1- GUARDAR A BASE DE DADOS
O WordPress necessita de uma base de dados e não se preocupa se você partilha essa mesma base de dados com outras aplicações.
No entanto, existem algumas precauções que deverá ter quando cria as suas bases de dados para blogs em WordPress:
- Crie uma base de dados para o WordPress. O WP utiliza apenas algumas tabelas de uma base de dados MySQL, mas é melhor que providencie uma base de dados somente para o seu blog, ao invés de a partilhar com outros aplicativos.
- Garanta acesso ilimitado à base de dados. Crie um utilizador com acesso à base de dados apenas e garanta acesso ilimitado aos comandos SQL dessa mesma base de dados (select, insert, delete, update, create, drop e alter).
- Utilize uma password forte. As melhores passwords são seguramente aquelas que são criadas aleatoriamente pelo sistema.
Para os menos conhecedores como nós, estas operações são executadas a partir do Painel de Controlo. No entanto, para os mais conhecedores sobre MySQL, ficam as seguintes queries que poderão utilizar para executar a segurança:
$ mysql -u root -p mysql> CREATE DATABASE 'myblog'; mysql> GRANT SELECT, INSERT, DELETE, UPDATE, CREATE, DROP, ALTER on myblog.* to 'bloguser'@'localhost' identified BY 'mypassword'; mysql> flush PRIVILEGES; mysql> exit;
2- NÃO UTILIZAR O LOGIN ‘ADMIN’
Se por ventura instala o WordPress manualmente, isso envolve modificar manualmente a base de dados. Os utilizadores do Fantastico conseguem definir um utilizador Admin e password como parte do processo de instalação. Existem mais campos para preencher mas pelo menos a sua segurança fica salvaguardada.
$ mysql -u bloguser -p Password: mypassword mysql> USE myblog; mysql> UPDATE wp23jk1_users SET user_login='myadm' WHERE user_login='admin'; mysql> exit;
Poderá utilizar o interface do phpMyAdmin e utilizá-lo na base de dados correcta, que na verdade é a hdlee_blogbuild. Depois disso, o seu o seu login deixará de ser ‘admin’ para passar a ser ‘myadmin’.
3- UTILIZE UMA PASSWORD SEGURA
Alterar o seu username para um outro qualquer não significa que você esteja livre de problemas. Se por ventura utilizar uma página de perfil multi-autor no seu blog, é bem provável que exponha o seu username às massas, pelo que a sua segurança fica comprometida.
Assumindo esse problema, deverá seleccionar uma password segura para o seu blog WordPress, que combine tanto letras grandes como pequenas, e ainda números.
4- UTILIZE UM LOGIN SEGURO ATRAVÉS DE UM CANAL SEGURO
Os utilizadores do WordPress que têm o SSL ligado para o seu domínio (Fale com o seu provedor de alojamento/hospedagem primeiro) deverão utilizar um canal seguro para acederem ao painel de controlo do seu blog WordPress. Poderá forçar sessões de administrador via HTTPS colocando a variável FORCE_SSL_ADMIN em TRUE no seu ficheiro wp-config.php.
Copie e cole o seguinte código no seu ficheiro wp-config.php.
define('FORCE_SSL_ADMIN', true);
5- ACTUALIZE SEMPRE QUE SAIR UMA NOVA VERSÃO
Quando a organização do WordPress lança uma nova versão, especialmente uma que inclui melhorias ao nível da segurança, é primordial que actualize de imediato o seu blog, ainda que inclua novidades que você não vai utilizar.
6- FAÇABACKUP DOS SEUS FICHEIROS E BASE DE DADOS
Instale um plugin ou utilize um cronjob para criar uma base de dados eBACKUPS dos seus ficheiros todos os dias. Isto pode não estar directamente relacionado com segurança, mas no caso de intrusão, você irá ficar seguramente satisfeito de ter um backup.
Um dos plugins mais potentes para backup preocupar com isso.
7- ESCONDA OS SEUS DIRETÓRIOS
Por defeito na grande maioria dos alojamentos/hospedagens, o index das diretorias aparece nos browsers de internet. Isso tem um propósito, mas também significa que você revela o conteúdo de qualquer diretório do seu blog que não contenha uma página index.html ou index.php.
Modificar este comportamento é simples com Apache, adicionando a seguinte linha de código ao ficheiro .htaccess que se encontra na raíz do seu servidor:
Options All -Indexes
8- PROTEJA OS FICHEIROS DE ADMINISTRAÇÃO DO SEU BLOG
Os ficheiros de administração do WordPress estão localizados na diretoria wp-admin da sua instalação WordPress, exceptuando o wp-config.php.
Poderá definir uma acesso restrito via .htaccess ou especificar o acesso por endereço de IP a um diretório ou ficheiro específico. Se por ventura utiliza um endereço de IP único e está sempre a bloggar a partir do seu PC, esta poderá ser uma opção.
Tome nota de que poderá extender o acesso a uma gama de IPs.
Irá necessitar de criar e colocar um ficheiro .htaccess no seu diretório wp-admin.
Exemplo:
Order Deny,Allow Allow from ww.xx.yy.zz Deny from all
Protejendo a diretoria wp-admin com user e password adiciona também um outro nível de segurança. O Apache tem informação completa sobre autenticação, autorização e controlo de acessos.
Exemplo:
AuthType Basic AuthName "WordPress Dashboard" AuthUserFile /home/user/.htpasswds/blog/wp-admin/.htpasswd Require user adminuser
e depois basta criar uma password encriptada utilizando o comando htpasswd.
$ htpasswd -cm .htpasswd adminuser