Como melhorar a segurança do seu blog WordPress

O WordPress é o sistema de gerenciamento de conteúdo auto-hospedado (CMS) mais popular na Internet e, portanto, como o Microsoft Windows, também é o alvo mais popular de ataques. O software é de código aberto, hospedado no Github, e os hackers estão sempre procurando bugs e vulnerabilidades que podem ser exploradas para obter acesso a outros sites WordPress.

O mínimo que você pode fazer para manter sua instalação do WordPress segura é garantir que ela esteja sempre executando a versão mais recente do software WordPress.org e também que os vários temas e plugins sejam atualizados. Aqui estão algumas outras coisas que você pode fazer para melhorar a segurança de seus blogs WordPress:

#1. Faça login com sua conta do WordPress

Quando você instala um blog WordPress, o primeiro usuário é chamado de “admin” por padrão. Você deve criar um usuário diferente para gerenciar seu blog WordPress e remover o usuário “admin” ou alterar a função de “administrador” para “assinante”.

Você pode criar um nome de usuário completamente aleatório (difícil de adivinhar) ou uma alternativa melhor seria ativar o logon único com o Jetpack e usar sua conta do WordPress.com para fazer login em seu blog WordPress auto-hospedado.

#2. Não anuncie sua versão do WordPress para o mundo

Os sites do WordPress sempre publicam o número da versão, tornando mais fácil para as pessoas determinarem se você está executando uma versão desatualizada e não corrigida do WordPress.

É fácil remover a versão do WordPress da página, mas você precisa fazer mais uma alteração. Exclua o arquivo readme.html do diretório de instalação do WordPress, pois ele também anuncia sua versão do WordPress para o mundo.

#3. Não deixe que outros “gravem” no seu diretório WordPress

Faça login no seu shell do WordPress Linux e execute o seguinte comando para obter uma lista de todos os diretórios “abertos” onde qualquer outro usuário pode gravar arquivos.

encontrar . -tipo d -perm -o=w

Você também pode executar os dois comandos a seguir em seu shell para definir as permissões corretas para todos os seus arquivos e pastas do WordPress (referência).

encontre /seu/wordpress/pasta/ -type d -exec chmod 755 {} \; encontre /seu/wordpress/pasta/ -type f -exec chmod 644 {} \;

Para diretórios, 755 (rwxr-xr-x) significa que apenas o proprietário tem permissão de gravação enquanto outros têm permissões de leitura e execução. Para arquivos, 644 (rw-r—r—) significa que os proprietários dos arquivos têm permissões de leitura e gravação, enquanto outros podem apenas ler os arquivos.

#4. Renomeie seu prefixo de tabelas do WordPress

Se você instalou o WordPress usando as opções padrão, suas tabelas do WordPress terão nomes como wp posts ou wp_users. Portanto, é uma boa ideia alterar o prefixo das tabelas (wp ) para algum valor aleatório. O plugin Change DB Prefix permite renomear seu prefixo de tabela para qualquer outra string com um clique.

#5. Impedir que os usuários naveguem em seus diretórios do WordPress

Isso é importante. Abra o arquivo .htaccess no diretório raiz do WordPress e adicione a seguinte linha no topo.

Opções - Índices

Isso impedirá que o mundo exterior veja uma lista de arquivos disponíveis em seus diretórios caso os arquivos index.html ou index.php padrão estejam ausentes desses diretórios.

#6. Atualize as chaves de segurança do WordPress

Acesse aqui para gerar seis chaves de segurança para seu blog WordPress. Abra o arquivo wp-config.php dentro do diretório WordPress e substitua as chaves padrão pelas novas.

Esses sais aleatórios tornam suas senhas armazenadas do WordPress mais seguras e a outra vantagem é que, se alguém estiver logado no WordPress sem o seu conhecimento, ele será desconectado imediatamente, pois seus cookies se tornarão inválidos agora.

#7. Mantenha um log de erros do WordPress PHP e do banco de dados

Os logs de erros às vezes podem oferecer dicas fortes sobre que tipo de consultas inválidas ao banco de dados e solicitações de arquivos estão atingindo sua instalação do WordPress. Prefiro o Error Log Monitor, pois envia periodicamente os logs de erros por e-mail e também os exibe como um widget dentro do painel do WordPress.

Para habilitar o log de erros no WordPress, adicione o seguinte código ao seu arquivo wp-config.php e lembre-se de substituir /path/to/error.log pelo caminho real do seu arquivo de log. O arquivo error.log deve ser colocado em uma pasta não acessível pelo navegador (referência).

define('WP_DEBUG', true); if (WP_DEBUG) { define('WP_DEBUG_DISPLAY', false); @ini_set('log_errors', 'On'); @ini_set('display_errors', 'Desativado'); @ini_set('error_log', '/path/to/error.log'); }

#9. Proteja com senha o painel de administração

É sempre uma boa ideia proteger com senha a pasta wp-admin do seu WordPress, pois nenhum dos arquivos nesta área é destinado a pessoas que visitam seu site público do WordPress. Uma vez protegidos, até mesmo os usuários autorizados terão que digitar duas senhas para fazer login no painel de administração do WordPress.

10. Acompanhe a atividade de login no seu servidor WordPress

Você pode usar o comando “last -i” no Linux para obter uma lista de todos os usuários que fizeram login no seu servidor WordPress junto com seus endereços IP. Se você encontrar um endereço IP desconhecido nesta lista, definitivamente é hora de alterar sua senha.

Além disso, o comando a seguir mostrará a atividade de login do usuário por um longo período de tempo agrupado por endereços IP (substitua USERNAME pelo seu nome de usuário do shell).

last -if /var/log/wtmp.1 | grep NOME DE USUÁRIO | awk '{print $3}' | classificar | unico -c

Monitore seu WordPress com Plugins

O repositório WordPress.org contém alguns bons plugins relacionados à segurança que monitorarão continuamente seu site WordPress em busca de intrusões e outras atividades suspeitas. Aqui estão os essenciais que eu recomendaria.

1. Exploit Scanner - Ele verifica rapidamente todos os seus arquivos do WordPress e postagens de blog e lista os que podem ter código malicioso. Links de spam podem estar ocultos em suas postagens de blog do WordPress usando CSS ou IFRAMES e o plug-in também os detectará.
2. WordFence Security - Este é um plugin de segurança extremamente poderoso que você deve ter. Ele comparará seus arquivos principais do WordPress com os arquivos originais no repositório para que quaisquer modificações sejam detectadas instantaneamente. Além disso, o plug-in bloqueará os usuários após 'n' tentativas de login malsucedidas.
3. WP Notifier - Se você não fizer login no painel de administração do WordPress com muita frequência, este plugin é para você. Ele enviará alertas por e-mail sempre que novas atualizações estiverem disponíveis para os temas, plugins e núcleo do WordPress instalados.
4. VIP Scanner - O plug-in de segurança “oficial” verificará seus temas do WordPress em busca de problemas. Ele também detectará qualquer código de publicidade que possa ter sido injetado em seus modelos do WordPress.
5. Sucuri Security - Ele monitora seu WordPress para quaisquer alterações nos arquivos principais, envia notificações por e-mail quando qualquer arquivo ou postagem é atualizado e também mantém um registro da atividade de login do usuário, incluindo logins com falha.

Dica: Você também pode usar o seguinte comando do Linux para obter uma lista de todos os arquivos que foram modificados nos últimos 3 dias. Altere mtime para mmin para ver os arquivos modificados “n” minutos atrás.

encontrar . -type f -mtime -3 | grep -v “/Maildir/” | grep -v “/logs/”

Proteja sua página de login do WordPress

Sua página de login do WordPress é acessível para todo o mundo, mas se você deseja impedir que usuários não autorizados façam login no WordPress, você tem três opções.

1. Proteger com senha com .htaccess - Isso envolve proteger a pasta wp-admin do seu WordPress com um nome de usuário e senha, além de suas credenciais normais do WordPress.
2. Google Authenticator - Este excelente plugin adiciona verificação em duas etapas ao seu blog WordPress semelhante à sua Conta do Google. Você terá que digitar a senha e também o código dependente do tempo gerado no seu celular.
3. Login sem senha - Use o plug-in Clef para fazer login no seu site WordPress digitalizando um código QR e você pode encerrar remotamente a sessão com seu próprio telefone celular.

Veja também: Plugins WordPress obrigatórios