Aprenda aqui como proteger o seu site, como medidas simples e altamente eficazes.
Na maioria das vezes que o WordPress é atualizado, é por causa de segurança. Diariamente, hackers descobrem novas maneiras de invadir sistemas web, sendo então o nosso dever, proteger os nossos dados sigilosos. Vamos agora as principais dicas de segurança para WordPress.
Quando você instala o WordPress, ele vem por padrão com algumas permissões de pastas que podem causar problemas, como 777 ou 775. O ideal é, após instalar, definir permissões seguras em suas pastas e arquivos, para impedir que, usuários maliciosos injetem exploits em sua hospedagem. Segue as permissões adequadas:
Lembrando que, ao aplicar a permissão correta a pasta, aplique também as sub-pastas e todos os seus arquivos também.
Este arquivo contém o login e senha do seu banco de dados, se algum hacker puder de alguma forma acessá-lo, ele terá acesso irestrito ao seu site, podendo simplesmente deletar tudo. Além de definirmos uma permissão segura para este arquivo (644), devemos bloquear o acesso dele através da URL do site, via .htaccess. Crie um arquivo chamado .htaccess na raiz da sua hospedagem, se ainda não houver um, e insira a seguinte código:
<Files ~ "^\.(htaccess)$">deny from all</Files><files wp-config.php>order allow,denydeny from all</files>Com este código, o acesso ao .htaccess, htpasswd e wp-config.php serão permitidos apenas ao seu site, qualquer usuário que acessar pela URL não irá conseguir.
Sempre mantenha o WordPress atualizado, pois quando lançam uma nova versão, geralmente é para corrigir problemas relacionados a segurança. Você pode fazer isso diretamente pelo seu painel, basta ir em painel > atualizações.
Se não está usando algum plug-in, ou ele não possui atualização para a sua versão do WordPress, desabilite e o delete. Isso é importante porque, muitos hackers tem invadido blogs e sites WordPress através de vulnerabilidades conhecidas nos plug-ins do site.
Desta forma, você impede o acesso ao seu painel administrativo por qualquer um. Para desabilitar, vá em Geral e desmarque a opção Qualquer pessoa pode se registrar, ou simplesmente delete o arquivo wp-register.php
Hackers muitas vezes invadem sistemas com o uso de softwares de brute force, que tentam descobrir a senha com milhões de combinações diferentes. Para impedir que alguém tente se logar “a força” em seu painel, use o plug-in Login LockDown. Com este plug-in, é possível determinar quantas tentativas máximas de login alguém poderá ter, e o tempo que ele deverá esperar para tentar se logar novamente.
Salve as suas senhas em um lugar que ninguém irá encontrar, de preferência nem deixe salvo no computador.
Recomendo que instalem o plug-in WP Security Scan. Este plug-in, tem como finalidade encontrar vulnerabilidades e as corrigir, quando possível.
Se um antivírus é bom para o seu computador, por que não para o seu WordPress? O plugin AntiVirus é uma solução inteligente e eficiente para proteger o seu site ou blog contra vulnerabilidades e injeções não autorizadas de conteúdo.
Este plugin analisa diariamente o conteúdo da sua instalação em busca de arquivos maliciosos ou corrompidos e avisa por email se encontrar algo fora do normal. Você também pode começar uma análise manual e obter resultados imediatos, quando quiser.