WordPress – Aumentando a segurança na programação - Ajuda Inetweb - Base de Conhecimento
WordPress – Aumentando a segurança na programação
Através deste guia passo a passo será possível aumentar a segurança na utilização de seu Blog WordPress.
Lembre-se que é muito importante sempre manter o seu Blog WordPress atualizado com a última versão.
Para maiores informações sobre a atualização do WordPress acesse diretamente o website do fabricante.
Dica 01: Desativando a listagem de arquivos (Directory Browsing)
Edite o arquivo .htaccess que se encontra na raiz do seu domínio e inclua as configurações abaixo:
Options All -Indexes
Dica 02: Aumentando a segurança no arquivo de configuração wp-config.php
Edite o arquivo .htaccess que se encontra na raiz do seu domínio e inclua as configurações abaixo:
<Files wp-config.php>
order allow,deny
deny from all
</Files>
Dica 03: Desativando o acesso ao arquivo .htaccess do seu website.
O arquivo .htacess somente deve ser acessado através do seu programa de FTP ou o Gerenciador de Arquivos de sua Hospedagem. Qualquer outro acesso deve ser negado.
Edite o arquivo .htaccess que se encontra na raiz do seu domínio e inclua as configurações abaixo:
<Files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>
Dica 04: Desativando o acesso aos arquivos de seu website quando utilizado através de outro endereço
Esta regra irá impedir que um outro dominio utilize arquivos e/ou imagens de seu dominio. Isso é muito importante para garantir a autenticidade das informações de seu website.
IMPORTANTE: altere onde está escrito [seudominio.tld] para o seu dominio por exemplo inetweb.com.br
Edite o arquivo .htaccess que se encontra na raiz do seu domínio e inclua as configurações abaixo:
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?dominio.tld [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ - [NC,F,L]
Dica 05: Desative a utilização dos arquivos do diretório wp-include de forma incorreta.
Edite o arquivo .htaccess que se encontra na raiz do seu domínio e inclua as configurações abaixo:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>
Dica 06: Desative a execução de arquivos .PHP dentro do diretório wp-content
Segundo a documentação do WordPress o diretório wp-content somente deve ser utilizado internamente pela programação e para guarda dos arquivos de conteúdos sem a necessidade de execução de scripts .PHP ou qualquer outro através do navegador.
Para isso, edite um arquivo .htaccess dentro do diretório wp-content com o conteúdo abaixo:
order deny,allow
deny from all
<files ~ ".(xml|css|jpe?g|png|gif|js|woff|ttf|woff2|otf|map)$">
allow from all
</files>
Dica 07: Desativando a edição de arquivos pela administração do WordPress
O WordPress permite que alguns arquivos, inclusive de programação PHP possam ser editáveis através da administração. Este tipo de recurso não é recomendável pois caso sua senha seja de fácil acesso ou seja coletada por pessoas mal-intencionadas poderão postar códigos maliciosos em seu website.
Para efetuar esta configuração, edite o arquivo wp-config.php e inclua a configuração abaixo:
define('DISALLOW_FILE_EDIT', true);
Dica 08: Desativando o acesso ao arquivo xmlrpc.php de acessos externos
O WordPress possui um recurso chamado XML-RPC onde permite que programas externos façam integração ao BLOG através deste script. Caso o seu BLOG/website não necessite desta integração, recomendamos desativar o acesso externo à este programa.
Para efetuar esta configuração, edite o arquivo .htaccess e inclua a configuração abaixo:
<Files xmlrpc.php>
order allow,deny
deny from all
</Files>
Dica 09: Desativando a função base64_decode no PHP
A função base64_decode é amplamente utilizada em programação para a reversão de códigos criptografados utilizando o método base64. Muitos procedimentos de invasão em website utilizam desta funcionalidade na programação para implantar código maliciosos para envio de SPAM e injeção de páginas falsas no website.
Para efetuar esta configuração, solicite para o suporte reconfigure sua hospedagem.
IMPORTANTE: Esta configuração deve ser feita com cautela pois alguns PLUGINS do WordPress necessitam desta função habilitada. É muito importante consultar a documentação do PLUGIN ou programador experiente.