1. Home
  2. Dicas para proteger seu WordPress

Dicas para proteger seu WordPress

Infelizmente, a maioria dos sites em WordPress não estão devidamente protegidos, já que aparentemente parece ser necessário apenas instala-lo e personaliza-lo. Tal desatenção pode e costuma ser fonte de enormes problemas futuros, pois qualquer site na web não está imune a invasões, e existem inumeras formas de invadir um site.

Abaixo vamos listar algumas dicas para se proteger destas ameaças.

Permissões para aquivos e pastas

Definir corretamente as permissões para as pastas e arquivos é necessário, pois assim você impede que os arquivos sejam acessados e as informações confidenciais sejam obtidas.

Abaixo segue a tabela com os códigos de permissão (formato octal):

| | r | w | x | ”’Descrição”’
| 0 | – | – | – | Nenhuma permissão de acesso.
| 1 | – | – | x | Permissão somente de execução (x).
| 2 | – | x | – | Permissão somente de gravação (w).
| 3 | – | x | x | Permissões de gravação e execução (wx).
| 4 | x | – | – | Permissão somente de leitura (r).
| 5 | x | – | x | Permissões de leitura e execução (rx).
| 6 | x | x | – | Permissões de leitura e gravação (rw).
| 7 | x | x | x | Permissão total (leitura, gravação e execução, rwx).

Arquivo/Diretório Permissão
.htaccess 444
wp-config.php 440
index.php 644
/themes 711
/wp-admin 755
/wp-includes 755
/wp-content 755
Chaves, salts e prefixo da tabela MySQL

O WordPress gerencia as sessões de login armazenando as informações em cookies em vez de usar sessões PHP.

Esses cookies são protegidos por meio de cálculo especial no nome de usuário, senha e um longo texto aleatório. Esse “longo texto aleatório” é usado para calcular o cookie. Inserir chaves e salts únicas vão adicionar uma proteção extra.

Obs.: Se o prefixo da tabela for alterado em um WordPress já instalado, será necessário alterar o prefixo no banco de dados também.

Caso não saiba fazer o procedimento manualmente ou tenha dificuldades pode se usar o plugin: All In One WP Security

Este é um bom começo, porém ainda não é o suficiente, seguem outras dicas abaixo.

Backup

É altamente recomendável sempre ter um cópia de segurança de sua instalação do WordPress antes de realizar qualquer modificação ou atualização. Não é raro vermos plugins ou atualizações derrubarem completamente o site por alguma incompatibilidade com outros recursos.

Portanto, leve sempre em consideração o fator risco, e faça um cópia dos arquivos de seu WordPress e do banco de dados MySQL.

Para fazer essa cópia de segurança, você pode usar algum dos diversos plugins disponíveis. Verifique as opções no repositório oficial do WordPress.

Plugins, Temas e Atualizações

Temas e plugins podem ser a porta de entrada para as invasões. Por isso é fundamental manter seu tema / plugin sempre atualizado, pois conforme as versões do WordPress são atualizadas, algumas funções podem se tornar obsoletas e outras podem ser adicionadas.

Atualizar a versão de seu WordPress é adicionar um fator proteção maior, pois cada atualização traz novas implementações de segurança.

Fuja do óbvio

Área de administração e Senhas

Proteger seu painel de administração é fundamental, pois se algum intruso invadir sua administração, ele pode publicar posts com Phishing, redirecionar seu site para uma página maliciosa, derrubar seu site e outras diversas possibilidades.

Não use o login padrão do Admin do WordPress
Ao realizar a instalação de um novo site ou blog por padrão é criado um usuário chamado admin. Este usuário tem poderes de administrador no blog e é o primeiro login a ser utilizado em uma tentativa de acesso não autorizado removê-lo ou renomeá-lo,  já vai minimamente fazer com que o atacante tenha mais trabalho para tentar descobrir outro nome de usuário.

Alterando o link de acesso
Existem várias formas de alterar o endereço de acesso a administração que normalmente é http://dominio.com.br/wp-admin

Obviamente a forma mais fácil é fazer isso por meio de plugins como o Rename WP-login. Novamente, fuja do obvio, altere a URL de acesso para um endereço não convencional.

Boas práticas de login e senha
Também é importante ser criativo ao criar um login de acesso, seja ele do tipo administrador ou colaborador. Usuários com nomenclaturas comuns como: admin, adminsitrador, nome do site, seu nome e etc… serão os primeiros a serem testados por algum possível invasor.
Quando for criar uma senha para o acesso ao banco de dados e para o admin do WordPress utilize sempre letras e números e caracteres especiais, isso dificulta o acesso de invasores.

Atualizado em 16 de abril de 2019

Este artigo foi útil ?