RSS

segunda-feira, 26 de abril de 2010

Nerds...

quinta-feira, 8 de abril de 2010

Segurança para WordPress

1 – Não use a conta de administrador

  1. Crie uma nova conta com nome de usuário único
  2. Atribuir a função de administrador
  3. Sair e voltar a entrar com o novo usuário
  4. Exclua a conta de administrador (admin)

Tenha cuidado ao confirmar a exclusão da conta de admin pois perguntará à você o que deseja fazer com as postagens e os links relacionados com a conta, você pode atribuir tudo para seu novo usuário e depois apagar.

2 – Atribua as permissões corretas de arquivos e pastas

Depois de instalar certinho seu Wordpress e os plugins desejados, atribua novamente as permições adequadas. Os arquivos em geral devem ter a permissão chmod 644 e as pastas chmod 755

Veja um exemplo:

  • .htacsess (644)
  • wp-admin (755)
  • wp-content (755)
  • plugins (755)
  • themes (444) ou (555)
  • upgrade (755)
  • uploads (755)
  • wp-includes (755)

3 – Mude de lugar o arquivo wp-config.php

Da versão do WordPress 2.6 a diante, você tem a possibilidade de alterar o arquivo wp-config.php para o diretório “raiz” do seu servidor, o que tornará mais dificil encontrar ou acessar seu arquivo wp-config.php.

Assim, você pode alterar a localização do seu arquivo wp-config.php em
public_html / wordpress / wp-config.php

Para:
public_html / wp-config.php

4 – Apague a tag que apresenta a versão no Header

Alguns temas vem a tag que mostra a versão do Wordpress. Então pesquise no header.php do seu tema pela linha abaixo e apague-a.

” />

5 – Mantenha seu Wordpress sempre atualizado

Normalmente a maiorida as atualizações do Wordpress são sobre segurança, então não vacile e mantenha seu sistema sempre em dia.

6 – Use uma senha segura

Isso é fundamental, nada de datas de aniversários ou telefones. Se você não sabe gerar uma senha segura, acesse: http://goodpassword.com/

7 – Use as chaves únicas de autenticação

Versões recentes do WordPress exigem a configuração de uma chave secreta no wp-config.php. Lembre-se de ter configurado uma para não deixar a padrão. Você nunca terá de lembrar desta chave, então use uma expressão longa, sem se preocupar em memorizá-la.

Também pode ser gerada aleatóriamente em: http://api.wordpress.org/secret-key/1.1

Copia e cole no seu wp-config.php

8 – Desabilite o registro de usuários

Assim você limita quem possui acesso ao seu painel de administração, além de evitar qualquer brecha que afete os scripts de administração. Se quiser, pode até apagar o wp-register.php do diretório.

9 – Não instale plugins desnecessários

Muitos plugins podem conter problemas de segurança também. Manter instalado e rodando plugins não-utilizados apenas aumenta as chances de você ser alvo de algum problema em um plugin desnecessariamente. Então remova os plugins desativados e atualize sempre os que você usa.

10 -Utilize um plugin Anti-Spam

Usando um plugin anti-spam, você de quebra protege o blog contra robôs que eventualmente possam tentar explorar uma brecha de XSS nos comentários. Muitas falhas de segurança hoje são exploradas por robôs automatizados, como o spam. Você pode usar o Askimet que já vem por padrão no Wordpress, basta você se cadastrar no Wordpress.com para ter seu API para utilizar no plugin.

Essas dicas já ajudam a melhorar bastante a segurança do Wordpress, mas existem ótimos plugins que faz o serviço para você, não deixe de conferir:

WP Security Scan – Faz um scan no seu Wordpress e te indica boas permissões para cada pasta e arquivo, além de analisar vários quesitos de segurança do WP.

AskApache – Protege a pasta WP-Admin utilizando uma poderosa proteção por password no htaccess, prevenindo ataques contra seu site.

Semisecure Login Reimagined -Aumenta a segurança na página do login, utilizando encriptação na sua senha.

Role Manager – Permite limitar o acesso dos seus colaboradores à vários recursos do Painel de Administração, possibilitando que você defina o mínimo de acesso necessário.

Login LockDown -Verifica as tentativas de login mal sucedidas bloqueando IPs suspeitos. É possível configurar a quantidade de falhas e quantos minutos que alguém poderá ficar parado na tela de login.

WordPress File Monitor – Este plugin monitora os arquivos alterados, deletados e criados dentro do seu WordPress qualquer alteração pode ser notificada no seu e-mail.

É isso ai, não tem como não ficar seguro dessa maneira. E você o que faz para aumentar a segurança do seu Wordpress? Deixe seu comentário falando o plugin que usa e sua sugestão.