– Este conteúdo foi criado por Gabriel Sousa Soares, colaborador da KingHost.
O WordPress é um dos sistemas de gerenciamento de conteúdo mais populares. Hoje, o WordPress tem a maior participação entre os CMS do mercado,com 23,3% e em uma constante crescente. Devido a sua popularidade é extremamente visado por invasores, pois além do grande índice de utilização do CMS, existe uma vasto acervo de vulnerabilidades documentadas e relaciondas a diversos plugins e temas utilizados na ferramenta, facilitando assim a ação dos cybercriminosos.
Confira abaixo a lista de boas práticas para se prevenir destas ações, prezando a integridade do seu conteúdo.
Backup
Na KingHost, fornecemos o backup do seu conteúdo de forma diferenciada, mantendo esse backup por até 7 dias, sendo possível solicitá-lo quando necessário. Caso queira ter um cuidado adicional com seu conteúdo, e como forma de redundância, o plugin BackWPup disponibilizado no site oficial da ferramenta, pode fazer este trabalho para você. Recomendamos também, que antes de tomar qualquer uma das próximas ações recomendadas neste artigo, faça um backup do seu conteúdo.
Atualizações
* Core: Mantenha sempre que possível o seu CMS na última versão disponível, além de trazer novas funcionalidades, as atualizações do CMS também costumam corrigir bugs e eliminar brechas de segurança na ferramenta.
* Plugins e Temas: Busque instalar temas e plugins obtidos de fontes confiáveis. Muitas vezes os plugins e temas obtidos em sites não-confiáveis possuem vulnerabilidades e até mesmo backdoors que poderão ser utilizados futuramente por invasores, no site oficial da ferramenta são disponibilizados diversos plugins que passam por severas avaliações de especialistas na ferramenta, garantindo assim mais segurança no conteúdo disponibilizado. Além desta avaliação, existem diversas regras para que os plugins continuem a ser disseminados através do site oficial, uma delas é: disponibilização constante de atualizações.
Permissões
As permissões dos diretórios e arquivos são, muitas vezes, negligenciadas pelos administradores de diversos sites. Permissões definidas incorretamente podem abrir um leque de oportunidades para as ações dos invasores. Abaixo, as permissões que devem ser definidas no conteúdo de sua ferramenta:
– Permissão 755 para diretórios;
– Permissão 644 para arquivos;
– Permissão 400 ou 600 (para caso algum plugin necessite de permissão de escrita) no arquivo wp-config.php;
– Permissão 600 no arquivo debug.log;
wp-config.php
Este é o arquivo de principal de configuração do WordPress, e possui informações essenciais para o funcionamento do CMS, protegê-lo é extremamente importante.
– Usar permissão 400 ou 600 quando algum plugin ou tema necessitar permissões de escrita no wp-config.php;
– Proteger o conteúdo através do .htaccess inserindo o seguinte conteúdo:
<files wp-config.php>
order allow,deny
deny from all
</files>
– Fazer o uso das seguintes constantes do WordPress:
define ( ‘DISALLOW FILE EDIT’, true );
Utilizando esta constante, não será possibilitado ao usuário editar os arquivos de plugins e temas através da área de administração do WordPress.
define ( ‘DISALLOW FILE MODS’, true );
Esta constante tem a mesma funcionalidade da anterior, porém, também evita a instalação e atualização do core, plugins e temas.
– Atualize das chaves únicas de autenticação e salts, um novo salt pode ser gerado no seguinte link: https://api.wordpress.org/secret-key/1.1/salt/
Banco de dados
– Não utilize o prefixo padrão (wp_) nas tabelas do seu banco de dados, opte por um prefixo personalizado;
– Renomeie o usuário “admin” caso ele ainda seja utilizado;
Exclusão de arquivos
Alguns arquivos disponibilizam informações sobre o CMS instalado, ao qual podem servir de munição para os invasores. Estes arquivos não são utilizados após a ferramenta instalada, sendo assim, é recomendada a exclusão destes arquivos.
/wp-config-sample.php
/wp-admin/install.php
/readme.html
/license.txt
Robots.txt
Alguns conteúdos importantes do seu site não devem ser indexados pelos buscadores, sendo assim insira o conteúdo abaixo no arquivo robots.txt para evitar a indexação destes conteúdos:
User-agent: *
Disallow: /feed/
Disallow: /trackback/
Disallow: /wp-admin/
Disallow: /wp-content/
Disallow: /wp-includes/
Disallow: /xmlrpc.php
Disallow: /wp-
Varredura com Antivírus da KingHost
Aqui na KingHost, disponibilizamos uma ferramenta de antivírus que faz uma varredura em todo o seu conteúdo e move para quarentena tudo o que for considerado malicioso. Nossa recomendação é que seja feita uma varredura periódica em seu conteúdo como medida adicional de segurança.
Para utilizar a ferramenta, acesse o seu painel de controle e encontre a opção “Antivírus” na parte central do seu painel de controle, é aí que você encontra ainda mais informações sobre a utilização da ferramenta.
