segunda-feira, 26 de abril de 2010
quinta-feira, 8 de abril de 2010
Segurança para WordPress
1 – Não use a conta de administrador
- Crie uma nova conta com nome de usuário único
- Atribuir a função de administrador
- Sair e voltar a entrar com o novo usuário
- Exclua a conta de administrador (admin)
Tenha cuidado ao confirmar a exclusão da conta de admin pois perguntará à você o que deseja fazer com as postagens e os links relacionados com a conta, você pode atribuir tudo para seu novo usuário e depois apagar.
2 – Atribua as permissões corretas de arquivos e pastas
Depois de instalar certinho seu Wordpress e os plugins desejados, atribua novamente as permições adequadas. Os arquivos em geral devem ter a permissão chmod 644 e as pastas chmod 755
Veja um exemplo:
- .htacsess (644)
- wp-admin (755)
- wp-content (755)
- plugins (755)
- themes (444) ou (555)
- upgrade (755)
- uploads (755)
- wp-includes (755)
3 – Mude de lugar o arquivo wp-config.php
Da versão do WordPress 2.6 a diante, você tem a possibilidade de alterar o arquivo wp-config.php para o diretório “raiz” do seu servidor, o que tornará mais dificil encontrar ou acessar seu arquivo wp-config.php.
Assim, você pode alterar a localização do seu arquivo wp-config.php em
public_html / wordpress / wp-config.php
Para:
public_html / wp-config.php
4 – Apague a tag que apresenta a versão no Header
Alguns temas vem a tag que mostra a versão do Wordpress. Então pesquise no header.php do seu tema pela linha abaixo e apague-a.
” />
5 – Mantenha seu Wordpress sempre atualizado
Normalmente a maiorida as atualizações do Wordpress são sobre segurança, então não vacile e mantenha seu sistema sempre em dia.
6 – Use uma senha segura
Isso é fundamental, nada de datas de aniversários ou telefones. Se você não sabe gerar uma senha segura, acesse: http://goodpassword.com/
7 – Use as chaves únicas de autenticação
Versões recentes do WordPress exigem a configuração de uma chave secreta no wp-config.php. Lembre-se de ter configurado uma para não deixar a padrão. Você nunca terá de lembrar desta chave, então use uma expressão longa, sem se preocupar em memorizá-la.
Também pode ser gerada aleatóriamente em: http://api.wordpress.org/secret-key/1.1
Copia e cole no seu wp-config.php
8 – Desabilite o registro de usuários
Assim você limita quem possui acesso ao seu painel de administração, além de evitar qualquer brecha que afete os scripts de administração. Se quiser, pode até apagar o wp-register.php do diretório.
9 – Não instale plugins desnecessários
Muitos plugins podem conter problemas de segurança também. Manter instalado e rodando plugins não-utilizados apenas aumenta as chances de você ser alvo de algum problema em um plugin desnecessariamente. Então remova os plugins desativados e atualize sempre os que você usa.
10 -Utilize um plugin Anti-Spam
Usando um plugin anti-spam, você de quebra protege o blog contra robôs que eventualmente possam tentar explorar uma brecha de XSS nos comentários. Muitas falhas de segurança hoje são exploradas por robôs automatizados, como o spam. Você pode usar o Askimet que já vem por padrão no Wordpress, basta você se cadastrar no Wordpress.com para ter seu API para utilizar no plugin.
Essas dicas já ajudam a melhorar bastante a segurança do Wordpress, mas existem ótimos plugins que faz o serviço para você, não deixe de conferir:
WP Security Scan – Faz um scan no seu Wordpress e te indica boas permissões para cada pasta e arquivo, além de analisar vários quesitos de segurança do WP.
AskApache – Protege a pasta WP-Admin utilizando uma poderosa proteção por password no htaccess, prevenindo ataques contra seu site.
Semisecure Login Reimagined -Aumenta a segurança na página do login, utilizando encriptação na sua senha.
Role Manager – Permite limitar o acesso dos seus colaboradores à vários recursos do Painel de Administração, possibilitando que você defina o mínimo de acesso necessário.
Login LockDown -Verifica as tentativas de login mal sucedidas bloqueando IPs suspeitos. É possível configurar a quantidade de falhas e quantos minutos que alguém poderá ficar parado na tela de login.
WordPress File Monitor – Este plugin monitora os arquivos alterados, deletados e criados dentro do seu WordPress qualquer alteração pode ser notificada no seu e-mail.
É isso ai, não tem como não ficar seguro dessa maneira. E você o que faz para aumentar a segurança do seu Wordpress? Deixe seu comentário falando o plugin que usa e sua sugestão.