Segurança WordPress – Como ocultar os usuários e etc

Vou mostrar como ocultar os autores/usuários do seu WordPress.

Essa técnica utiliza o .htaccess e o módulo Rewrite (mod_rewrite)

Abra o arquivo .htaccess (está na raiz do seu site. Caso não existe, crie-o.) e cole os seguintes códigos:

# BEGIN GZASEC
<IfModule mod_rewrite.c>
RewriteCond %{QUERY_STRING} author=\d
RewriteRule ^ /? [L,R=301]
</IfModule>
# END GZASEC

# BEGIN GZASEC2
<IfModule mod_rewrite.c>
RedirectMatch /author/(.*) /
RedirectMatch /author$ /
</IfModule>
# END GZASEC2

O Primeiro evita que seus autores/usuários sejam descobertos através da técnica chamada User Enumeration.

Essa técnica é simples, basta por na barra de endereço: http://seusite.com.br/?author=1 e teclar ENTER que o wordpress vai retorna a página do autor/usuario.

O segundo, evita que os autores/usuários sejam descobertos pelo seu usuário.

Esse ataque poderia ser feito com o auxílio de uma wordlist (lista de palavras).

Um exemplo simples seria por o nome do site na barra de endereço: http://seusite.com.br/author/seusite.

Ou até mesmo:

http://seusite.com.br/author/admin

http://seusite.com.br/author/administrador

Sem o segundo código, o wordpress exibiria os posts relacionados ao autor/usuário em questão se o mesmo existisse.

Lembrando que o módulo Rewrite deve estar devidamente instalado em seu servidor.


Permissionamento de arquivos

A grande maioria dos casos que presenciamos de invasões é porque algum diretório foi equivocadamente configurado com todas as permissões possíveis, sem necessidade. Este é o famoso “Configure 777 no diretório, vai funcionar”. E eu posso afirmar que configurar “777” em um diretório é o mesmo que escrever atrás do seu cartão de banco a senha do débito ou saque. Ou seja, um erro motivado pela preguiça.

  • Use chmod 700 em seus programas executáveis (cgis)
  • Use chmod 755 em seus diretórios
  • Use chmod 644 em seus arquivos PHP
  • Use chmod 640 em seus arquivos wp-config.php.

Para mais informações aconselho a leitura do manual do WordPress, precisamente esta seção:
http://codex.wordpress.org/Changing_File_Permissions


Use o .htaccess como fator extra de proteção

Proteja o wp-config sempre que for possível. Experimente usar a seguinte configuração em seu .htaccess:

<files wp-config.php>
order allow,deny
deny from all
</files>


Use a autenticação de dois fatores do Google com seu mobile

About professores

Professor particular de informática em Curitiba especializado em atender a Terceira Idade. Atendo apenas na casa do aluno.