📅 Ebook GRATUITO 🚀 Como preparar o seu site para receber muitos acessos? 💰

Kinghost | Blog

Segurança no CMS WordPress

Publicado em 25/03/2015

Atualizado em 16/05/2023

– Este conteúdo foi criado por Gabriel Sousa Soares, colaborador da KingHost.

O WordPress é um dos sistemas de gerenciamento de conteúdo mais populares. Hoje, o WordPress tem a maior participação entre os CMS do mercado,com 23,3% e em uma constante crescente. Devido a sua popularidade é extremamente visado por invasores, pois além do grande índice de utilização do CMS, existe uma vasto acervo de vulnerabilidades documentadas e relaciondas a diversos plugins e temas utilizados na ferramenta, facilitando assim a ação dos cybercriminosos.

Confira abaixo a lista de boas práticas para se prevenir destas ações, prezando a integridade do seu conteúdo.

Backup

Na KingHost, fornecemos o backup do seu conteúdo de forma diferenciada, mantendo esse backup por até 7 dias, sendo possível solicitá-lo quando necessário. Caso queira ter um cuidado adicional com seu conteúdo, e como forma de redundância, o plugin BackWPup disponibilizado no site oficial da ferramenta, pode fazer este trabalho para você. Recomendamos também, que antes de tomar qualquer uma das próximas ações recomendadas neste artigo, faça um backup do seu conteúdo.

 

Atualizações

* Core: Mantenha sempre que possível o seu CMS na última versão disponível, além de trazer novas funcionalidades, as atualizações do CMS também costumam corrigir bugs e eliminar brechas de segurança na ferramenta.

* Plugins e Temas: Busque instalar temas e plugins obtidos de fontes confiáveis. Muitas vezes os plugins e temas obtidos em sites não-confiáveis possuem vulnerabilidades e até mesmo backdoors que poderão ser utilizados futuramente por invasores, no site oficial da ferramenta são disponibilizados diversos plugins que passam por severas avaliações de especialistas na ferramenta, garantindo assim mais segurança no conteúdo disponibilizado. Além desta avaliação, existem diversas regras para que os plugins continuem a ser disseminados através do site oficial, uma delas é: disponibilização constante de atualizações.

Permissões

As permissões dos diretórios e arquivos são, muitas vezes, negligenciadas pelos administradores de diversos sites. Permissões definidas incorretamente podem abrir um leque de oportunidades para as ações dos invasores. Abaixo, as permissões que devem ser definidas no conteúdo de sua ferramenta:

– Permissão 755 para diretórios;

– Permissão 644 para arquivos;

– Permissão 400 ou 600 (para caso algum plugin necessite de permissão de escrita) no arquivo wp-config.php;

– Permissão 600 no arquivo debug.log;

 

wp-config.php

Este é o arquivo de principal de configuração do WordPress, e possui informações essenciais para o funcionamento do CMS, protegê-lo é extremamente importante.

– Usar permissão 400 ou 600 quando algum plugin ou tema necessitar permissões de escrita no wp-config.php;

– Proteger o conteúdo através do .htaccess inserindo o seguinte conteúdo:

<files wp-config.php>

order allow,deny

deny from all

</files>

– Fazer o uso das seguintes constantes do WordPress:

define ( ‘DISALLOW FILE EDIT’, true );

Utilizando esta constante, não será possibilitado ao usuário editar os arquivos de plugins e temas através da área de administração do WordPress.

define ( ‘DISALLOW FILE MODS’, true );

Esta constante tem a mesma funcionalidade da anterior, porém, também evita a instalação e atualização do core, plugins e temas.

– Atualize das chaves únicas de autenticação e salts, um novo salt pode ser gerado no seguinte link: https://api.wordpress.org/secret-key/1.1/salt/

Banco de dados

– Não utilize o prefixo padrão (wp_) nas tabelas do seu banco de dados, opte por um prefixo personalizado;

– Renomeie o usuário “admin” caso ele ainda seja utilizado;

Exclusão de arquivos

Alguns arquivos disponibilizam informações sobre o CMS instalado, ao qual podem servir de munição para os invasores. Estes arquivos não são utilizados após a ferramenta instalada, sendo assim, é recomendada a exclusão destes arquivos.

/wp-config-sample.php

/wp-admin/install.php

/readme.html

/license.txt

Robots.txt

Alguns conteúdos importantes do seu site não devem ser indexados pelos buscadores, sendo assim insira o conteúdo abaixo no arquivo robots.txt para evitar a indexação destes conteúdos:

User-agent: *

Disallow: /feed/

Disallow: /trackback/

Disallow: /wp-admin/

Disallow: /wp-content/

Disallow: /wp-includes/

Disallow: /xmlrpc.php

Disallow: /wp-

Varredura com Antivírus da KingHost

Aqui na KingHost, disponibilizamos uma ferramenta de antivírus que faz uma varredura em todo o seu conteúdo e move para quarentena tudo o que for considerado malicioso. Nossa recomendação é que seja feita uma varredura periódica em seu conteúdo como medida adicional de segurança.

Para utilizar a ferramenta, acesse o seu painel de controle e encontre a opção “Antivírus” na parte central do seu painel de controle, é aí que você encontra ainda mais informações sobre a utilização da ferramenta.

O que você achou deste conteúdo?

O que você achou deste conteúdo?

Ariadne

Ariadne Cercal

Formada em Marketing pelo Senac RS e com especialização em Marketing Digital pela FAE (Curitiba).

Ariadne

Ariadne Cercal

Formada em Marketing pelo Senac RS e com especialização em Marketing Digital pela FAE (Curitiba).

Compartilhe esse conteúdo com alguém que possa gostar também

Conteúdos relacionados

Se você tem uma empresa e deseja melhorar sua comunicação com seus colaboradores, clientes e fornecedores, então precisa considerar a criação de um email comercial. Essa é uma forma de contato mais profissional e que garante muito mais credibilidade para a sua organização. Pensando nisso, a KingHost decidiu produzir este conteúdo, no qual você vai...
O selo de site seguro é um tipo de certificado que os sites e e-commerces exibem para evidenciar que oferecem uma navegação segura. Geralmente, trata-se de um selo disponibilizado no rodapé das páginas.  Portanto, esse detalhe ajuda muito os usuários que estão mais atentos aos golpes e fraudes digitais. Dessa forma, eles ficam mais tranquilos...
Escolher um nome e um endereço virtual é umas das primeiras coisas a se fazer na hora de criar um site na internet. O nome de domínio foi concebido para facilitar a pesquisa de endereços de computadores na web. Se não fosse por isso, teríamos que usar uma sequência enorme de números. Além da importância...
Um criador de site profissional é uma ótima maneira de colocar seu negócio no ar sem precisar ter conhecimentos técnicos avançados. Na verdade, criar um site se tornou uma tarefa bastante simples, tendo em vista o número de empresas de tecnologia que oferecem esse tipo de serviço aos seus clientes. Por outro lado, com opções...

Assine a nossa newsletter e receba conteúdos para apoiar o crescimento do seu negócio

Sem Título(obrigatório)

📅 Aulão GRATUITO 🚀 Como VENDER MAIS na internet 💰

Mensagens para você