Propaganda

proteger wordpressAs redes de bots em todo o mundo voltaram sua atenção do envio de e-mails com spam para o hacking sistemático nas instalações do WordPress; é um negócio lucrativo, uma vez que o WordPress alimenta 40% de todos os blogs. Especialmente considerando que mesmo nós fomos vítimas disso, já era hora de publicarmos uma postagem abrangente sobre exatamente como proteger sua instalação auto-hospedada do WordPress.

Nota: este conselho se aplica apenas a instalações auto-hospedadas do WordPress. Se você usa o WordPress.com, geralmente não precisa se preocupar com segurança, porque eles lidam com tudo isso para você.Qual é a diferença entre WordPress.com e WordPress.org? Qual é a diferença entre executar o seu blog no Wordpress.com e Wordpress.org?Com o Wordpress agora alimentando 1 em cada 6 sites, eles devem estar fazendo algo certo. Para desenvolvedores experientes e novatos, o Wordpress tem algo a lhe oferecer. Mas assim que você começa ... consulte Mais informação

Instale o autenticador em duas etapas do Google

instagram viewer

Se você já possui a autenticação em duas etapas ativada para sua conta do Gmail ou outros serviços, poderá usar o mesmo aplicativo autenticador com este plugin para WordPress.

Felizmente, você pode restringir a autenticação em duas etapas para ser usada apenas em contas de nível superior, para não incomodar todos os usuários.

proteger wordpress

Bloqueio de Login

Um plugin antigo, mas ainda funcionando como pretendido; Bloqueio de Login verifica o IP das tentativas de login e bloqueia um intervalo de IP por uma hora, se falhar 3 vezes em 5 minutos. Simples, eficaz.

Fazer backups regulares

Os hackers não alteram apenas um arquivo, mas colocam seu próprio painel de controle oculto em algum lugar backdoors ocultos - para que, mesmo que você corrija o hack original, eles voltem e façam tudo novamente. Faça backups diários ou semanais para que você possa restaurar facilmente de volta a um ponto em que não haja traços do hacker - e certifique-se de corrigir o que eles fizeram para entrar. Pessoalmente, acabei de investir em US $ 150 Backup Buddy licença de desenvolvedor - é a solução de backup mais fácil e abrangente que já encontrei.

proteger o site wordpress

Impedir indexação de pastas

Verifique a raiz da sua instalação do WordPress para o arquivo .htaccess (observe o período no início - talvez seja necessário mostrar arquivos invisíveis para visualizá-lo) e verifique se ele possui a seguinte linha. Caso contrário, adicione-o - mas faça um backup primeiro, pois esse arquivo é crucial.

Opções Todos -Indexes

Ficar atualizado

Não cometa o mesmo erro que fizemos: sempre atualize o WordPress assim que uma atualização estiver disponível. Às vezes, as atualizações contêm pequenas correções de bugs e não de segurança, mas adquira o hábito e você não terá problemas. Se você tem mais de uma instalação do WordPress e não consegue acompanhar todas elas, confira ManageWp.com, um painel premium para todos os seus blogs que inclui a verificação de segurança.

Não apenas os arquivos principais do WordPress, mas também os plug-ins: um dos maiores hacks do WordPress no passado envolvia uma vulnerabilidade em um script gerador de miniaturas comum chamado timthumb.php, e ainda existem temas por aí que usam a versão antiga. Embora os plug-ins tenham sido atualizados rapidamente, é claro que manter os temas atualizados é mais difícil - o WordPress não informa você se o seu tema for vulnerável e, para isso, você for algum tipo de plug-in de verificação de segurança - role para baixo até a Plugins de segurança seção abaixo para algumas sugestões.

Nunca baixar temas aleatórios

A menos que você saiba o que está fazendo com o código PHP, é muito fácil cair na armadilha de baixar um adorável tema aleatório de em algum lugar, apenas para descobrir que há algum código desagradável - os backlinks mais comuns que você não pode remover, mas o pior pode ser encontrado. Atenha-se a designers de temas premium e conhecidos (tal como Smashing Magazine ou WPShower), ou para temas gratuitos, use apenas o diretório de temas do WordPress.

Excluir plugins e temas não utilizados

Quanto menos código executável você tiver no servidor, melhor - remova a chance de ter um código antigo e vulnerável, excluindo temas e plugins que você não está mais usando. Desativá-los simplesmente interromperá o carregamento de suas funcionalidades com o WordPress, mas o próprio código ainda pode ser executável por um hacker.

Remover Meta Tell-tale no seu cabeçalho

Por padrão, o WordPress transmitiu sua versão para o mundo no código do seu arquivo de cabeçalho - uma maneira fácil para os hackers identificarem instalações mais antigas. Adicione as seguintes linhas às linhas do seu tema functions.php para remover a versão do WordPress, as informações do Windows Live Writer e uma linha que ajuda os clientes remotos a encontrar o arquivo XML-RPC.

remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'rsd_link');

Remover a conta "admin"

A maioria dos ataques de força bruta no WordPress envolve repetidamente tentar o admin conta - o padrão para todas as instalações do WordPress - e um dicionário de senhas comuns. Se você fizer login com o administrador ou tiver a conta de administrador listada na sua tabela de usuários, estará vulnerável a isso.

Duas maneiras de corrigi-lo: use plugin wp-optimize - um ótimo plugin que, entre outras coisas, permite que você desabilite as revisões posteriores e realize a otimização do banco de dados - para renomear a conta de administrador. Ou simplesmente crie outra conta com privilégios de administrador, faça o login como o novo usuário e exclua a conta “admin”. Atribua todas as postagens ao seu novo usuário.

proteger o site wordpress

Senhas seguras

Mesmo se você desativou a conta de administrador, pode ser possível identificar o nome de usuário da sua conta de administrador. Nesse momento, você está vulnerável a um ataque de força bruta novamente. Imponha uma política de senha forte de 16 ou mais caracteres aleatórios, que consiste em maiúsculas e minúsculas, pontuação e números.

Ou apenas use o reallyLongSentenceThatsEasyToRememberMethod.

Desativar edição de arquivos no WordPress

Para aqueles que não gostam de fazer login pelo FTP, o WordPress inclui um editor fácil no painel de administração para arquivos PHP de tema e plug-in - mas isso torna sua instalação vulnerável se alguém obtiver acesso. De fato, foi assim que alguém conseguiu injetar um redirecionamento de malware no nosso cabeçalho. Adicione a seguinte linha na parte inferior do seu wp-config.php (na pasta raiz) para desativar todos os recursos de edição de arquivos - e use SFTP O que é SSH e como é diferente do FTP [Tecnologia explicada] consulte Mais informação para fazer login no seu servidor.

define ('DISALLOW_FILE_EDIT', verdadeiro);

Ocultar erros de login

Uma senha incorreta ou nome de usuário incorreto podem ser identificados pelos erros fornecidos ao efetuar o login, que podem ser usados ​​para identificar contas de força bruta. Obviamente, isso não é bom, então mate os erros com essa adição às informações do seu tema functions.php Arquivo

função no_errors_please () {return 'Nope'; } add_filter ('login_errors', 'no_errors_please');

Ativar Cloudflare

Além de acelerar o seu site, o CloudFlare atenua muitos botnets e scanners conhecidos, mesmo chegando ao seu blog. Ler tudo sobre CloudFlare Proteja e acelere seu site gratuitamente com CloudFlareCloudFlare é uma intrigante start-up dos criadores do Projeto Honey Pot que afirma proteger seu site contra spammers, bots e outros monstros malignos da web - além de acelerar seu site um pouco... consulte Mais informação aqui. A instalação é um clique se você estiver hospedado em MediaTemple, caso contrário, você precisará acessar o painel de controle do domínio para alterar os servidores de nomes.

proteger o site wordpress

Plugins de segurança

  • Melhor segurança do WP implementa muitas dessas correções para você e é a solução gratuita mais abrangente que existe.proteger wordpress
  • WordFence é um pacote premium que verifica ativamente seus arquivos em busca de links de malware, redirecionamentos, vulnerabilidades conhecidas etc. - e os corrige. O preço começa em US $ 18 / ano para 1 site.
  • Solução de segurança de login ambos limitam as tentativas de login e impõem senhas seguras.
  • Segurança BulletProof é um plugin abrangente, mas complexo, que lida com alguns dos aspectos mais técnicos, como problemas de injeção de XSS e .htaccess. Também está disponível uma versão Pro do plug-in que automatiza grande parte do processo.

Acho que você concorda que esta é uma lista bastante abrangente de etapas para fortalecer o WordPress, mas não estou sugerindo que você implemente tudo deles. Se eu tivesse que fazer tudo isso em todos os sites que já configurei, ainda os estaria configurando agora. A execução de qualquer tipo de sistema apresenta um risco e, em última análise, cabe a você encontrar o equilíbrio entre o nível de segurança que você deseja e o esforço que deseja fazer para protegê-lo - nada é 100% seguro. As frutas baixas aqui são:

  • Mantendo o WordPress atualizado
  • Desativando a conta de administrador
  • Adicionando autenticação em duas etapas
  • Instalando um Plug-in de Segurança

Fazer isso sozinho deve colocá-lo acima de 99% de todos os outros blogs por aí, o que é suficiente para fazer com que hackers em potencial passem para alvos mais fáceis.

Você acha que eu perdi alguma coisa? Diga-me nos comentários.

James é bacharel em Inteligência Artificial e possui certificação CompTIA A + e Network +. Ele é o principal desenvolvedor do MakeUseOf e passa seu tempo livre jogando paintball e jogos de tabuleiro em VR. Ele está construindo PCs desde que era criança.