Essa documentação é apenas para auxilio e dicas de como proteger sua aplicação.
A Ubamicros e UbaHost não se responsabiliza por nenhuma instalação de temas, plugins, aplicação em geral, isso é responsabilidade exclusiva do cliente em conjunto com seu desenvolvedor.
Infelizmente, a maioria dos sites em WordPress não estão devidamente protegidos, já que aparentemente parece ser necessário apenas instala-lo e personaliza-lo. Tal desatenção pode e costuma ser fonte de enormes problemas futuros, pois qualquer site na web não está imune a invasões, e existem inumeras formas de invadir um site.
Abaixo vamos listar algumas dicas para se proteger destas ameaças.
Definir corretamente as permissões para as pastas e arquivos é necessário, pois assim você impede que os arquivos sejam acessados e as informações confidenciais sejam obtidas.
Abaixo segue a tabela com os códigos de permissão (formato octal):
| | r | w | x | '''Descrição'''
| 0 | - | - | - | Nenhuma permissão de acesso.
| 1 | - | - | x | Permissão somente de execução (x).
| 2 | - | x | - | Permissão somente de gravação (w).
| 3 | - | x | x | Permissões de gravação e execução (wx).
| 4 | x | - | - | Permissão somente de leitura (r).
| 5 | x | - | x | Permissões de leitura e execução (rx).
| 6 | x | x | - | Permissões de leitura e gravação (rw).
| 7 | x | x | x | Permissão total (leitura, gravação e execução, rwx).
| Arquivo/Diretório | Permissão |
|---|---|
| .htaccess | 444 |
| wp-config.php | 440 |
| index.php | 644 |
| /themes | 711 |
| /wp-admin | 755 |
| /wp-includes | 755 |
| /wp-content | 755 |
O WordPress gerencia as sessões de login armazenando as informações em cookies em vez de usar sessões PHP. Esses cookies são protegidos por meio de cálculo especial no nome de usuário, senha e um longo texto aleatório. Esse "longo texto aleatório" é usado para calcular o cookie. Inserir chaves e salts únicas vão adicionar uma proteção extra.
Para começar, Acess seu FTP
- Localize e abra o arquivo wp-config.php
- Acesse https://api.wordpress.org/secret-key/1.1/salt/ e copie as chaves e salts geradas.
- Insira as chaves e salts copiadas no arquivo.
- Uma boa prática é nunca utilizar o prefixo da tabela MySQL padrão 'wp_', altere como desejar.
- Salve o arquivo e transfira novamente para seu FTP.
- Se o prefixo da tabela for alterado em um WordPress já instalado, será necessário alterar o prefixo no banco de dados também.
- Caso não saiba fazer o procedimento manualmente ou tenha dificuldades pode se usar o plugin: All In One WP Security
Este é um bom começo, porém ainda não é o suficiente, seguem outras dicas abaixo.
Plugins, Temas e Atualizações
É altamente recomendável sempre ter um cópia de segurança de sua instalação do WordPress antes de realizar qualquer modificação, instalação ou atualização. Não é raro vermos plugins ou atualizações derrubarem completamente o site por alguma incompatibilidade com outros recursos.
Portanto, leve sempre em consideração o fator risco, e faça um cópia dos arquivos de seu WordPress e do banco de dados MySQL.
Para fazer essa cópia de segurança, você pode usar algum dos diversos plugins disponíveis. Verifique as opções no repositório oficial do WordPress.
Portanto, leve sempre em consideração o fator risco, e faça um cópia dos arquivos de seu WordPress e do banco de dados MySQL.
Para fazer essa cópia de segurança, você pode usar algum dos diversos plugins disponíveis. Verifique as opções no repositório oficial do WordPress.
Atualizações
Temas e Plugins
Temas e plugins podem ser a porta de entrada para as invasões. Por isso é fundamental manter seu tema / plugin sempre atualizado, pois conforme as versões do WordPress são atualizadas, algumas funções podem se tornar obsoletas e outras podem ser adicionadas. Atualizar a versão de seu WordPress é adicionar um fator proteção maior, pois cada atualização traz novas implementações de segurança.
No menu lateral do WordPress, clique nas opções: Painel » Atualizações. Será exibido um aviso se houver alguma atualização, basta clicar no botão Atualizar agora. O processo de atualização geralmente é bem rápido e não costuma derrubar seu site. (Como eventualidades podem ocorrer nas atualizações), por isso é recomendado fazer uma cópia de segurança de seu banco de dados e arquivos antes de fazer as atualizações.
Plugins
Plugins de segurança ajudam a incrementar a proteção e blindar seu WordPress. Abaixo seguem alguns plugins usados e recomendados pela grande maioria.
 |
- Essencial para filtrar comentários maliciosos inseridos por Bots que inundam muitos blogs com links de Phishing.. | |
 |
- Insere um captcha nas páginas de comentários para impedir comentários inseridos por Bots.. | |
 |
- Jetpack é um dos plugins mais usados, além de implementar funções de segurança e monitoramento, traz diversos outros recursos que expandem as funcionalidades de seu WordPress.. | |
 |
- Este plugin adiciona algumas funções interessantes como por exemplo: proteção do arquivo .htaccess, backup do banco MySQL, alteração de prefixo da tabela MySQL, logs de segurança e mais. | |
 |
- Um dos melhores e mais usados plugins de segurança. Receba alertas via email, bloqueie IP's e tentativas frustradas de logon, bloqueie usuários, realize backup do banco de dados, altere o caminho de acesso a sua administração e muito mais.. | |
 |
- Assim como o Jetpack, este plugin é desenvolvido pela Automattic, empresa proprietária do WordPress. Possuí funções de proteção avançada contra ataques do tipo BruteForce, protegendo sua área de administração. Futuramente o Jetpack irá incorporar este plugin.. | |
 |
- Desenvolvido pelo time de especialistas em segurança da Sucuri, este plugin pode varrer seu site em buscar de possíveis Malwares. Possuí Firewall embutido, controle de acesso e ferramentas de auditoria.. | |
 |
- Uma opção para otimizar as tabelas de seu banco MySQL, remover opções transitórias, pingbacks e comentários de Spam filtrados pelo Askimet, sem dúvida o melhor do gênero.. | |
 |
- Este plugin possuí apenas uma funcionalidade, ele apenas altera a URL de acesso a administração do WordPress. Ex.: http://dominio.com.br/wp-admin para http://dominio.com.br/administracao. |
|
 |
- Com esse plugin é possivel criar uma restrição na quantidade de acessos ao admin do wordpress, exemplo limitando a 3 tentativas, caso digite mais de 3 vezes errado o wordpress vai realizar o bloqueio do IP onde esta sendo feito essas tentativas. | |
 |
- Reduz os riscos de segurança, verificando vulnerabilidades e implementando e aplicando as mais recentes práticas e técnicas recomendadas de segurança do WordPress com firewall, funções de bloqueio, escaneamento e monitoramento de tráfego verifica a integridade do núcleo de arquivos/diretórios, plugins e arquivos de temas. Se os arquivos forem diferentes das versões originais, ele será mostrado nos resultados da verificação e também os arquivos alterado. (recomendamos da uma atenção especial a esse plugin) . | |
 |
- Possuí firewall, funções de bloqueio, escaneamento e monitoramento de tráfego. Ele é capaz de verificar a integridade do núcleo de arquivos/diretórios do WordPress, plugins e arquivos de temas. Se os arquivos forem diferentes das versões originais, ele será mostrado nos resultados da verificação e também os arquivos alterados. O Wordfence também pode dizer se existem arquivos desconhecidos localizados no diretório de instalação do WordPress (recomendamos da uma atenção especial a esse plugin). |
Abaixo segue algumas imagens dos plugins de segurança All In One WP Security e Wordfence Security em funcionamento:
 |
 |
 |
 |
Proteger seu painel de administração é fundamental, pois se algum intruso invadir sua administração, ele pode publicar posts com Phishing, redirecionar seu site para uma página maliciosa, derrubar seu site e outras diversas possibilidades.
Não use o login padrão do Admin do WordPress
Ao realizar a instalação de um novo site ou blog por padrão é criado um usuário chamado admin. Este usuário tem poderes de administrador no blog e é o primeiro login a ser utilizado em uma tentativa de acesso não autorizado. Removê-lo ou renomeá-lo já vai minimamente fazer com que o atacante tenha mais trabalho para tentar descobrir outro nome de usuário.Alterando o link de acesso
Existem várias formas de alterar o endereço de acesso a administração que normalmente é http://dominio.com.br/wp-adminObviamente a forma mais fácil é fazer isso por meio de plugins como o Rename WP-login. Novamente, fuja do obvio, altere a URL de acesso para um endereço não convencional.
Boas práticas de login e senha
Também é importante ser criativo ao criar um login de acesso, seja ele do tipo administrador, ou colaborador. Usuários com nomenclaturas comuns como: admin, adminsitrador, nome do site, seu nome e etc... serão os primeiros a serem testados por algum possível invasor.Quando for criar uma senha para o acesso ao banco de dados e para o admin do WordPress utilize sempre letras e números e caracteres especiais, isso dificulta o acesso de invasores.
Aqui segue um exemplo, de como você pode substituir letras por números, tonando sua senha mais forte :
Por exemplo: a=4 e=3 i=1 o=0 u=U
Então uma frase "Senha Forte" ficara dessa maneira = S3nh4F0rt3
Ou então simplesmente misture letras numeros e caracteres especiais -> exemplo: S3#nh@#$F0t3!
Nunca use uma senha igual a de outro site ou das redes sociais, pois se algum dia o site for hackeado, a sua senha estará nas mãos de invasores. Nunca salve a sua senha em lugares públicos, como lan houses.
Segue alguns exemplos de como criar uma senha forte:
Exemplo-01
Exemplo-02
wp-config
- Permissão 440 na página: wp-config.php
Página de login
Painel Administrativo
Tema
Plugins
Banco de dados
Hospedagem
Conclusão
Proteger seu WordPress é uma tarefa árdua e nada fácil, mesmo após realizar diversas implementações, nunca será possível garantir a total segurança, pois todos os dias são descobertas novas vulnerabilidades.
Seguindo as recomendações passadas neste tutorial, você já deu um importante passo para proteger seu site, e com certeza isso vai lhe trazer um enorme benefício.
