O WordPress é um dos CMSs mais populares. Está presente em 26% de todos os sites do mundo, proteger seu site WordPress é essencial.
Além disso, hoje o WordPress tem a maior participação entre os CMS do mercado e está em praticamente 30% de todos os sites do mundo. Devido a sua popularidade, é extremamente visado por invasores, pois além do grande índice de utilização do CMS, existe uma vasto acervo de vulnerabilidades documentadas e relacionadas a diversos plugins e temas utilizados na ferramenta, facilitando assim a ação dos cybercriminosos. Confira abaixo a lista de boas práticas para se prevenir destas ações, prezando a integridade do seu conteúdo.
I. Backups
Primeiramente, vamos começar falando sobre backup. Muitas pessoas entendem sobre a sua importância, mas acabam não fazendo uma cópia de segurança de seu conteúdo.
Na KingHost, fornecemos o backup do seu conteúdo de forma diferenciada, mantendo esse backup por até 7 dias, sendo possível solicitá-lo quando necessário. Caso queira ter um cuidado adicional com seu conteúdo, e como forma de redundância, o plugin BackWPup disponibilizado no repositório oficial de plugins, pode fazer este trabalho para você.
II. Atualizações
Posteriormente temos as atualizações, que são extremamente importantes para manter seu site seguro.
Atualizações do WordPress: Mantenha sempre que possível o seu WP na última versão disponível. Além de trazer novas funcionalidades, as atualizações também costumam corrigir bugs e eliminar brechas de segurança.
Atualizações de plugins e temas: Busque instalar temas e plugins obtidos de fontes confiáveis. Muitas vezes os plugins e temas obtidos em sites não-confiáveis possuem vulnerabilidades e até mesmo backdoors que poderão ser utilizados futuramente por invasores. Sempre utilize o repositório oficial de plugins do WordPress, wordpress.org/plugins. Os plugins disponíveis no repositório oficial passam por severas avaliações de especialistas na ferramenta, garantindo assim mais segurança no conteúdo disponibilizado. Além desta avaliação, existem diversas regras para que os plugins continuem a ser disseminados através do site oficial, e uma delas é a disponibilização constante de atualizações.
III. Permissões de pastas e arquivos
As permissões dos diretórios e arquivos são, muitas vezes, negligenciadas pelos administradores de diversos sites. Além disso, permissões definidas incorretamente podem abrir um leque de oportunidades para as ações dos invasores. Abaixo, as permissões que devem ser definidas no conteúdo de sua ferramenta:
| Conteúdo | Nível de permissão |
| Diretórios | 755 |
| Arquivos | 644 |
| wp-config.php | 600 |
| debug.log | 600 |
IV. wp-config.php
Este é o arquivo principal de configuração do WP, ele possui informações essenciais para o funcionamento do CMS, protegê-lo é extremamente importante.
Use permissão 400 ou 600 quando algum plugin ou tema necessitar permissões de escrita no wp-config.php.
Portanto, proteja o conteúdo através do .htaccess inserindo o seguinte conteúdo:
<files wp-config.php>
order allow,deny
deny from all
</files>
Além disso, desabilite a edição de plugins e temas via administração do WordPress
No arquivo wp-config.php, insira a seguinte linha:
define ( ‘DISALLOW_FILE_EDIT’, true );
Atualize as chaves únicas de autenticação e salts
Utilize chaves únicas diferentes das instaladas por padrão em seu WP. Para isso, acesse api.wordpress.org/salts e substitua as existentes no arquivo.
define('AUTH_KEY', 'A=~2R/I?0Bv125cOvs[$_#+rhe`JOaJigj4U~5H,QRB>SIe.rRtuA_2%@9d9w[u$');
define('SECURE_AUTH_KEY', '=l8lf1~e6<5e}_<-}gS$-|z_ST$<%Ym9`Eq+|!fHu6}jSX_57=v8R-K@ <`;/7(K');
define('LOGGED_IN_KEY', 'iWnZ%V4nvXZx.Aj-p`60I%|J5[hK+%<*FS3!oY^H!ZjY0|Jy119OJzl)ytn[BOqS'); define('NONCE_KEY', ']H*J-k.p~4*p:?y6 LOgJ!S-/h>AQA0+LSXMn}POS3/]qa%l*VcP%B.0FfXt0apY');
define('AUTH_SALT', '{yc|cs,rH[Oa=PI+nRyjC5baK7@8`=j/R5+|PCK,%YD8E^JZF|N/8hJ-E^k#)Tk(');
define('SECURE_AUTH_SALT', '?8/BaVO<*[VnD]=5T2m-VK#s+uytbG(E@3VNEy=EvN4)Xtk/2$HEZh5 ZFB(gn4y'); define('LOGGED_IN_SALT', 'Gy0%2Gq.CEM:Ma(6@{G:EL4-t3J6e/fQ+[w>hWKn{2l&22>[i4>m|HlZ]c|+uu|q');
define('NONCE_SALT', '@JY-f0u<)7|xV.wI/]!8;%PGuHP`x758G6WU-W*Ug^@/*TYv]fpk]01bo<UPtjo_');V. Banco de dados
Não utilize o prefixo padrão (wp_) nas tabelas do seu banco de dados, pois esta característica pode ser explirada. Portanto opte por um prefixo personalizado.
Além disso, renomeie o usuário admin caso ele ainda seja utilizado.
VI. Exclua arquivos desnecessários
Alguns arquivos disponibilizam informações sobre o CMS instalado, ao qual podem servir de munição para os invasores. Estes arquivos não são utilizados após a ferramenta instalada, sendo assim, é recomendada a exclusão destes arquivos.
Exclua os seguintes arquivos: /wp-config-sample.php, /wp-admin/install.php, /readme.html.
VII. Robots.txt
Alguns conteúdos importantes do seu site não devem ser indexados pelos buscadores, sendo assim insira o conteúdo abaixo no arquivo robots.txt para evitar a indexação destes conteúdos:
User-agent: *
Disallow: /feed/
Disallow: /trackback/
Disallow: /wp-admin/
Disallow: /wp-content/
Disallow: /wp-includes/
Disallow: /xmlrpc.php
Disallow: /wp-VIII. Varredura com antivírus da KingHost
Aqui na KingHost, disponibilizamos uma ferramenta de antivírus que faz uma varredura em todo o seu conteúdo e move para quarentena tudo o que for considerado malicioso. Além disso, nossa recomendação é que seja feita uma varredura periódica em seu conteúdo como medida adicional de segurança.
Para utilizar a ferramenta, acesse o seu painel de controle e encontre a opção Antivirus na parte central do seu Painel de Controle, é aí que você encontra ainda mais informações sobre a utilização da ferramenta.
IX. Proteger página de login
Por fim, reparamos um conteúdo especial sobre esse assunto! Acesse: Proteger a página de login do WordPress.
Restando dúvidas ou precisando de ajuda, contate-nos via telefone ou chat e converse com nosso suporte. Mas tenha em mãos seu código de cliente e senha de atendimento para ser atendido com mais agilidade.
Quer saber mais? Continue sua leitura no blog da KingHost. Confira abaixo!
Vulnerabilidade digital: 7 dicas de como proteger seu negócio