{"id":3154,"date":"2015-02-06T08:42:49","date_gmt":"2015-02-06T10:42:49","guid":{"rendered":"http:\/\/blog.dialhost.com.br\/?p=3154"},"modified":"2015-02-06T08:42:49","modified_gmt":"2015-02-06T10:42:49","slug":"proteja-seu-wordpress-com-essas-incriveis-dicas-de-seguranca","status":"publish","type":"post","link":"https:\/\/www.dialhost.com.br\/blog\/proteja-seu-wordpress-com-essas-incriveis-dicas-de-seguranca\/","title":{"rendered":"Proteja seu WordPress com essas incr\u00edveis dicas de seguran\u00e7a"},"content":{"rendered":"
\"Password<\/a>
Imagem ilustrativa<\/figcaption><\/figure>\n

Garantir prote\u00e7\u00e3o ao seu WordPress \u00e9 regra b\u00e1sica em qualquer situa\u00e7\u00e3o e em qualquer tipo de projeto. Imagina um dia de trabalho super produtivo e do \u201cnada\u201d tudo desaparece, seu site cai ou fica a maior bagun\u00e7a no seu servidor. Esse tipo de problema \u00e9 de deixar qualquer desenvolvedor de cabelos em p\u00e9 e desesperado \u2013 isso no caso de voc\u00ea n\u00e3o ter um backup de tudo. A seguran\u00e7a no WordPress deve estar presente durante todo o levantamento de requisitos de qualquer site. Utilizando t\u00e9cnicas, m\u00e9todos e at\u00e9 plugins, voc\u00ea consegue garantir que seu WordPress esteja blindado contra os tipos mais comuns e diferentes de ataques e problemas de seguran\u00e7a. Por isso, vamos listar agora dicas incr\u00edveis para a seguran\u00e7a no WordPress.<\/p>\n

Admin_ID difente de 1<\/strong>
\nSempre que se realiza uma nova instala\u00e7\u00e3o WordPress, o primeiro usu\u00e1rio criado (comumente o admin) recebe o ID igual a 1 \u2013 o ID \u00e9 referente ao usu\u00e1rio no banco de dados. Perceba que, n\u00f3s \u2013 usu\u00e1rios com um conhecimento maior sobre a plataforma -, j\u00e1 sabemos que o ID \u00e9 sempre 1. Logo, algu\u00e9m mal intencionado pode direcionar um ataque a este usu\u00e1rio.<\/p>\n

Alterar o ID do usu\u00e1rio n\u00e3o \u00e9 algo t\u00e3o complicado, mas voc\u00ea precisa ter um n\u00edvel consider\u00e1vel em banco de dados. Do contr\u00e1rio, uma simples altera\u00e7\u00e3o atrav\u00e9s de queries de update pode invalidar seu usu\u00e1rio e at\u00e9 derrubar seu site. O ID que precisa ser alterado, referente ao usu\u00e1rio admin, deve ser atualizado em pelo menos duas tabelas por padr\u00e3o: wp_user e wp_usermeta.<\/p>\n

Senhas mais dif\u00edceis<\/strong>
\nSe voc\u00ea n\u00e3o quer perder seu usu\u00e1rio e tamb\u00e9m o seu site, o m\u00ednimo \u00e9 manter senhas seguras e fortes para os seus usu\u00e1rios. O WordPress tem um analisador de senha, onde voc\u00ea pode saber qual a for\u00e7a da senha digitada. Para ter senhas fortes voc\u00ea deve sempre recorrer a um gerador de senhas. Ent\u00e3o esque\u00e7a senhas como: 123456 ou a1b2c3d4e5.<\/p>\n

Backup do seu banco de dados<\/strong>
\nManter um cronograma para realizar backups do seu site \u00e9 importante. Se algo deu errado, quebrou ou desconfigurou \u2013 a restaura\u00e7\u00e3o do banco de dados por meio de um backup garante todo o seu trabalho e conte\u00fado do seu site. Fa\u00e7a backups manuais ou utilize plugins que fa\u00e7am esse trabalho. Existe plugin at\u00e9 para fazer backup junto com o Dropbox.<\/p>\n

Gerencie o login e tudo relacionado aos usu\u00e1rios<\/strong>
\nVoc\u00ea pode se livrar de ataques a p\u00e1gina de login apenas escondendo a mesma. Dessa forma, o login n\u00e3o poder\u00e1 ser feito por meio da p\u00e1gina padr\u00e3o, wp-login. Tamb\u00e9m \u00e9 v\u00e1lido retirar a op\u00e7\u00e3o de recupera\u00e7\u00e3o de senha. Um furo inocente, mas que nas m\u00e3os de quem tem conhecimento muito pode fazer, \u00e9 liberar acesso ao painel por parte dos usu\u00e1rios do tipo assinantes.<\/p>\n

Secret keys<\/strong>
\nO WordPress trabalha com secret keys para a criptografia de seus cookies. As secret keys, que ficam localizadas no arquivo wp-config.php, devem ser setadas de forma correta. Cada chave \u00e9 um conjunto com letras, n\u00fameros e caracteres especiais, o que as torna dif\u00edceis de serem descobertas. Acesse o Secret Key Generation Tool do WordPress<\/a> para atualizar as suas.<\/p>\n

Limitar tentativas de login<\/strong>
\nNo WordPress existe plugin para fazer tudo. Ent\u00e3o, utilizar plugins para limitar tentativas de login e o tempo de espera \u00e9 mais do que \u00fatil. Defina um n\u00famero limite para cada tentativa de login, bem como um intervalo de tempo para bloquear as tentativas de login. \u00c9 poss\u00edvel, tamb\u00e9m, armazenar o IP da m\u00e1quina do usu\u00e1rio que tenta realizar login e ent\u00e3o, bloque\u00e1-lo.<\/p>\n

Permiss\u00e3o de acesso por IP<\/strong>
\nSe o sistema deve permitir o login derivado apenas de dentro da empresa (IP fixo), voc\u00ea deve definir permiss\u00f5es por meio de IP. Aqui estou dando um exemplo de como voc\u00ea pode gerenciar o acesso \u2013 tanto ao login, quanto ao site, derivados de um \u00fanico local. Trabalhar com gerenciamento de IPs \u00e9 interessante para garantir a seguran\u00e7a e acesso ao seu sistema.<\/p>\n

Permiss\u00e3o de arquivos<\/strong>
\nDesenvolvendo com WordPress, ou n\u00e3o, cuidar das permiss\u00f5es para pastas e arquivos \u00e9 requisito essencial \u00e0 seguran\u00e7a de seu servidor. Por padr\u00e3o, as pastas devem responder ao padr\u00e3o 755 e os arquivos 644. No WordPress voc\u00ea deve estudar e realizar permiss\u00f5es diferenciadas para pastas e arquivos. Tornando-os inacess\u00edveis a partir de suas permiss\u00f5es.<\/p>\n

Ocultar ou personalizar mensagens de erro no login<\/strong>
\nCuidado b\u00e1sico, mas que muitos n\u00e3o percebem sua import\u00e2ncia: oculte ou personalize as mensagens de erro do sistema de login. Oculte as mensagens de erro que informam que o e-mail n\u00e3o existe, ou que o nome de usu\u00e1rio \u00e9 inv\u00e1lido e que a senha digitada est\u00e1 incorreta. Com tais informa\u00e7\u00f5es qualquer um j\u00e1 tem muitas pistas que ajudam o seu acesso.<\/p>\n

Configura\u00e7\u00f5es no .HTACCESS<\/strong>
\nUtilizando instru\u00e7\u00f5es espec\u00edficas voc\u00ea consegue proteger pastas, arquivos e at\u00e9 o pr\u00f3prio arquivo .htaccess. Proteja qualquer tipo de acesso externo ao wp-config.php e tamb\u00e9m a listagem de diret\u00f3rios dentro da URL. Permita que apenas imagens e arquivos sem extens\u00e3o .php sejam acessados dentro da pasta wp-content. Tudo isso voc\u00ea consegue apenas por meio do .htaccess.<\/p>\n

Seguran\u00e7a nunca \u00e9 demais para o seu WordPress. Com as dicas que passamos aqui voc\u00ea pode:<\/p>\n