicas. Vamos a elas.
1. Proteja seu arquivo de configuração
Essa é uma dica importante a qual poucos webmasters dão a devida atenção. Infelizmente, um fato que não é raro nas atuais hospedagens brasileiras (e que pode vir a ocorrer também com você) é o seu servidor dar alguma pane temporária e expor o conteúdo de arquivos que deveriam ser executados, traduzidos. Para proteger que um arquivo importante (como o wp-config.php que contém a senha do banco de dados e sua secret key) edite o arquivo .htaccess (da pasta principal) e adicione a informação abaixo:
<FilesMatch ^wp-config.php$>
Deny from all
</FilesMatch>
2. Vai transportar arquivos? Que tal usar SSH ou SFTP ao invés de FTP?
File Transfer Protocol (FTP) é o protocolo padrão de comunicação de arquivos utilizado na Internet. Porém, não é muito seguro, pois os dados trafegam pela rede sem criptografia, abertos. Se você estiver em uma conexão comprometida, sua senha pode ser capturada ou mesmo possibilitar uma alteração de dados durante as transferências.
Utilizando o SSH (login seguro remoto) e transferindo os arquivos via SCP (secure copy), você dificulta qualquer interceptação e alteração de seus dados. Da mesma forma, o protocolo SFTP (secure FTP), trafega os dados com criptografia, estabelecendo o mesmo padrão de transferências seguras.
3. Bloqueie a indexação de arquivos do WordPress
É importante que os mecanismos de busca encontrem seu site, claro. Mas não é necessário que eles vasculhem seus arquivos e pastas da instalação do WordPress. Para isso, crie ou edite o arquivo robots.txt em sua pasta principal do site (“/”) e adicione a seguinte informação:
User-agent: *
Disallow: /wp-*
4. Elimine o usuário “admin”
Por padrão a conta de administrador do WordPress tem o nome de usuário de admin. Todo hacker que se preze sabe disso. Por isso usar admin é como se ladrões tivessem a chave da porta dos fundos da sua casa. Nunca usem este usuário como conta principal. Escolham um nome de usuário diferente no WordPress.
Se está utilizando o usuário admin, entre no menu Usuários e clique em Adicionar Novo. Crie um novo usuário com permissões de administrador. Faça logout e entrem com o novo usuário criado.
Depois dentro da lista de usuários elimine o admin. Antes de confirmar a eliminação você pode transferir os artigos criados pelo admin para o novo usuário criado.
Pessoal, espero ter ajudado com essas dicas. Uma vez que configurações mais internas no servidor demandam conhecimento mais aprofundado da plataforma, deixarei mais para frente para retornar ao assunto, uma vez que a ideia aqui é atender ao usuário leigo em um primeiro momento. Se você tem mais sugestões de como deixar um site em WordPress mais seguro, ficamos no aguardo!
Referências: Uol Host e Interesses Especiais
Sobre o ponto 3, eu quero fazer duas observações :
– Normalmente, o joker (*) apenas é aceitado por o user-agent. Você não pode ter certeza que o mecanismos não vai cadastrar um link desse tipo : ../wp-content/..
– Do mesmo jeito, se você bloquear a indexação da pasta “/wp-content”, o bot não vai indexar os midias (wp-content/uploads). Isso pode empedir a indexação das imagens no Google Images (e isso pode trazer muito tráfego).
Olha, fica a dica de segurança reforçando o artigo, permissões de arquivos que contenham senhas e logs de erros sempre em 750 ok! 😉
Ótimo artigo para termos mais segurança em nosso blogs. É muito bom ter um blog que explique isto.
No entanto ficam aqui algumas duvidas:
Como usar o SSH e o SCP?