Dicas de Segurança para WordPress

Definir corretamente as permissões para as pastas e arquivos é necessário, pois assim você impede que os arquivos sejam acessados e as informações confidenciais sejam obtidas.

Abaixo segue a tabela com os códigos de permissão (formato octal):

|   | r | w | x |                    ”’Descrição”’
| 0 | – | – | – | Nenhuma permissão de acesso.
| 1 | – | – | x | Permissão somente de execução (x).
| 2 | – | x | – | Permissão somente de gravação (w).
| 3 | – | x | x | Permissões de gravação e execução (wx).
| 4 | x | – | – | Permissão somente de leitura (r).
| 5 | x | – | x | Permissões de leitura e execução (rx).
| 6 | x | x | – | Permissões de leitura e gravação (rw).
| 7 | x | x | x | Permissão total (leitura, gravação e execução, rwx).
Arquivo/Diretório Permissão
.htaccess 444
wp-config.php 440
index.php 644
/themes 711
/wp-admin 755
/wp-includes 755
/wp-content 755

Atualizações

Temas e Plugins
Temas e plugins podem ser a porta de entrada para as invasões. Por isso é fundamental manter seu tema / plugin sempre atualizado, pois conforme as versões do WordPress são atualizadas, algumas funções podem se tornar obsoletas e outras podem ser adicionadas. Atualizar a versão de seu WordPress é adicionar um fator proteção maior, pois cada atualização traz novas implementações de segurança.
No menu lateral do WordPress, clique nas opções: Painel » Atualizações. Será exibido um aviso se houver alguma atualização, basta clicar no botão Atualizar agora. O processo de atualização geralmente é bem rápido e não costuma derrubar seu site. (Como eventualidades podem ocorrer nas atualizações), por isso é recomendado fazer uma cópia de segurança de seu banco de dados e arquivos antes de fazer as atualizações.

Plugins

Plugins de segurança ajudam a incrementar a proteção e blindar seu WordPress. Abaixo seguem alguns plugins usados e recomendados pela grande maioria.

Askimet
– Essencial para filtrar comentários maliciosos inseridos por Bots que inundam muitos blogs com links de Phishing..
SI Captcha Anti-Spam
– Insere um captcha nas páginas de comentários para impedir comentários inseridos por Bots..
Jetpack
– Jetpack é um dos plugins mais usados, além de implementar funções de segurança e monitoramento, traz diversos outros recursos que expandem as funcionalidades de seu WordPress..
BulletProof Security
– Este plugin adiciona algumas funções interessantes como por exemplo: proteção do arquivo .htaccess, backup do banco MySQL, alteração de prefixo da tabela MySQL, logs de segurança e mais.
iThemes Security
– Um dos melhores e mais usados plugins de segurança. Receba alertas via email, bloqueie IP’s e tentativas frustradas de logon, bloqueie usuários, realize backup do banco de dados, altere o caminho de acesso a sua administração e muito mais..
BruteProtect
– Assim como o Jetpack, este plugin é desenvolvido pela Automattic, empresa proprietária do WordPress. Possuí funções de proteção avançada contra ataques do tipo BruteForce, protegendo sua área de administração. Futuramente o Jetpack irá incorporar este plugin..
Sucuri Security
– Desenvolvido pelo time de especialistas em segurança da Sucuri, este plugin pode varrer seu site em buscar de possíveis Malwares. Possuí Firewall embutido, controle de acesso e ferramentas de auditoria..
WP-Optimize
– Uma opção para otimizar as tabelas de seu banco MySQL, remover opções transitórias, pingbacks e comentários de Spam filtrados pelo Askimet, sem dúvida o melhor do gênero..
Rename WP-login
– Este plugin possuí apenas uma funcionalidade, ele apenas altera a URL de acesso a administração do WordPress.
Ex.: http://dominio.com.br/wp-admin para http://dominio.com.br/administracao.
plugin WP Login Lockdown
– Com esse plugin é possivel criar uma restrição na quantidade de acessos ao admin do wordpress, exemplo limitando a 3 tentativas, caso digite mais de 3 vezes errado o wordpress vai realizar o bloqueio do IP onde esta sendo feito essas tentativas.
All In One WP Security
– Reduz os riscos de segurança, verificando vulnerabilidades e implementando e aplicando as mais recentes práticas e técnicas recomendadas de segurança do WordPress com firewall, funções de bloqueio, escaneamento e monitoramento de tráfego verifica a integridade do núcleo de arquivos/diretórios, plugins e arquivos de temas. Se os arquivos forem diferentes das versões originais, ele será mostrado nos resultados da verificação e também os arquivos alterado. (recomendamos da uma atenção especial a esse plugin) .
Wordfence Security
– Possuí firewall, funções de bloqueio, escaneamento e monitoramento de tráfego. Ele é capaz de verificar a integridade do núcleo de arquivos/diretórios do WordPress, plugins e arquivos de temas. Se os arquivos forem diferentes das versões originais, ele será mostrado nos resultados da verificação e também os arquivos alterados. O Wordfence também pode dizer se existem arquivos desconhecidos localizados no diretório de instalação do WordPress (recomendamos da uma atenção especial a esse plugin).

Troque o nome de usuário administrador para seu e-mail

Force Email Login

Use seu endereço de e-mail em vez de um nome de usuário para entrar no seu WordPress.

É uma maneira fácil de proteger contra ataques de força bruta.

https://github.com/miya0001/force-email-login

ALGUMAS CARACTERÍSTICAS:

Use o endereço de e-mail em vez do nome de usuário para fazer o login.
O login com o nome de usuário é sempre negado.

 


WordPress, Hospedagens, Hosts, sites, Curitiba, curso de informática, aula de informática, curso vip. terceira idade,

About professores

Professor particular de informática em Curitiba especializado em atender a Terceira Idade. Atendo apenas na casa do aluno.

Related Post