Dicas de Segurança WordPress

Se você tem acesso ao seu servidor, poderá alterar as permissões de arquivos recursivamente utilizando os comandos a seguir:

Logar no terminal SSH e use as seguintes sintaxes de comandos no servidor.

Para diretórios:

find /caminho/para/a/pasta/do/wordpress/ -type d -exec chmod 755 {} \;

Para arquivos:

find /caminho/para/a/pasta/do/wordpress/ -type f -exec chmod 644 {} \;

Protegendo a Área Admimistrativa

Problema: Os ataques mais comuns a uma instalação WordPress geralmente caem em duas categorias: i Enviam pedidos HTTP para o servidor, especialmente programados para explorar a carga útil procurando vulnerabilidades específicas. Estes incluem plugins e softwares antigos ou desatualizados. ii Tentam ganhar acesso ao seu site usando ataques de “força bruta”, para adivinhar a sua senha.

Solução: A melhor implementação dessa segunda camada de segurança por senha é exigir uma conexão criptografada HTTP SSL para a administração do site, de forma que toda a comunicação e dados sensíveis seja criptografada. Conforme abaixo (Leia mais):

Administration Over SSL
Naturalmente você deve ter habilitado o acesso https para seu blog. Alguns webhosting já oferecem o serviço gratuitamente, verifique se for o seu caso.

cologque dentro do wp-config.php a sintaxe:
define('FORCE_SSL_ADMIN', true);
if (strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false)
$_SERVER['HTTPS']='on';

Entre no .htaccess para adicionar as linhas
RewriteRule !^/wp-(admin|login|register)(.*) - [C]
RewriteCond %{THE_REQUEST} ^[A-Z]{3,9}\ /(.*)\ HTTP/ [NC]
RewriteCond %{HTTPS} !=on [NC]
RewriteRule ^/?(wp-admin/|wp-login\.php) https://%{SERVER_NAME}%{REQUEST_URI}%{QUERY_STRING} [R=301,QSA,L]

Adicione um arquivo .htaccess dentro do diretório wp-admin mesmo que seu .htaccess raíz tenha o comando optins -indexes

Protegendo o Diretórios funcionais

Uma segunda camada de proteção pode ser adicionada nas partes onde os scripts geralmente não devem ser acessados por nenhum usuário. Uma forma de fazer isso é usar mod_rewrite para bloquear os scripts no arquivo .htaccess.

# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
# BEGIN WordPress

Protegendo o Arquivo de Configuração

Você pode mover o arquivo wp-config.php para o diretório logo acima da sua instalação do WordPress. Assim, para sites instalados na raiz do servidor, o arquivo wp-config.php podera ficar for da área acessível.

order allow,deny
deny from all