Se você possui um um blog, site ou mesmo um sistema nessa que é a plataforma CMS mais popular do planeta, é bom ficar ligado! Da mesma forma que o WordPress é tão desejado pelas suas funcionalidades, facilidades em encontrar plugins e mesmo de otimização, é igualmente visado por hackers e invasores que sabem encontrar brechas muitas vezes simples de bloquear.
Abaixo seguem algumas dicas para dificultar o hacking do seu blog, site ou aplicação WordPress.
Não utilize o nome de usuário “admin”
Pode parecer redundante essa dica, mas é sério… NUNCA use o nome “admin” como usuário! Será o primeiro nome que a maioria dos bots tentarão utilizar para logar e invadir seu sistema. Para os hackers, saber que mais da metade das pessoas não alteram esse nome que vem por padrão no WordPress, isso já representa mais da metade do trabalho de invasão; os bots precisarão se concentrar apenas na senha.
Se você estiver utilizando sua plataforma com o nome de usuário “admin”, crie uma nova conta de usuário com status de administrador, faça o login come essa nova conta e delete a conta admin que vem por padrão. Ah… não se esqueça de transferir todos os posts ou páginas criadas pela conta admin para essa nova conta.
Use uma senha forte
Escolher uma senha forte será um fator decisivo para dificultar ou mesmo impedir a invasão por meio de bots, e algo necessário principalmente para as contas de administrador. O ideal é não utilizar apenas uma palavra ou nome. Procure uma combinação que junte letras maiúsculas e minúsculas, números e caracteres especiais – lembrando que uma boa senha deve ter no mínimo dez caracteres de tamanho, e quanto maior mais forte e segura sua senha será.
Mova o wp-config.php para outro local
O arquivo wp-config do WordPress armazena informaçõs valiosas como a localização de seu banco de dados, o nome do usuário e a senha, além das chaves de autenticação do seu WordPress.
Note que wp-config.php pode ser armazenado UM nível de diretório acima da instalação do WordPress (de onde o wp-includes reside). Além disso, certifique-se de que somente você (e o servidor da Web) possa ler esse arquivo (geralmente significa uma permissão 400 ou 440).
Não permita que os administradores editem plugins ou temas
Por padrão, o WordPress permite que os administradores editem o código-fonte de qualquer plugin ou tema diretamente no navegador web. Desabilite essa funcionalidade de modo que, no caso de um hacker poder efetuar login em uma de suas contas de administrador, ele não possa adicionar nenhum código malicioso por meio da interface de usuário do administrador para editar código. Para desativar essa funcionalidade, acrescente este código ao seu arquivo wp-config.php:
<?php
define( ‘DISALLOW_FILE_EDIT’ , true );
?>
Altere o prefixo padrão das tabelas do banco de dados
A instalação padrão do WordPress utiliza wp_ como prefixo para todas as tabelas do banco de dados. Ao simplesmente alterar esse prefixo para algo diferente, você garantirá que seu site seja muito menos vulnerável aos hackers que tentarem efetuar injeções de SQL e que partirem do pressuposto que o prefixo wp_ genérico está sendo utilizado. Em uma instalação nova do WordPress, você terá a opção de usar qualquer prefixo de tabela desejado; altere o prefixo wp_ default para algo personalizado.
Se quiser fazer isso em um site WordPress que já esteja ativo e em execução, os passos a seguir poderão ser seguidos:
1. Crie um backup do banco de dados somente para o caso de algo dar errado! – isso é sério! faça SEMPRE backups antes de executar alguma atualização no banco de dados!
2. Abra wp-config.php e altere
$table_prefix = ‘wp_’;
para
$table_prefix = ‘novoprefixo_‘;
Oculte a versão do seu WordPress
Cada versão do WordPress terá algumas vulnerabilidades. Se um hacker identificar qual versão do WordPress você está usando, ele poderá explorá-lo para obter o controle do seu site por meio das vulnerabilidades conhecidas. Muitos bots vasculham a web em busca especificamente de sites WordPress em determinadas versões, procurando sites com vulnerabilidades conhecidas e que possam ser exploradas para a invasão. Por padrão, o WordPress exibe dentro dode todas as páginas o código
Abra o arquivo functions.php do seu tema e implemente as linhas de código abaixo:
remove_action (‘wp_head’, ‘wp_generator’);
Isso irá ocultar o número da sua versão do WP, o que dará uma proteção adicional para o seu site.
Faça um backup manual do seu banco de dados
Faça o login no phpMyAdmin do painel administrativo do seu domínio, selecione o banco de dados da instalação WordPress que você deseja fazer backup. Clique em exportar, escolha um método de compactação e clique em executar. Quando o seu navegador solicitar que você faça o download do backup, clique em sim.
Desative a mensagem de erro de log do WordPress
Ajuste seu functions.php adicionando o trecho de código a seguir para desabilitar a mensagem de erro do WordPress.
function no_wordpress_errors () {
return ‘DÊ O FORA DÁ MINHA ÁREA !! AGORA MESMO !!’;
}
add_filter (‘login_errors’, ‘no_wordpress_errors’);
Negue acesso para todos arquivos .htaccess
Adicione ao seu arquivo .htaccess o seguinte trecho para negar acesso a todos os arquivos .htaccess files
# Deny access to all .htaccess files
order allow,deny
deny from all
satisfy all
Desabilite acesso a todos os tipos de arquivos, exceto os sugeridos abaixo
Crie um novo arquivo .htaccess, adicione o seguinte código abaixo e faça o upload do arquivo dentro da pasta wp-content.
# Disable access to all file types except the following
Order deny,allow
Deny from all
Allow from all
Template file editing
Qualquer usuário do WordPress com acesso de administrador pode editar modelos navegando para Aparência > Editor. Você pode desabilitar a edição de arquivos de modelo adicionando a seguinte linha de código a wp-config.php:
define (‘DISALLOW_FILE_EDIT’, true);
Restrinja o acesso ao arquivo wp-includes
Novamente, adicione o código ao arquivo .htaccess para desativar o acesso ao wp-includes.php
# Bloco wp-includes pasta e arquivos
RewriteEngine On
RewriteBase /
RewriteRule ^ wp-admin / inclui / – [F, L]
RewriteRule! ^ Wp-includes / – [S = 3]
RewriteRule ^ wp-includes / [^ /] + \. Php $ – [F, L]
RewriteRule ^ wp-includes / js / tinymce / idiomas /.+ \. Php – [F, L]
RewriteRule ^ wp-includes / theme-compat / – [F, L]
</ IfModule>
Redefina manualmente sua senha
Logue no phpMyAdmin, selecione o seu banco de dados, clique SQL e cole o seguinte comando:
UPDATE `wp_users` SET `user_pass` = MD5(‘SENHA’) WHERE `wp_users`.`user_login` =`admin` LIMIT 1;
Atenção: Você precisa mudar o ‘admin’ para o seu atual nome de usuário e ‘SENHA’ para a sua senha escolhida.
Conclusão
Essas dicas tornarão seu blog ou site à prova de balas? Certamente não. Mas esses são apenas alguns passos que você pode dar para tornar seu website ou blog mais seguro. E para mim, isso me ajuda a dormir melhor à noite – assim como colocar uma corrente extra ou trava na porta.
Observação: antes de sair alterando sua estrutura de arquivos, faça backup de tudo e tenha certeza de que esta à vontade com o que você está fazendo. Você pode prejudicar seriamente o seu blog WordPress se você excluir a coisa errada. Você foi avisado!!
É isso! A partir de agora você fez um hardening, ou seja, fortaleceu a segurança do seu site.
No Comments