Muitas vezes o WordPress é acusado como não seguro e na maioria das vezes a culpa é do próprio usuário que não segue uma linha básica para evitar que problemas de invasão ocorram.
Nesse post irei informar várias dicas que deixe sua instalação mais segura.
Então vamos lá.
Deixe sempre o WordPress, os plugins e temas atualizados.
A comunidade do WordPress é muito ativa, então correções e otimizações são sempre postadas. Isso inclui plugins e temas.
Remova plugins e temas que não são utilizados.
As vezes fazemos testes com plugins e temas e vamos deixando eles lá, parados, sem utilização. Se não for utilizar, remova-os.
Definir permissão de pasta e arquivos
Deixe por padrão as permissões (Chmod) dos arquivos como 644 e das pastas 755.
Restringir mais a permissão do arquivo .haccess e wp-config.php
Deixe o arquivo .htaccess e wp-config.php com permissão 400. Esta permissão no arquivo wp-config.php pode ser adicionada no .htaccess.
<files wp-config.php> order allow,deny deny from all </files>
Restringir acesso ao wp-includes e wp-admin/includes
Adicione no arquivo .htaccess:
RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L]
Desabilitar Editor de temas e Plugins
Apesar de ser comodo editar algo pelo editor, é recomendável desativá-lo em produção. Basta adicionar no arquivo wp-config.php o seguinte código:
define('DISALLOW_FILE_EDIT', true);
Remova a versão do WordPress do site
Sempre remova a versão do WordPress.
Caso você esteja com uma versão mais antiga e há alguma brecha conhecida, você pode ser atacado já que o invasor sabe a versão que seu WordPress possui. Adicione no arquivo functions.php do seu tema o seguinte código:
remove_action('wp_head', 'wp_generator');
Altere ou exclua o usuário admin
Por padrão usamos usuário admin quee tem o ID 1. Dessa forma, qualquer usuário mal intencionado já saberá em 99% dos casos o nome e id de um de seus usuários e neste caso, o usuário mais importante, já que é o administrador.
Você pode fazer essa alteração no banco de dados através da tabela wp_users. Se for alterar o ID, acesse as tabelas wp_users e wp_usermeta e wp_posts.
Altere o prefixo das tabelas do WordPress
Você pode dificultar os ataques de SQL injection alterando o prefixo, que por padrão é wp_. Lembramos que isso pode ser configurado no ato da instalação do WordPress em seu Wizard. Mas caso você já tenha instalado o WordPress com este prefixo padrão, não se preocupe. Há uma maneira de corrigir isso.
Depois de alterar no banco de dados, informe o novo prefixo no wp-config.php.
Gostou das dicas?
Deixe seu comentário e compartilhe.
Um abraço e até a próxima.