Dicas de segurança para WordPress
anúnciantes
A protecção acrescida de um site WordPress é cada vez mais importante. Existe espalhada pela Internet muita informação sobre como aceder ilegalmente a conteúdo e áreas de administração de diversos sites. É com base na segurança de um blog que utilize o WordPress como gestor de conteúdo que decidi compilar algumas dicas importantes de forma a proteger o blog da maneira mais eficiente.
Actualizações
Todas as actualizações são importantes sejam elas do WordPress ou dos seus plugins. A maioria dos bloggers actualiza-se imediatamente assim que sabem que existe uma nova versão mas existem muitos que pura e simplesmente se esquecem de consultar ou deixam as coisas andar porque é “chato” estar a actualizar.
Embora o MUIOMUIO faça a divulgação de actualizações de alguns sistemas de gestão de conteúdo como WordPress ou MovableType talvez não seja má ideia subscrever ao blog oficial dessas plataformas.
Blog Oficial WordPress / Blog Oficial MovableType
Esconder os Plugins
Demasiados plugins vêm com bugs e vulnerabilidades que podem ser exploradas podendo causar estragos significativos num blog, portanto é importante esconder os plugins de olhos alheios.
Para fazer isto basta criarem uma página html vazia, chama-la index.html e colocar dentro da directoria plugins (/wp-content/plugins/).
Proteger a directoria de administração
Uma dica do Matt Cutts, gestor de qualidade e especialista em optimização para motores de busca explica como tornar a directoria wp-admin segura. Isto é importante pois informação critica é armazenada nesta directoria e o WordPress deixa esta directoria desprotegida.
Portanto o Matt sugeriu que fosse colocado um ficheiro .htaccess dentro da directoria /wp-admin/ para bloquear o acesso de outros endereços de IP que não o nosso. Caso tenham um IP dinâmico não aconselho que o façam por razões óbvias.
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Example Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xx (o teu IP em vez dos xx)
allow from xx.xx.xxx.xx (o teu IP em vez dos xx)
</LIMIT>
Queres saber qual é o teu IP? Vai aqui: http://whatismyip.org/
Esconde a tua versão do WordPress
No ficheiro header.php existe uma Meta Tag que divulga a versão do WordPress. O pessoal do WordPress pede que deixem ficar essa informação para fins estatísticos mas a verdade é que é uma informação útil para quem esteja a procura de blogs vulneráveis.
Portanto acedam o ficheiro header.php e procurem por:
<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please –>
Apaguem essa linha. Essa linha divulga a versão do WordPress e uma simples busca poderá divulga-la o que pode tornar esse blog um alvo para alguém mal intencionado.
Protege o teu Login
Existe um plugin chamado Login LockDown que guarda o IP e juntamente com a hora de cada tentativa de login falhada.
Este plugin é extremamente útil e interessante. Caso alguém erre 3 tentativas de login no espaço de 5 min só poderá voltar a tentar dentro de uma hora.
Como proteges o teu blog? Conheces mais alguma dica ou plugin de segurança, partilha-a, deixa comentário.
VDIAS
January 26, 2008
Eu sugeria também proteger as restantes directorias que por lá andam…
João Silas
January 26, 2008
http://bloga-se.com/index.php/dicas/5-maneiras-de-proteger-o-seu-wordpress/
Foi a complementação ;)
Paulo Moura
January 26, 2008
Outro método para proteger o acesso às pastas/directorias é através do .htaccess na raiz do blog. Eu acrescentei a linha “options -indexes”. Existem mais opções mas é esta que utilizo.
Também acrescentei uma segunda linha “ErrorDocument 403 /404.php” para redireccionar os espertinhos.
Filipe Freitas
January 27, 2008
Muito util!
Estava especialmente interessado em proteger a pasta dos plugins, mas andei enfiado no CPanel a procura duma maneira de bloquear o acesso, que nem pensei em por o ficheiro index.html.