18 plugins e dicas de segurança do Wordpress para proteger seu blog

Propaganda

Sem dúvida, para um blog auto-hospedado, o WordPress é o melhor CMS de blog que você pode obter. No entanto, sendo um software popular e de código aberto, também significa que os hackers têm acesso total ao código que eles podem examinar para encontrar quaisquer explorações que possam usar para invadir qualquer código habilitado para WordPress local.

No lado bom, uma das melhores coisas do WordPress é o sistema de plugins que permite a qualquer pessoa instale qualquer plug-in ou crie seus próprios plug-ins para estender sua funcionalidade, incluindo a melhoria segurança.

Aqui, listei alguns plugins de segurança do wordpress (e alguns truques) que você pode usar para proteger o blog do WordPress.

Todos os plugins e truques listados abaixo destinam-se ao WP 2.7 e superior. Se você ainda estiver usando uma versão mais antiga do WordPress, é hora de atualizar seu blog.

Protegendo seu login

Este plugin usa o INDIVÍDUO protocolo para criptografar sua senha. A senha é salgada primeiro com um número aleatório (nonce) gerado pela sessão, seguido pelo algoritmo de transformação md5. Esse resultado é enviado ao servidor em que é criptografado e autenticado. Este é um plugin de configuração zero, o que significa que você pode usá-lo imediatamente após ativá-lo.

2. Stealth Login

O Stealth Login ofusca sua página de login, permitindo que você defina uma página de login personalizada em vez do padrão wp-login.php. Caso sua senha vaze, o hacker também terá dificuldade em encontrar o URL de login correto. Um bom uso disso é impedir que qualquer bots malicioso acesse o arquivo wp-login.php e tente invadir o site.

O bloqueio de login é útil para impedir um ataque de força bruta. O que o Login LockDown faz é registrar o endereço IP e o carimbo de data e hora de cada tentativa de login com falha. Se mais de um certo número de tentativas forem detectadas em um curto período de tempo a partir do mesmo intervalo de IPs, ele bloqueará a função de login e impedirá que qualquer pessoa desse intervalo de IPs efetue login.

Este plugin adiciona uma autenticação HTTP adicional para fornecer uma segunda camada de defesa para o seu blog. Você pode configurar a proteção por senha para o seu blog usando a autenticação básica HTTP ou pode optar por usar a autenticação HTTP Digest mais segura.

Observe que este plug-in pode ou não funcionar, dependendo da capacidade do seu servidor. Se o seu site não passar nos testes de configuração do AskApache (os testes executados pelo plug-in para detectar seus recursos de servidor), entre em contato com seu host e veja se eles podem fazer alterações no servidor lado.

Este plug-in fornece um ambiente de login "semi-seguro", criptografando sua senha com o Criptografia RSA

Protegendo seu banco de dados

Talvez para alguns de vocês, o backup de um banco de dados possa significar uma tarefa técnica problemática. Com o WP-DB-Backup, você só precisa configurá-lo uma vez e executá-lo automaticamente em intervalos regulares.

O que este plug-in faz é automatizar o backup do seu banco de dados e enviá-lo para sua caixa de entrada de e-mail. Além da tabela padrão criada pelo WordPress, você também pode fazer backup de tabelas personalizadas criadas por plug-ins. No caso de sua conta falhar, você pode facilmente importar e restaurar o banco de dados com o backup.

O Wp-DBManager é como um phpmyadmin dentro do seu painel. Você pode gerenciar facilmente seu banco de dados diretamente no seu painel. Existem recursos úteis, como otimizar / reparar / fazer backup / restaurar seu banco de dados e, se você for técnico o suficiente, poderá executar sua própria consulta SQL na página de opções.

Do lado ruim, se algum hacker conseguir acessar o seu site, esse plug-in será um gateway para que eles causem estragos no seu banco de dados.

8. Alterar prefixo da tabela do banco de dados

O prefixo padrão usado pelo WordPress é "wp". Você pode alterar facilmente o prefixo para outros termos difíceis de adivinhar usando o WP-Security-Scan. Mais detalhes sobre este plugin abaixo.

9. Proteja seu arquivo wp-config.php

Seu arquivo wp-config.php contém todas as suas credenciais de login no banco de dados e deve ser ocultado da exibição pública em todas as circunstâncias. No seu arquivo htaccess, coloque nesta linha:

ordem permitir, negar. negar a todos. 

para impedir que alguém visualize o arquivo wp-config.php.

Protegendo sua página de administrador

Este plug-in força o SSL em todas as páginas em que as senhas podem ser inseridas para que todas as informações transmitidas sejam criptografadas.

Uma coisa é que você deve possuir um certificado SSL antes de poder fazê-lo. Se você não estiver disposto a gastar o dinheiro extra para comprar um certificado SSL privado, poderá perguntar ao seu host da Web sobre SSL compartilhado. A maioria dos hosts da web fornece SSL compartilhado para todos os seus clientes e é fácil de configurar.

11. Alterar nome de usuário de login

Usar "admin" como seu nome de usuário de login é a última coisa que você deseja fazer. Ao instalar o WordPress pela primeira vez, você deve criar imediatamente outra conta de administrador com seu próprio nome de usuário e senha e excluir a conta "admin".

Impedir que outros visualizem sua estrutura interna de arquivos

12. Ocultando a versão WP

Na maioria dos temas WordPress sob o

seção, sempre há uma linha de código mostrando a versão do WordPress que você está usando. Distribuir o número da sua versão do WordPress significa dizer ao hacker que exploração usar para invadir o seu site.

Desde o WP2.6.5, o WordPress tornou ainda mais difícil remover a versão wp, pois incorpora essas informações no diretório wp_header tag. Um plug-in que você pode usar para remover essas informações é WP-Security-Scan.

13. Ocultando o conteúdo do WP

A pasta de conteúdo do WP é onde você armazenou todos os seus plugins e arquivos de temas. Este é o lugar onde você deseja impedir que outras pessoas investiguem. Você pode fazer o upload de um espaço em branco index.html na pasta wp-content ou crie um arquivo .htaccess na pasta wp-content e adicione esta linha:

Opções Todos -Indexes
14. Bloquear a pasta wp da indexação pelos mecanismos de pesquisa
Enquanto você deseja que os mecanismos de pesquisa indexem seu blog e tragam muito tráfego, a última coisa que você deseja ver é permitir que os mecanismos de pesquisa exponham sua estrutura interna de arquivos ao público. O que você pode fazer é bloquear toda a sua pasta wp da indexação pelo mecanismo de pesquisa, adicionando as seguintes entradas ao robot.txt:
Não permitir: / wp- * 
Manutenção
Eu mencionei este plugin várias vezes, então é hora de explicar o que ele faz. O WP-Security-Scan verifica se há vulnerabilidades de segurança no WordPress e sugere / fornece ações corretivas. As ações corretivas incluem alterar o prefixo do banco de dados, ocultar o número da versão do WordPress no cabeçalho e permitir que você teste a força da sua senha.
De vez em quando, é uma boa idéia executar o scanner de segurança incorporado e verificar se há invulnerabilidades de segurança no seu blog.
16. Alterar senha regularmente
Você não deve apenas alterar sua senha regularmente, mas também garantir que ela seja forte. Se você tiver dificuldade em criar um, encontre um como crie senhas fortes das quais você possa se lembrar facilmente Como criar senhas fortes das quais você pode se lembrar facilmente consulte Mais informação .
17. Atualize o WordPress e todos os plugins para a versão mais recente
Escusado será dizer que atualizar para a versão mais recente do WordPress e plug-ins é a melhor maneira de se proteger.
Protegendo sua conexão
18. SFTP
Transferir arquivos para sua conta online é uma coisa comum a se fazer. No entanto, em vez de usar o FTP não seguro, você deve usar SFTP (FTP seguro). Isso criará uma conexão SSH e enviou todos os seus arquivos criptografados para o servidor. Se você precisar de ajuda para criar uma conexão SFTP, aqui está o guia.
As informações acima devem ser suficientes para você criar um blog WordPress seguro. Se você não implementou nada disso, exorto-o a fazê-lo agora.
Quais outros métodos você usa para proteger seu blog WordPress?