10 Dicas para aumentar a segurança do WordPress

O WordPress é um dos melhores sistemas CMS atualmente e com sua grande popularidade na utilização em blogs e sites tornou-se um alvo para pessoas maliciosas aproveitarem de suas vulnerabilidades de segurança.

Com alguns cuidados simples é possível se prevenir dessas situações desagradáveis, veja abaixo as 10 dicas para aumentar ainda mais a segurança do WordPress.

1 – Não use a conta de administrador

1. Crie uma nova conta com nome de usuário único
2. Atribuir a função de administrador
3. Sair e voltar a entrar com o novo usuário
4. Exclua a conta de administrador (admin)

Tenha cuidado ao confirmar a exclusão da conta de admin pois perguntará à você o que deseja fazer com as postagens e os links relacionados com a conta, você pode atribuir tudo para seu novo usuário e depois apagar.

2 – Atribua as permissões corretas de arquivos e pastas

Depois de instalar certinho seu WordPress e os plugins desejados, atribua novamente as permições adequadas. Os arquivos em geral devem ter a permissão chmod 644 e as pastas chmod 755

Veja  um exemplo:

• .htacsess (644)
• wp-admin (755)
• wp-content (755)
• plugins (755)
• themes (444) ou (555)
• upgrade (755)
• uploads (755)
• wp-includes (755)

3 – Mude de lugar o arquivo wp-config.php

Da versão do WordPress 2.6 a diante, você tem a possibilidade de alterar o arquivo wp-config.php para o diretório “raiz” do seu servidor, o que tornará mais dificil encontrar ou acessar seu arquivo wp-config.php.

Assim, você pode alterar a localização do seu arquivo wp-config.php em
public_html / wordpress / wp-config.php

Para:
public_html / wp-config.php

4 – Apague a tag que apresenta a versão no Header

Alguns temas vem a tag que mostra a versão do WordPress. Então pesquise no header.php do seu tema pela linha abaixo e apague-a.

<meta name = “generator” content = “WordPress <? php bloginfo ( ‘version’);?>” />

5 – Mantenha seu WordPress sempre atualizado

Normalmente a maiorida as atualizações do WordPress são sobre segurança, então não vacile e mantenha seu sistema sempre em dia.

6 – Use uma senha segura

Isso é fundamental, nada de datas de aniversários ou telefones. Se você não sabe gerar uma senha segura, acesse: http://goodpassword.com/

7 – Use as chaves únicas de autenticação

Versões recentes do WordPress exigem a configuração de uma chave secreta no wp-config.php. Lembre-se de ter configurado uma para não deixar a padrão. Você nunca terá de lembrar desta chave, então use uma expressão longa, sem se preocupar em memorizá-la.

Também pode ser gerada aleatóriamente em: http://api.wordpress.org/secret-key/1.1

Copia e cole no seu wp-config.php

8 – Desabilite o registro de usuários

Assim você limita quem possui acesso ao seu painel de administração, além de evitar qualquer brecha que afete os scripts de administração. Se quiser, pode até apagar o wp-register.php do diretório.

9 – Não instale plugins desnecessários

Muitos plugins podem conter problemas de segurança também. Manter instalado e rodando plugins não-utilizados apenas aumenta as chances de você ser alvo de algum problema em um plugin desnecessariamente. Então remova os plugins desativados e atualize sempre os que você usa.

10 -Utilize um plugin Anti-Spam

Usando um plugin anti-spam, você de quebra protege o blog contra robôs que eventualmente possam tentar explorar uma brecha de XSS nos comentários. Muitas falhas de segurança hoje são exploradas por robôs automatizados, como o spam. Você pode usar o Askimet que já vem por padrão no WordPress, basta você se cadastrar no WordPress.com para ter seu API para utilizar no plugin.

Essas dicas já ajudam a melhorar bastante a segurança do WordPress, mas existem ótimos plugins que faz o serviço para você, não deixe de conferir:

WP Security Scan – Faz um scan no seu WordPress e te indica boas permissões para cada pasta e arquivo, além de analisar vários quesitos de segurança do WP.

AskApache – Protege a pasta WP-Admin utilizando uma poderosa proteção por password no htaccess, prevenindo ataques contra seu site.

Semisecure Login Reimagined -Aumenta a segurança na página do login, utilizando encriptação na sua senha.

Role Manager – Permite limitar o acesso dos seus colaboradores à vários recursos do Painel de Administração, possibilitando que você defina o mínimo de acesso necessário.

Login LockDown -Verifica as tentativas de login mal sucedidas bloqueando IPs suspeitos. É possível configurar a quantidade de falhas e quantos minutos que alguém poderá ficar parado na tela de login.

WordPress File Monitor – Este plugin monitora os arquivos alterados, deletados e criados dentro do seu WordPress qualquer alteração pode ser notificada no seu e-mail.

É isso ai, não tem como não ficar seguro dessa maneira. E você o que faz para aumentar a segurança do seu WordPress? Deixe seu comentário falando o plugin que usa e sua sugestão.