Como proteger meu site Wordpress

Confira algumas medidas de proteção para arquivos e pastas, que podem ser aplicados em seu site Word Press:

Nessa seção vamos ver comando para proteger arquivos totalmente importantes do Worpress.

Proteção para :

wp-config
.htaccess
wp-includes
uploads

Para fazer tais alterações você pode utilizar o gerenciador de arquivos do Cpanel ou cliente FTP de sua escolha.

Comandos para proteger o arquivo wp-config

WP_CONFIG:

Este arquivo armazena as configurações do banco de dados do seu site, como por exemplo, nome do banco de dados, nome do usuário, senha e host. Na realidade o arquivo wp–config. php não vem pronto com o WordPress, mas é criado durante o processo de instalação.

Para proteger as informações de nome, usuário, senha e prefixos do banco de dados, é possível adicionar as seguintes linhas de comando no arquivo wp-config:

Para evitar que o código do arquivo seja modificado na administração do WordPress:

define ('DISALLOW_FILE_EDIT', true);

Para desativar as instalações de temas e modelos:

define ('DISALLOW_FILE_MODS', true);

Para evitar acessos indesejados:

<Files wp-config.php> order allow,deny deny from all </Files>

Comando de proteção ao arquivo .htaccess

.HTACCESS

O .htaccess é um arquivo que fica no servidor web e serve para configurar o tipo de acesso a esse servidor. Com ele, pode-se controlar diversos parâmetros, tais como: acesso restrito (com ou sem uso de senha), páginas de erro padrão, página padrão de acesso ao site, acesso com e sem o “www”, redirecionar diretivas, entre outros. O uso correto do arquivo .htaccess provê grande auxílio no SEO do site.

Para proteger o arquivo .htaccess de acessos indesejados, inclua as seguintes linhas dentro da pasta do próprio arquivo:

<files .htaccess> order allow,deny deny from all </files>

Comando de proteção à pasta wp-includes

WP-INCLUDES

A pasta /wp–includes contém funcionalidades comuns para a API do WordPress (que você usa em temas / plugins) e para o administrador do WordPress. O diretório /wp–includes é onde as bibliotecas de terceiros úteis (ou seja, SimplePie para RSS e IncutioRPC para XML-RPC) são armazenadas.

Você pode adicionar mais uma camada de proteção em partes dos scripts que não podem ser acessíveis por outros usuários, através do mod_rewrite.

Para isso basta adicionar as seguintes linhas no arquivo .htaccess:

# Block the include-only files. RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] # BEGIN WordPress

A linha em destaque “RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]” não será eficaz em instalações com inúmeros sites. Se necessário remova-a do comando, entretanto a segurança à pasta wp-includes será reduzida

Comando de proteção a pasta uploads

UPLOADS

Bem a pasta upload nem precisa explica…

Por padrão, o WordPress não permite o upload de arquivos executáveis para a pasta uploads, porém há técnicas usadas por hackers para burlar essa regra. Por conta disso, recomendamos uma proteção extra , definindo quais extensões de arquivo podem ser enviadas para essa pasta.

Para isso, adicione as seguintes linhas de código no arquivo .htaccess:

<Files ~ ".*\..*"> Order Allow,Deny Deny from all </Files> <FilesMatch "\.(jpg|jpeg|jpe|gif|png|bmp|tif|tiff)$"> Order Deny,Allow Allow from all </FilesMatch>

Para evitar que alguns códigos maliciosos tentem se esconder sob nomes como xxxxxx.php.jpg , adicione as linhas:

<FilesMatch "\.(php|php\.)(.+)(\w|\d)$"> Order Allow,Deny Deny from all </FilesMatch>

Permissões seguras de arquivos e pastas

Por padrão, o WordPress aplica permissões para ler e escrever arquivos e pastas, e em alguns casos essas permissões podem ser modificadas. Por melhores praticas de segurança indicamos o uso das seguintes permissões:

Arquivos: 644
Pastas: 755