WordPress – Aumentando a segurança na programação

Através deste guia passo a passo será possível aumentar a segurança na utilização de seu Blog WordPress.

Lembre-se que é muito importante sempre manter o seu Blog WordPress atualizado com a última versão.

Para maiores informações sobre a atualização do WordPress acesse diretamente o website do fabricante.

 

Dica 01: Desativando a listagem de arquivos (Directory Browsing)

Edite o arquivo .htaccess que se encontra na raiz do seu domínio e inclua as configurações abaixo:

Options All -Indexes

Dica 02: Aumentando a segurança no arquivo de configuração wp-config.php

Edite o arquivo .htaccess que se encontra na raiz do seu domínio e inclua as configurações abaixo:

<Files wp-config.php>
    order allow,deny
    deny from all
</Files>

Dica 03: Desativando o acesso ao arquivo .htaccess do seu website.

O arquivo .htacess somente deve ser acessado através do seu programa de FTP ou o Gerenciador de Arquivos de sua Hospedagem. Qualquer outro acesso deve ser negado.

Edite o arquivo .htaccess que se encontra na raiz do seu domínio e inclua as configurações abaixo:

<Files ~ "^.*\.([Hh][Tt][Aa])">
    order allow,deny
    deny from all
    satisfy all
</Files>

Dica 04: Desativando o acesso aos arquivos de seu website quando utilizado através de outro endereço

Esta regra irá impedir que um outro dominio utilize arquivos e/ou imagens de seu dominio. Isso é muito importante para garantir a autenticidade das informações de seu website.

IMPORTANTE: altere onde está escrito [seudominio.tld] para o seu dominio por exemplo inetweb.com.br

Edite o arquivo .htaccess que se encontra na raiz do seu domínio e inclua as configurações abaixo:

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?dominio.tld [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ - [NC,F,L]

Dica 05: Desative a utilização dos arquivos do diretório wp-include de forma incorreta.

Edite o arquivo .htaccess que se encontra na raiz do seu domínio e inclua as configurações abaixo:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

Dica 06: Desative a execução de arquivos .PHP dentro do diretório wp-content

Segundo a documentação do WordPress o diretório wp-content somente deve ser utilizado internamente pela programação e para guarda dos arquivos de conteúdos sem a necessidade de execução de scripts .PHP ou qualquer outro através do navegador.

Para isso, edite um arquivo .htaccess dentro do diretório wp-content com o conteúdo abaixo:

order deny,allow
deny from all
<files ~ ".(xml|css|jpe?g|png|gif|js|woff|ttf|woff2|otf|map)$">
allow from all
</files>

Dica 07: Desativando a edição de arquivos pela administração do WordPress

O WordPress permite que alguns arquivos, inclusive de programação PHP possam ser editáveis através da administração. Este tipo de recurso não é recomendável pois caso sua senha seja de fácil acesso ou seja coletada por pessoas mal-intencionadas poderão postar códigos maliciosos em seu website.

Para efetuar esta configuração, edite o arquivo wp-config.php e inclua a configuração abaixo:

define('DISALLOW_FILE_EDIT', true);

Dica 08: Desativando o acesso ao arquivo xmlrpc.php de acessos externos

O WordPress possui um recurso chamado XML-RPC onde permite que programas externos façam integração ao BLOG através deste script. Caso o seu BLOG/website não necessite desta integração, recomendamos desativar o acesso externo à este programa.

Para efetuar esta configuração, edite o arquivo .htaccess e inclua a configuração abaixo:

<Files xmlrpc.php>
    order allow,deny
    deny from all
</Files>

Dica 09: Desativando a função base64_decode no PHP

A função base64_decode é amplamente utilizada em programação para a reversão de códigos criptografados utilizando o método base64. Muitos procedimentos de invasão em website utilizam desta funcionalidade na programação para implantar código maliciosos para envio de SPAM e injeção de páginas falsas no website.

Para efetuar esta configuração, solicite para o suporte reconfigure sua hospedagem.

IMPORTANTE: Esta configuração deve ser feita com cautela pois alguns PLUGINS do WordPress necessitam desta função habilitada. É muito importante consultar a documentação do PLUGIN ou programador experiente.

Essa Base de conhecimento é útil? Útil Não Útil 0 de 0 pessoas disseram que esse artigo foi útil.