Melhores práticas de segurança do WordPress – lista TODO – Como proteger seu blog WordPress?

Publicados: 2015-05-25

Leve a sério a segurança do WordPress

O WordPress é uma das plataformas mais populares para blogs e sites auto-hospedados. Embora o WordPress seja bastante seguro, sempre haverá indivíduos que desejam criar problemas encontrando uma maneira de invadir contas ou sites para causar danos ou injetar links de spam ocultos. É por isso que é importante garantir que sua instalação do WordPress seja a mais segura possível. Dicas de segurança do WordPress.

TechCrunch o maior blog do mundo, foi hackeado duas vezes em um curto período de oito horas (em 2012). De acordo com o programador líder do WordPress, Mark Jaquith, o hack foi provavelmente por causa de um plugin WordPress inseguro que permitiu que o hacker usasse o método de injeção de php para hackear o tech crunch. Não foi um hacking do lado do servidor. Espero que todas essas informações detalhadas o ajudem a proteger seu blog WordPress.

Tem a consulta abaixo sobre as perguntas abaixo?

  • comentários sobre plugins de segurança wordpress
  • vulnerabilidades de segurança do wordpress
  • melhores práticas de segurança wordpress
  • problemas de segurança do wordpress
  • dicas de segurança wordpress
  • melhor plugin de segurança wordpress
  • verificação de segurança wordpress
  • verificação de segurança wordpress

Então você está no lugar certo. Revisões de plugins de segurança por Crunchify.

Aqui estão algumas dicas para manter seu site ou blog WordPress mais seguro e menos suscetível a ataques maliciosos. Essas etapas nos ajudam a proteger nosso blog, mantendo os bandidos do lado de fora.

1) Atualize para a versão mais recente do WordPress

Nenhum sistema de software está imune a bugs e vulnerabilidades. Falhas de segurança serão descobertas e os bandidos farão o possível para explorá-las. Manter seu software atualizado é uma boa maneira de evitar ataques, porque fornecedores de software confiáveis ​​consertarão seus produtos assim que forem encontradas falhas de segurança.

Felizmente, manter seu site WordPress atualizado é uma das coisas mais fáceis que você pode fazer. Nas últimas versões, o WordPress incluiu a capacidade de instalar atualizações automáticas. Além disso, os sites são notificados sempre que uma nova atualização é disponibilizada.

Se você não estiver executando a versão mais recente do WordPress, atualize agora. Deixar seu site em uma versão antiga é como manter a porta destrancada quando você sai de férias.

Atualização do WordPress

2) Coloque o arquivo index.php em branco

Se você pensou que apenas configurar permissões de diretório é mais do que suficiente, então eu diria que não é tão simples assim! Sugiro que se solte um arquivo html ou php vazio ( ensure that the name should be index.php ) na pasta wp-content/themes/ & wp-content/plugins/ . Dessa forma, sempre que alguém tentar ver o conteúdo dessas pastas, será apresentada uma página em branco e nada mais. Não é uma jogada inteligente?

Conteúdo do arquivo:

index.php
1
2
3
<?php
// Silence is golden.
?>

Coloque o arquivo index.php em branco em cada pasta

3) Use chaves secretas em seu arquivo WP-Config

No WordPress, o arquivo wp-config.php é o arquivo que armazena as informações do banco de dados que o WordPress precisa para conectar seu circuito, por assim dizer. Este arquivo contém o nome, endereço e senha do banco de dados MySQL que armazena todas as suas informações de usuário, postagens de blog e outros conteúdos importantes.

Usando uma chave secreta, você pode dificultar ainda mais o acesso de alguém à sua conta.

Vá para https://api.wordpress.org/secret-key/1.1/ e copy the results into this section of your wp-config.php se você ainda não configurou uma chave secreta.

4) Mantenha seu arquivo .htaccess sob controle

Usando um arquivo .htaccess , você pode definir limites de acesso a determinados diretórios. Você pode vincular esses limites a um endereço IP específico, o que significa que apenas pessoas desse local podem acessar suas informações.

É sempre aconselhável que, ao escolher seu host, você confirme com eles qual versão do MySQL, Apache e PHP eles estão usando.”

Amostra:

Sample deny,allow in .htaccess
1
2
3
4
5
6
7
8
order deny , allow
deny from 32.177.15. *
deny from 53.177.14. *
deny from 64.255.113. *
deny from 11.255.114. *
deny from 115.225.176.86
deny from 535.255.117.250
allow from all

5) Use senhas de conta WordPress fortes

Além de adicionar uma chave secreta ao seu arquivo wp-config.php , considere também alterar sua senha de usuário para algo que seja forte e exclusivo. O WordPress informará a força da sua senha, mas uma boa dica é evitar frases comuns, usar letras maiúsculas e minúsculas e incluir números. Também é uma boa ideia alterar sua senha regularmente — digamos uma vez a cada dois meses.

6) Atualize o ambiente do servidor e os plugins

A atualização de plugins e temas assim que lançado é de sua responsabilidade. Sugiro atualizar seu plugin regularmente. Dê uma olhada no artigo do CSRF que publiquei há algum tempo.

Em relação ao ambiente do servidor, não está em suas mãos, mas nas mãos do host. É sempre aconselhável que, ao escolher seu host, você confirme com eles qual versão do MySQL, Apache e PHP eles estão usando. Combine-o com a versão mais recente mencionada em seus respectivos sites e, se estiverem desatualizados, você deve pedir para atualizá-los (muito improvável) ou alterar o host da web o mais rápido possível.

7) Nunca use “admin” como seu nome de usuário

Depois de instalar o WordPress, você deve alterar o nome de usuário do administrador.

8) Altere o WP prefix das tabelas do banco de dados

Ele irá salvá-lo de hacking de injeção de sql.

9) Não instale o WordPress no diretório raiz

Instale-o em alguma pasta com um nome estranho que não seja fácil de conhecer. Algo como 442testXYZ . Isso salvará sua instalação do WordPress de bots e hackers.

10) Bloqueie bots ruins

Você nunca sabe quando seu site é rastreado por bots ruins. Solução é simples. Tente colocar abaixo em seu arquivo .htaccess para bloquear bots ruins.

.htaccess
1
2
3
RewriteEngine On
RewriteCond % { HTTP_USER_AGENT } ^ . * ( agent1 | Wget | Catall Spider ) . * $ [ NC ]
RewriteRule . * - [ F , L ]

Resumo

Todos concordamos que ter um blog WordPress seguro deve ser nossa primeira prioridade ao manter um blog de sucesso. O WordPress é um software de publicação incrível e a Automattic (a empresa por trás do WordPress) sempre se esforça para protegê-lo para que milhões de blogs possam estar protegidos contra ameaças de hackers.

Existem muitas maneiras de melhorar a segurança do WordPress. Essas mudanças são pequenas e muitas dessas recomendações podem ser implementadas em questão de minutos. Você pode ficar tranquilo sabendo que seu site WordPress está um pouco mais seguro contra intrusos e hackers.