Nessa seção vamos ver comando para proteger arquivos totalmente importantes do Worpress.
Proteção para :
Para fazer tais alterações você pode utilizar o gerenciador de arquivos do Cpanel ou cliente FTP de sua escolha.
Este arquivo armazena as configurações do banco de dados do seu site, como por exemplo, nome do banco de dados, nome do usuário, senha e host. Na realidade o arquivo wp–config. php não vem pronto com o WordPress, mas é criado durante o processo de instalação. Para proteger as informações de nome, usuário, senha e prefixos do banco de dados, é possível adicionar as seguintes linhas de comando no arquivo wp-config: O .htaccess é um arquivo que fica no servidor web e serve para configurar o tipo de acesso a esse servidor. Com ele, pode-se controlar diversos parâmetros, tais como: acesso restrito (com ou sem uso de senha), páginas de erro padrão, página padrão de acesso ao site, acesso com e sem o “www”, redirecionar diretivas, entre outros. O uso correto do arquivo .htaccess provê grande auxílio no SEO do site. Para proteger o arquivo .htaccess de acessos indesejados, inclua as seguintes linhas dentro da pasta do próprio arquivo: A pasta /wp–includes contém funcionalidades comuns para a API do WordPress (que você usa em temas / plugins) e para o administrador do WordPress. O diretório /wp–includes é onde as bibliotecas de terceiros úteis (ou seja, SimplePie para RSS e IncutioRPC para XML-RPC) são armazenadas. Você pode adicionar mais uma camada de proteção em partes dos scripts que não podem ser acessíveis por outros usuários, através do mod_rewrite. Para isso basta adicionar as seguintes linhas no arquivo .htaccess: Bem a pasta upload nem precisa explica… Por padrão, o WordPress não permite o upload de arquivos executáveis para a pasta uploads, porém há técnicas usadas por hackers para burlar essa regra. Por conta disso, recomendamos uma proteção extra , definindo quais extensões de arquivo podem ser enviadas para essa pasta. Para isso, adicione as seguintes linhas de código no arquivo .htaccess: Para evitar que alguns códigos maliciosos tentem se esconder sob nomes como xxxxxx.php.jpg , adicione as linhas: Por padrão, o WordPress aplica permissões para ler e escrever arquivos e pastas, e em alguns casos essas permissões podem ser modificadas. Por melhores praticas de segurança indicamos o uso das seguintes permissões:
Comandos para proteger o arquivo wp-config
WP_CONFIG:
Para evitar que o código do arquivo seja modificado na administração do WordPress:
define ('DISALLOW_FILE_EDIT', true);Para desativar as instalações de temas e modelos:
define ('DISALLOW_FILE_MODS', true);Para evitar acessos indesejados:
<Files wp-config.php>
order allow,deny
deny from all
</Files>Comando de proteção ao arquivo .htaccess
.HTACCESS
<files .htaccess>
order allow,deny
deny from all
</files>Comando de proteção à pasta wp-includes
WP-INCLUDES
# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
# BEGIN WordPress
A linha em destaque “RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]” não será eficaz em instalações com inúmeros sites. Se necessário remova-a do comando, entretanto a segurança à pasta wp-includes será reduzida
Comando de proteção a pasta uploads
UPLOADS
<Files ~ ".*\..*">
Order Allow,Deny
Deny from all
</Files>
<FilesMatch "\.(jpg|jpeg|jpe|gif|png|bmp|tif|tiff)$">
Order Deny,Allow
Allow from all
</FilesMatch><FilesMatch "\.(php|php\.)(.+)(\w|\d)$">
Order Allow,Deny
Deny from all
</FilesMatch>Permissões seguras de arquivos e pastas
