DICAS DE SEGURANÇA PARA BLOG/SITE

Para evitar esse acesso não autorizado, altere o usuário “admin” para outro nome mais difícil de ser adivinhado,

Quando a equipe de desenvolvimento da plataforma lança uma atualização, quanto mais cedo você atualizar o seu blog,  melhor. Isso porque quando eles lançam novas atualizações, eles divulgam quais foram a melhorias e falhas corrigidas na versão atual.

 

Dica de Segurança 2

Remova a meta tag que revela a versão do sua plataforma ( wordpress )

o WordPress exibe a sua versão no cabeçalho do blog (header.php), é uma forma que equipe de desenvolvimento do WordPress tem para ver quantas pessoas estão usando a versão.Isto

Isto é um grande atrativo no seu site dizendo ao hacker o que ele tem que fazer, já que dessa forma ele saberá exatamente qual a versão do WordPress que você usa em seu blog.

Em alguns temas(poucos) as probabilidades são de que o desenvolvedor tomou a precaução de remover a meta tag.

<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />

que fica dentro do arquivo header.php, mas é sempre melhor ter a certeza, então abra seu arquivo functions.php e adicione a linha abaixo:

<?php remove_action('wp_head', 'wp_generator'); ?>

Dica de Segurança 3

Não utilize o login padrão “admin” da sua plataforma ( WordPress ).

dicas-de-segurança-ciberseguranca_

 

Ao fazer uma nova instalação do WordPress em sua hospedagem, geralmente é criado um usuário “padrão” chamado “admin”, que passa a ser o usuário “principal” do site e que tem permissão a tudo dentro do painel de controle(wp-admin) do seu WordPress.

Se você utiliza esse usuário “admin”, provavelmente  você já fez metade do trabalho para o hacker, pois agora ele só precisa adivinhar a senha de acesso, que se for fraca, provavelmente ele irá descobrir fazendo várias tentativas de acessos por força bruta (robôs que tentam várias senhas aleatórias até descobrir).

Volte ao post anterior clicando aqui para ver no passo a passo como trocar a url login admin.

 

Dica de Segurança 4

Sempre utilize senhas “fortes”

É recomendado o uso de senhas que contenham números (0-9), letras (A-Z) e caracteres especiais (#$&*@!) ao mesmo tempo e com no mínimo 12 caracteres.

 

Dicas para você tomar alguns cuidados com suas senhas:

  • Use sempre senhas seguras para o acesso ao banco de dados.
  • Use sempre senhas seguras para os usuários do WordPress.
  • Nunca salve a sua senha em lugares públicos, como lanhouses.
  • Utilize  uma ferramenta de gerenciamento de senhas como Keppass, para salvar suas senhas de forma segura.

Você poderá adicionar uma camada extra de segurança para proteger o acesso ao admin do seu WordPress. Um plugin muito útil é Login LockDown, que registra o endereço IP e data e hora de todas as tentativas falhas de login no WordPress, além de bloquear o IP após um determinado número de logins que falharam.

Este plugin é extremamente útil quando contra um ataque de força bruta, já que bloqueia o IP por um tempo determinado de quem executa o ataque de força bruta.

 

Dica de Segurança 5

Cuidado com as permissões dos arquivos e  pastas.

Sempre mantenha a permissão dos arquivos definidos para 644 e pastas definidas para 755.
Após instalar o WordPress, defina as permissões seguras em suas pastas e arquivos, para impedir que usuários maliciosos injetem exploits em sua hospedagem.

Saiba mais sobre permissões de pastas e arquivos no Worpress:
http://codex.wordpress.org/Changing_File_Permissions

 

Dica de Segurança 6

Mantenha seu WordPress enxuto.

Existem dois arquivos dentro do diretório do WordPress que são desnecessários após a instalação, são eles o readme.html  e install.php.

O arquivo readme.html contém a versão do WordPress você está utilizando, conforme falamos aqui no item 2, isso pode ajudar um hacker a explorar falhas no seu WordPress. Este arquivo é desnecessário e pode ser excluído, ele está localizado na raiz do seu Worpress. (Lembre-se, esse arquivo reaparecerá sempre que você efetuar uma atualização da versão do WordPress).

O script de instalação install.php é usado quando você instala o WordPress, ele cria as tabelas e define as suas preferências. Você pode apagar esse arquivo sem problemas, ele está localizado no diretório /wp-admin.

Remova os plugins e temas que não estão sendo utilizados; não basta só desabilitá-los.

Existem vulnerabilidade e muitos plugins e temas do wordpress e muitos hackers tem invadido blos e sites através dessas vulnerabilidades.

 

Dica de Segurança 7

Desabilite o registro de novos usuários.

Ao fazer isso  você impedirá  o acesso ao seu painel administrativo por qualquer um.

Para desabilitar, acesse o painel administrativo(wp-admin) do seu WordPress, acesse a opção “Geral” e desmarque a opção “Qualquer pessoa pode se registrar”.

 

Dica de Segurança 8

Desabilite o WP_DEBUG.

WP_DEBUG é uma variável global que permite ao desenvolvedor, debugar a aplicação. Normalmente esquecemos de desabilitar essa variável e não é interessante deixar essas informações de depuração visível no seu site, uma vez que isso ajudaria bastante um hacker em potencial explorar alguma falha no código do seu WordPress. Para desabilitar a variável  WP_DEBUG, edite o arquivo  wp-config.php e altere de true para false.

define('WP_DEBUG', false);

Dica de Segurança 9

Regras de segurança para utilizar no arquivo .htaccess.

Adicione no seu arquivo .htaccess os comandos abaixo. Se esse arquivo não existir, você pode criá-lo, tomando cuidado para não sobrescrever um existente, ou sua instalação do WordPress pode não funcionar corretamente.

O arquivo deve estar na pasta principal da instalação do WordPress (a mesma pasta em que está o arquivo wp-config.php).

//Bloqueia a listagem de arquivos em suas pastas

Options All -Indexes

//Protegendo o arquivo .htaccess,
<files .htaccess> order allow,deny deny from all </files>

// protegendo o arquivo wpconfig.php.

<files wp-config.php>
order allow,deny
deny from all
</files>

 

Dica de Segurança 10

 Plugins para segurança no WordPress.

  • WP-Security WebsiteDefenderO plugin é gratuito, ele faz o monitoramento do seu site para falhas de segurança e informa como corrigir essas falhas.
  • All In One WP Security & Firewall: O plugin é na verdade a reunião de tantos outros que visam aumentar as defesas de seu WordPress – Banco de dados, brute-force, Cross Site Scripting (XSS) são alguns dos muitos ataques que ele promete mitigar.

 

Dica de segurança 11

Sempre faca backup

Infelizmente alguns clientes só percebem a importância de realizar backups do seu site quando é tarde demais e acabam tendo que gastar com a recuperação de algum backup disponível dentro dos servidores.

Existem vários plugins de backups que você poderá configurar no seu WordPress.

Sinceramente  espero ter te passado algum conhecimento que seja útil para você e seus negócios; todas as dúvidas serão respondidas; basta fazer o sua nos comentários.

Ajude alguém com essas dicas que você recebeu e compartilhe com suas redes sociais.

Muito obrigado

Abraços

Marcos Carvalho

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *