Garantir proteção ao seu WordPress, é regra básica em qualquer situação e em qualquer tipo de projeto. Imagina um dia de trabalho super produtivo e do “nada” tudo desaparece, seu site cai ou fica a maior bagunça no seu servidor. Esse tipo de problema é de deixar qualquer desenvolvedor de cabelos em pé e desesperados. Isso no caso de você não ter um backup de tudo.A segurança no WordPress deve estar presente durante todo o levantamento de requisitos de qualquer site. Utilizando técnicas, métodos e até plugins, você consegue garantir que seu WordPress esteja blindado contra os tipos mais comuns e diferentes de ataques e problemas de segurança. Por isso, vamos listar agora dicas incríveis para a segurança no WordPress.
ADMIN_ID DIFERENTE DE 1
Sempre que se realiza uma nova instalação WordPress, o primeiro usuário criado (comumente o admin) recebe o ID igual a 1 – o ID é referente ao usuário no banco de dados. Perceba que, nós – usuários com um conhecimento maior sobre a plataforma, já sabemos que o ID é sempre 1. Logo, alguém mal intencionado pode direcionar um ataque a este usuário.
Alterar o ID do usuário não é algo tão complicado, mas você precisa ter um nível considerável em banco de dados. Do contrário, uma simples alteração através de queries de update pode invalidar seu usuário e até derrubar seu site. O ID que precisa ser alterado, referente ao usuário admin, deve ser atualizado em pelo menos 2 tabelas por padrão: wp_user e wp_usermeta.
SENHAS MAIS DIFÍCEIS
Se você não quer perder seu usuário e também o seu site, o mínimo é manter senhas seguras e fortes para os seus usuários. O WordPress tem um analisador de senha, onde você pode saber qual a força da senha digitada. Para ter senhas fortes você deve sempre recorrer a um gerador de senhas. Então esqueça senhas como: 123456 ou a1b2c3d4e5.
BACKUP DO SEU BANCO DE DADOS
Manter um cronograma para realizar backups do seu site é importante. Se algo deu errado, quebrou ou desconfigurou – a restauração do banco de dados por meio de um backup garante todo o seu trabalho e conteúdo do seu site. Faça backups manuais ou utilize plugins que fazem esse trabalho. Existe plugin até para fazer backup junto com o Dropbox.
GERENCIE O LOGIN E TUDO RELACIONADO A USUÁRIOS
Você pode se livrar de ataques a página de login apenas escondendo a mesma. Dessa forma o login não poderá ser feito por meio da página padrão, wp-login. Também é válido retirar a opção de recuperação de senha. Um furo inocente, mas que nas mãos de quem tem conhecimento muito pode fazer, é liberar acesso ao painel aos usuários do tipo assinantes.
SECRET KEYS
O WordPress trabalha com secret keys para a criptografia de seus cookies. As secret keys, que ficam localizadas no arquivo wp-config.php, devem ser setadas de forma correta. Cada chave é um conjunto com, letras, números e caracteres especiais, o que as torna difíceis de serem descobertas. Acesse o Secret Key Generation Tool do WordPress para atualizar as suas.
LIMITAR TENTATIVAS DE LOGIN
No WordPress existe plugin para fazer tudo. Então, utilizar plugins para limitar tentativas de login e o tempo de espera é mais do que útil. Defina um número limite para cada tentativa de login, bem como, um intervalo de tempo para bloquear as tentativas de login. É possível também, armazenar o IP da máquina do usuário que tenta realizar login e então, bloqueá-lo.
PERMISSÃO DE ACESSO POR IP
Se o sistema deve permitir o login derivado apenas de dentro da empresa (IP fixo), você deve definir permissões por meio de IP. Aqui estou dando um exemplo de como você pode gerenciar o acesso – tanto ao login, quanto ao site, derivados de um único local. Trabalhar com gerenciamento de IP’s é interessante para garantir a segurança e acesso ao seu sistema.
PERMISSÃO DE ARQUIVOS
Desenvolvendo com WordPress, ou não, cuidar das permissões para pastas e arquivos é requisito essencial à segurança de seu servidor. Por padrão as pastas devem responder ao padrão 755 e os arquivos 644. No WordPress você deve estudar e realizar permissões diferenciadas para pastas e arquivos. Tornando-os inacessíveis a partir de suas permissões.
OCULTAR OU PERSONALIZAR MENSAGENS DE ERRO NO LOGIN
Cuidado básico, mas que muitos não percebem sua importância, oculte ou personalize as mensagens de erro do sistema de login. Oculte as mensagens de erro que informam que o e-mail não existe, ou que o nome de usuário é inválido e que a senha digitada está incorreta. Com tais informações qualquer um já tem muitas pistas que ajudam o seu acesso.
CONFIGURAÇÕES NO .HTACCESS
Utilizando instruções específicas você consegue proteger pastas, arquivos e até o próprio arquivo .htaccess. Proteja qualquer tipo de acesso externo ao wp-config.php e também a listagem de diretórios dentro da URL. Permita que apenas imagens e arquivos sem extensão .php sejam acessados dentro da pasta wp-content. Tudo isso você consegue apenas por meio do .htaccess.
Segurança nunca é demais para o seu WordPress. Com as dicas que indicamos e explicamos aqui você pode:
- Gerenciar acesso por IP;
- Criptografia de cookies confiável;
- Fugir do óbvio alterando o ID para o admin – este que requer conhecimento elevado em WordPress e Banco de dados.
Abraço!
