Blog: segurança wordpress

Dicas de Segurança Wordpress

Se você tem acesso ao seu servidor, poderá alterar as permissões de arquivos recursivamente utilizando os comandos a seguir:

Logar no terminal SSH e use as seguintes sintaxes de comandos no servidor.

Para diretórios:

find /caminho/para/a/pasta/do/wordpress/ -type d -exec chmod 755 {} \;

Para arquivos:

find /caminho/para/a/pasta/do/wordpress/ -type f -exec chmod 644 {} \;

Protegendo a Área Admimistrativa

Problema: Os ataques mais comuns a uma instalação WordPress geralmente caem em duas categorias: i Enviam pedidos HTTP para o servidor, especialmente programados para explorar a carga útil procurando vulnerabilidades específicas. Estes incluem plugins e softwares antigos ou desatualizados. ii Tentam ganhar acesso ao seu site usando ataques de “força bruta”, para adivinhar a sua senha.

Solução: A melhor implementação dessa segunda camada de segurança por senha é exigir uma conexão criptografada HTTP SSL para a administração do site, de forma que toda a comunicação e dados sensíveis seja criptografada. Conforme abaixo (Leia mais):

Administration Over SSL

Naturalmente você deve ter habilitado o acesso https para seu blog. Alguns webhosting já oferecem o serviço gratuitamente, verifique se for o seu caso.

cologque dentro do wp-config.php a sintaxe: define('FORCE_SSL_ADMIN', true);<br /> if (strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false)<br /> $_SERVER['HTTPS']='on';

Entre no .htaccess para adicionar as linhas RewriteRule !^/wp-(admin|login|register)(.) - [C]<br /> RewriteCond %{THE_REQUEST} ^[A-Z]{3,9}\ /(.)\ HTTP/ [NC]<br /> RewriteCond %{HTTPS} !=on [NC]<br /> RewriteRule ^/?(wp-admin/|wp-login.php) https://%{SERVER_NAME}%{REQUEST_URI}%{QUERY_STRING} [R=301,QSA,L]

Adicione um arquivo .htaccess dentro do diretório wp-admin mesmo que seu .htaccess raíz tenha o comando optins -indexes

Protegendo o Diretórios funcionais

Uma segunda camada de proteção pode ser adicionada nas partes onde os scripts geralmente não devem ser acessados por nenhum usuário. Uma forma de fazer isso é usar mod_rewrite para bloquear os scripts no arquivo .htaccess.

`# Block the include-only files. RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L]

BEGIN WordPress`

Protegendo o Arquivo de Configuração

Você pode mover o arquivo wp-config.php para o diretório logo acima da sua instalação do WordPress. Assim, para sites instalados na raiz do servidor, o arquivo wp-config.php podera ficar for da área acessível.

order allow,deny deny from all