{"id":197,"date":"2015-04-22T08:54:04","date_gmt":"2015-04-22T11:54:04","guid":{"rendered":"https:\/\/www.kinghost.com.br\/wiki\/?post_type=article&p=197"},"modified":"2024-10-04T15:59:20","modified_gmt":"2024-10-04T18:59:20","slug":"praticas-de-seguranca-em-seu-site-wordpress","status":"publish","type":"article","link":"https:\/\/king.host\/wiki\/artigo\/praticas-de-seguranca-em-seu-site-wordpress\/","title":{"rendered":"Como proteger seu site WordPress"},"content":{"rendered":"\n

O WordPress \u00e9 um dos CMSs mais populares. Est\u00e1 presente em 26% de todos os sites do mundo, proteger seu site WordPress \u00e9 essencial.<\/p>\n\n\n\n

Al\u00e9m disso, hoje o WordPress tem a maior participa\u00e7\u00e3o entre os CMS do mercado e est\u00e1 em praticamente 30% de todos os sites do mundo. Devido a sua popularidade, \u00e9 extremamente visado por invasores, pois al\u00e9m do grande \u00edndice de utiliza\u00e7\u00e3o do CMS, existe uma vasto acervo de vulnerabilidades documentadas e relacionadas a diversos plugins e temas utilizados na ferramenta, facilitando assim a a\u00e7\u00e3o dos cybercriminosos. Confira abaixo a lista de boas pr\u00e1ticas para se prevenir destas a\u00e7\u00f5es, prezando a integridade do seu conte\u00fado.<\/p>\n\n\n\n

Recomendamos que antes de tomar qualquer uma das pr\u00f3ximas a\u00e7\u00f5es recomendadas neste artigo, fa\u00e7a um backup do seu conte\u00fado de FTP e bancos de dados<\/strong> da sua aplica\u00e7\u00e3o WordPress.<\/alerta><\/p>\n\n\n\n

\"Plataforma<\/a><\/figure>\n\n\n\n

<\/span>I. Backups<\/span><\/h2>\n\n\n\n

Primeiramente, vamos come\u00e7ar falando sobre backup. Muitas pessoas entendem sobre a sua import\u00e2ncia, mas acabam n\u00e3o fazendo uma c\u00f3pia de seguran\u00e7a de seu conte\u00fado.
Na KingHost, fornecemos o backup do seu conte\u00fado de forma diferenciada, mantendo esse backup por at\u00e9 7 dias, sendo poss\u00edvel solicit\u00e1-lo quando necess\u00e1rio. Caso queira ter um cuidado adicional com seu conte\u00fado, e como forma de redund\u00e2ncia, o plugin BackWPup<\/strong> disponibilizado no reposit\u00f3rio oficial de plugins, pode fazer este trabalho para voc\u00ea.<\/p>\n\n\n\n

<\/span>II. Atualiza\u00e7\u00f5es<\/span><\/h2>\n\n\n\n

Posteriormente temos as atualiza\u00e7\u00f5es, que s\u00e3o extremamente importantes para manter seu site seguro.
Atualiza\u00e7\u00f5es do WordPress<\/strong>: Mantenha sempre que poss\u00edvel o seu WP na \u00faltima vers\u00e3o dispon\u00edvel. Al\u00e9m de trazer novas funcionalidades, as atualiza\u00e7\u00f5es tamb\u00e9m costumam corrigir bugs e eliminar brechas de seguran\u00e7a.
Atualiza\u00e7\u00f5es de plugins e temas<\/strong>: Busque instalar temas e plugins obtidos de fontes confi\u00e1veis. Muitas vezes os plugins e temas obtidos em sites n\u00e3o-confi\u00e1veis possuem vulnerabilidades e at\u00e9 mesmo backdoors que poder\u00e3o ser utilizados futuramente por invasores. Sempre utilize o reposit\u00f3rio oficial de plugins do WordPress, wordpress.org\/plugins<\/a>. Os plugins dispon\u00edveis no reposit\u00f3rio oficial passam por severas avalia\u00e7\u00f5es de especialistas na ferramenta, garantindo assim mais seguran\u00e7a no conte\u00fado disponibilizado. Al\u00e9m desta avalia\u00e7\u00e3o, existem diversas regras para que os plugins continuem a ser disseminados atrav\u00e9s do site oficial, e uma delas \u00e9 a disponibiliza\u00e7\u00e3o constante de atualiza\u00e7\u00f5es.<\/p>\n\n\n\n

<\/span>III. Permiss\u00f5es de pastas e arquivos<\/span><\/h2>\n\n\n\n

As permiss\u00f5es dos diret\u00f3rios e arquivos s\u00e3o, muitas vezes, negligenciadas pelos administradores de diversos sites. Al\u00e9m disso, permiss\u00f5es definidas incorretamente podem abrir um leque de oportunidades para as a\u00e7\u00f5es dos invasores. Abaixo, as permiss\u00f5es que devem ser definidas no conte\u00fado de sua ferramenta:<\/p>\n\n\n\n

Conte\u00fado<\/td>N\u00edvel de permiss\u00e3o<\/td><\/tr>
Diret\u00f3rios<\/td>755<\/td><\/tr>
Arquivos<\/td>644<\/td><\/tr>
wp-config.php<\/td>600<\/td><\/tr>
debug.log<\/td>600<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

<\/span>IV. wp-config.php<\/span><\/h2>\n\n\n\n

Este \u00e9 o arquivo principal de configura\u00e7\u00e3o do WP, ele possui informa\u00e7\u00f5es essenciais para o funcionamento do CMS, proteg\u00ea-lo \u00e9 extremamente importante.
Use permiss\u00e3o 400 ou 600 quando algum plugin ou tema necessitar permiss\u00f5es de escrita no wp-config.php<\/span>.<\/p>\n\n\n\n

Portanto, proteja o conte\u00fado atrav\u00e9s do .htaccess<\/span> inserindo o seguinte conte\u00fado: <\/p>\n\n\n\n

<files wp\u00ad-config.php>
order allow,deny
deny from all
<\/files><\/pre>\n\n\n\n
Al\u00e9m disso, desabilite a edi\u00e7\u00e3o de plugins e temas via administra\u00e7\u00e3o do WordPress<\/u>
 No arquivo wp-config.php<\/span>, insira a seguinte linha: <\/p>\n\n\n\n
define ( \u2018DISALLOW_FILE_EDIT\u2019, true );\n<\/pre>\n\n\n\n
<\/i> Atualize as chaves \u00fanicas de autentica\u00e7\u00e3o e salts<\/u>
\nUtilize chaves \u00fanicas diferentes das instaladas por padr\u00e3o em seu WP. Para isso, acesse api.wordpress.org\/salts<\/a> e substitua as existentes no arquivo.\n<\/p>\n\n\n\n
define('AUTH_KEY',         'A=~2R\/I?0Bv125cOvs[$_#+rhe`JOaJigj4U~5H,QRB>SIe.rRtuA_2%@9d9w[u$');\ndefine('SECURE_AUTH_KEY',  '=l8lf1~e6<5e}_<-}gS$-|z_ST$<%Ym9`Eq+|!fHu6}jSX_57=v8R-K@ <`;\/7(K');\ndefine('LOGGED_IN_KEY',    'iWnZ%V4nvXZx.Aj-p`60I%|J5[hK+%<*FS3!oY^H!ZjY0|Jy119OJzl)ytn[BOqS'); define('NONCE_KEY', ']H*J-k.p~4*p:?y6 LOgJ!S-\/h>AQA0+LSXMn}POS3\/]qa%l*VcP%B.0FfXt0apY');\ndefine('AUTH_SALT',        '{yc|cs,rH[Oa=PI+nRyjC5baK7@8`=j\/R5+|PCK,%YD8E^JZF|N\/8hJ-E^k#)Tk(');\ndefine('SECURE_AUTH_SALT', '?8\/BaVO<*[VnD]=5T2m-VK#s+uytbG(E@3VNEy=EvN4)Xtk\/2$HEZh5 ZFB(gn4y'); define('LOGGED_IN_SALT', 'Gy0%2Gq.CEM:Ma(6@{G:EL4-t3J6e\/fQ+[w>hWKn{2l&22>[i4>m|HlZ]c|+uu|q');\ndefine('NONCE_SALT',       '@JY-f0u<)7|xV.wI\/]!8;%PGuHP`x758G6WU-W*Ug^@\/*TYv]fpk]01bo<UPtjo_');<\/code><\/pre>\n\n\n\n
<\/span>V. Banco de dados<\/span><\/h2>\n\n\n\n
N\u00e3o utilize o prefixo padr\u00e3o (wp_) nas tabelas do seu banco de dados, pois esta caracter\u00edstica pode ser explirada. Portanto opte por um prefixo personalizado.
Al\u00e9m disso, renomeie o usu\u00e1rio admin<\/strong> caso ele ainda seja utilizado.<\/p>\n\n\n\n
<\/span>VI. Exclua arquivos desnecess\u00e1rios<\/span><\/h2>\n\n\n\n
Alguns arquivos disponibilizam informa\u00e7\u00f5es sobre o CMS instalado, ao qual podem servir de muni\u00e7\u00e3o para os invasores. Estes arquivos n\u00e3o s\u00e3o utilizados ap\u00f3s a ferramenta instalada, sendo assim, \u00e9 recomendada a exclus\u00e3o destes arquivos.
\nExclua os seguintes arquivos: \/wp-config-sample.php<\/em>, \/wp-admin\/install.php<\/em>, \/readme.html<\/em>.<\/p>\n\n\n\n
<\/span>VII. Robots.txt<\/span><\/h2>\n\n\n\n
Alguns conte\u00fados importantes do seu site n\u00e3o devem ser indexados pelos buscadores, sendo assim insira o conte\u00fado abaixo no arquivo robots.txt para evitar a indexa\u00e7\u00e3o destes conte\u00fados:\n<\/p>\n\n\n\n
User-agent: *\nDisallow: \/feed\/\nDisallow: \/trackback\/\nDisallow: \/wp-admin\/\nDisallow: \/wp-content\/\nDisallow: \/wp-includes\/\nDisallow: \/xmlrpc.php\nDisallow: \/wp-<\/code><\/pre>\n\n\n\n
<\/span>VIII. Varredura com antiv\u00edrus da KingHost<\/span><\/h2>\n\n\n\n
Aqui na KingHost, disponibilizamos uma ferramenta de antiv\u00edrus que faz uma varredura em todo o seu conte\u00fado e move para quarentena tudo o que for considerado malicioso. Al\u00e9m disso, nossa recomenda\u00e7\u00e3o \u00e9 que seja feita uma varredura peri\u00f3dica em seu conte\u00fado como medida adicional de seguran\u00e7a.
Para utilizar a ferramenta, acesse o seu painel de controle e encontre a op\u00e7\u00e3o Antivirus<\/strong> na parte central do seu Painel de Controle, \u00e9 a\u00ed que voc\u00ea encontra ainda mais informa\u00e7\u00f5es sobre a utiliza\u00e7\u00e3o da ferramenta.<\/p>\n\n\n\n
<\/span>IX. Proteger p\u00e1gina de login<\/span><\/h2>\n\n\n\n
Por fim, reparamos um conte\u00fado especial sobre esse assunto! Acesse: Proteger a p\u00e1gina de login do WordPress<\/a>.<\/p>\n\n\n\n
       <\/em><\/p>\n\n\n\n
Quer saber mais? Continue sua leitura no blog da KingHost. Confira abaixo!
Vulnerabilidade digital: 7 dicas de como proteger seu neg\u00f3cio<\/a><\/p>\n","protected":false},"author":9,"featured_media":0,"menu_order":4,"comment_status":"closed","ping_status":"closed","template":"","format":"standard","article-category":[214],"article-tag":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/article\/197"}],"collection":[{"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/article"}],"about":[{"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/types\/article"}],"author":[{"embeddable":true,"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/comments?post=197"}],"version-history":[{"count":4,"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/article\/197\/revisions"}],"predecessor-version":[{"id":25508,"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/article\/197\/revisions\/25508"}],"wp:attachment":[{"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/media?parent=197"}],"wp:term":[{"taxonomy":"article-category","embeddable":true,"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/article-category?post=197"},{"taxonomy":"article-tag","embeddable":true,"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/article-tag?post=197"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}