AcontecendoAqui convidou André Luís Pessetti, CEO da Data Space – Networks & TI, empresa com sede em Florianópolis, para compartilhar com nossos leitores sua experiência como dirigente de uma empresa centrada em inovação. Por sugestão dele, periodicamente faremos a publicação de dicas e curiosidades focadas na área de servidores, TI, aplicações e segurança WEB. O post de estreia fala sobre WordPress. Confira
O WordPress é um dos CMS (Sistema de Gestão de Conteúdo) mais populares do mundo. Largamente utilizado em blogs pessoais, sites de empresas e até mesmo portais de conteúdo, possui tal flexibilidade, visto as facilidades de adaptação de layout e administração de conteúdo / posts.
Porém nem tudo tem apenas vantagens. Devido a popularidade, ele não tem passado despercebido pelos “criminosos da web”, que aproveitam-se do sucesso da plataforma e focam em busca de brechas do sistema, já que tem licença GLP (Software Livre) e todos tem acesso aos fontes.
Por este motivo a Data Space Networks & TI irá fazer uma compilação de dicas para proteger seu WordPress.
Começaremos neste post com 5 dicas:
1 – Permissão de Pastas e Arquivos
Por padrão a maioria dos servidores deixa suas patas em 775 e após a instalação algumas pastas ficam como 777 e/ou 775. Recomendamos, após instalação, definir permissões seguras em suas pastas e arquivos para impedir que usuários maliciosos injetem exploits em seu site. Segue abaixo as permissões adequadas para cada arquivo/pasta:
- .htaccess (644)
- wp-config.php (644)
- wp-admin (755)
- wp-content (755)
- plugins (755)
- themes (444) ou (555)
- upgrade (755)
- uploads (755)
- wp-includes (755)
Lembrando que, ao aplicar a permissão correta a pasta, aplique também as sub-pastas e todos os seus arquivos. Use seu programa de FTP para fazer estas alterações.
2 – Protega o seu arquivo wp-config.php e .htaccess
Este arquivo é um dos principais da aplicação e nele contém o login e senha do seu banco de dados. Caso algum hacker, de alguma forma acessá-lo, ele terá acesso irrestrito ao seu site, podendo simplesmente deletar todo o conteúdo.
Além da proteção de permissão dada no item anterior, deveremos bloquear acesso a ele através da URL. Para isto vamos definir alguns parâmetros dentro do .htacess
<Files ~ “^\.(htaccess)$”>
deny from all
</Files>
<files wp-config.php>
order allow,deny
deny from all
</files>
Com estes códigos aplicados, o acesso ao .htaccess e ao wp-config.php serão permitidos apenas ao seu site, qualquer usuário que acessar pela URL não irá conseguir fazer nada.
3 – Configuração Correta do wp-config.php
Logo após a instalação é necessário reconfigurar o arquivo wp-config.php com algumas medidas de segurança. Observem a imagem abaixo:
Entre neste site e gere chaves únicas aleatórias, basta copiar e colar na sua programação para ter maior segurança nos acessos ao conteúdo. Outro ponto importante é sempre mudar o prefixo das tabelas de banco de dados que por padrão são “wp_”. Caso não tenha instalado ainda seu blog, basta alterar no momento da instalação, se você já tem seu site instalado, em um próximo post iremos dar maiores dicas de segurança abordando este quesito.
4 – Senhas do WordPress
Parece clichê, mas temos que falar…
- Use sempre senhas seguras para o acesso ao banco de dados, com 18 caracteres, misturando letras (aAbBcC…), números (1234567890) e caracteres especiais (!@%$@%$!&**$)
- Use sempre senhas seguras para o admin do WordPress. Dê preferencia nunca crie o login “admin”, use qualquer coisa, mesmo este nome.
- Nunca use uma senha igual a de outro site (mesma senha do facebook, instagram,…) pois se algum dia aquele site for invadido, a sua senha estará em mãos maliciosas.
- Nunca salve a sua senha em lugares públicos, como lan houses, escolas, .
Caso queira gerar uma senha segura aleatória, clique aqui
5 – Mantenha SEMPRE seu WordPress Atualizado
Constantemente a equipe que desenvolver o WordPress (versão do WP e Plugins) descobre vulnerabilidades e lança novas atualizações. Recomendamos que você sempre mantenha o WordPress atualizado. Você pode fazer isso diretamente pelo seu painel, basta ir em Painel > Atualizações.
Vamos dar continuidade em outros posts com mais dicas de segurança relacionadas ao WordPress, tentando deixar o conteúdo acessível para todos.
Perfil de André Luis Pessetti
É empresário proprietário da Data Space – Networks & TI (http://www.dataspace.com.br) e da PraX Indústria e Comércio de Máquinas (http://www.prax.com.br). Graduado em Design de Produto e Pós Graduado em Gerenciamento de Projetos, atua há 10 anos na área de tecnologia da informação focada em servidores web, além de desenvolver produtos para saúde e prevenção de DSTs/AIDS.
Sobre a Data Space
Empresa jovem e inovadora, tem na sua proposta a inovação. Foi criada para oferecer acesso a inúmeros serviços na área de TI para empresas, atuando no mercado de Servidores desde maio de 2002 e clientes na maioria dos Estados Brasileiros e na Gestão de TI desde agosto de 2010. www.dataspace.com.br
