O popular sistema de gerenciamento de conteúdo WordPress está agora muito difundido. Neste artigo, gostaríamos de lhe dar algumas dicas para garantir sua instalação do WordPress.
Devido à alta distribuição de wordpress, infelizmente é também um alvo popular para hackers e infelizmente também há ataques automatizados às instalações do WordPress onde é verificado se elas contêm falhas de segurança conhecidas.
Portanto, é muito importante que você mantenha seu WordPress sempre atualizado. Para o uso profissional também é razoável contratar uma agência para manter o WordPress atualizado e escolher um webhoster que também utilize um firewall para proteger o sistema contra ataques conhecidos.
Listamos os pontos mais importantes de como proteger sua instalação do WordPress.
[tie_list type="checklist"]- Mantenha o WordPress sempre atualizado
O WordPress não é apenas um software para blogs, mas também pode ser equipado com várias funções através dos chamados plug-ins, ou seja, extensões. Muitos usuários utilizam plugins e desenhos (temas) especiais para websites individuais. O principal problema dos ataques é a falta de atualização das instalações.
Dica: Para a instalação do WordPress, escolha um host web com uma interface de administração que o ajude a atualizar o WordPress e os plugins. Nossa recomendação é o uso de Plesk como software de gerenciamento.
Ativar a atualização automática do WordPress.
O software é então sempre mantido atualizado. Isto também é possível para muitos Plusins.
É aconselhável entrar regularmente na interface de administração do Wordpress e verificar o estado atual do software. O WordPress mostra diretamente se as atualizações estão disponíveis.
Mais problemáticos são os temas, ou seja, projetos acabados que normalmente contêm plus-ins pagos. Estes temas geralmente não são instalados automaticamente, mas devem ser atualizados manualmente. Para fazer isso, é necessário baixar a versão atual do tema do fabricante e copiá-la para o diretório de temas. Após a atualização, geralmente apenas algumas configurações precisam ser feitas nas Administrações Temáticas.
[tie_list type="checklist"]- Usar conexões criptografadas.
Os dados de login do WordPress são muito solicitados e podem ser facilmente espiados em uma rede insegura, por exemplo, se você entrar em um WLan aberto em um restaurante ou hotel.
Portanto, você deve sempre usar um certificado para uma homepage. É melhor escolher um web host que possa criar um certificado para você. Isto custa apenas alguns euros por ano para uma proteção profissional de sua instalação.
Certifique-se sempre de ter acesso criptografado à sua instalação do WordPress via https://, assim como a recuperação segura do e-mail e, se necessário, o login seguro no FTP. Uma vez que você tenha usado uma conexão não criptografada, recomendamos a troca imediata de todas as senhas.
[tie_list type="checklist"]- Salvar o arquivo wp-login.php
Há também a possibilidade de renomear o diretório wp-admin, mas isto pode levar a problemas com a funcionalidade do WordPress. A maneira mais fácil de proteger contra a maioria dos ataques de força bruta onde as senhas são simplesmente adivinhadas é incluir um código no arquivo .htaccess. Isto pode ser bem combinado com a proteção por senha.
[tie_list type="checklist"]- Proteja seu diretório de administração com uma senha.
Além disso, você deve proteger este diretório com uma senha. Seu fornecedor oferece a opção de configurar a proteção de diretórios para determinados diretórios. Proteja seu diretório de administração com um nome de usuário e senha complicados que tenham pelo menos 12 caracteres e contenham caracteres especiais. Nunca escolha senhas que tenham apenas 8 caracteres. Estes são agora geralmente considerados inseguros e geralmente podem ser quebrados rapidamente, já que foram pré-calculados dependendo do tipo de criptografia.
Após a proteção por senha, abra o arquivo .htaccess e insira o seguinte código acima
ErroDocumento 401 "Bloqueado
ErrorDocument 403 "Locked
# Permite o acesso a plugins admin-ajax.php apesar da proteção por senha
Ordem permitir,negar
Permitir de todos
Satisfazer qualquer
Isto assegura que os plugins do WordPress ainda possam chamar os arquivos.
[tie_list type="checklist"]- Usar plugins e temas que sejam o mais amplamente utilizados possível
Os plugins são geralmente responsáveis pelas falhas de segurança em seu WordPress. Os plugins e temas são pequenos pacotes de software que são fornecidos por terceiros fornecedores. Em princípio a idéia é boa, mas agora há muitos provedores duvidosos e também provedores que simplesmente não têm conhecimento e assim criam software que contém falhas de segurança. Não há praticamente nenhuma proteção contra isso para o leigo. Portanto, recomendamos utilizar somente plugins que tenham sido instalados com muita freqüência e que tenham uma boa classificação.
Não utilize temas gratuitos que você pode baixar de qualquer website. Compre um tema, por exemplo, em Themeforest ou Templatemonster de um fornecedor chamado elite, ou seja, equipes profissionais de programação que geraram uma alta rotatividade.
Preste também atenção à data da última instalação. Os fornecedores que não atualizam seus plugins e temas ou que já pararam o desenvolvimento não são recomendados.
[tie_list type="checklist"]- Eliminar temas e plugins não utilizados
Se seu website estiver pronto e você quiser começar, recomendamos sempre apagar todos os plugins e temas não utilizados. Isto também se aplica aos próprios temas do WordPress que não podem ser removidos facilmente. Possíveis atacantes gostam de esconder seus arquivos nestes diretórios padrão, por isso é aconselhável apagar completamente os arquivos não utilizados. Você pode fazer isto através da interface de administração e, se necessário, também via FTP. Basta apagar os diretórios do diretório de temas que você não utiliza.
[tie_list type="checklist"]Use um firewall de aplicação
[/lista_da_liga]Se possível, você deve usar um firewall de aplicação. Este é um software que verifica cada conexão e oferece muitas possibilidades para prevenir possíveis ataques.
Com muitos fornecedores, há opções livres como o fail2ban (recomendado), mod_security WAF para bloquear ataques conhecidos ou endereços IP conhecidos duvidosos. Com ambientes de hospedagem compartilhada, ou seja, pequenas contas de hospedagem, isto geralmente não é possível porque há muitas características especiais que não podem ser definidas globalmente. Para uso profissional, recomendamos em qualquer caso o uso de um servidor V gerenciado, portanto, um ambiente separado apenas para seu website.
Com alguns provedores premium, você também pode usar uma solução de firewall externo para seu site. Neste caso, sistemas de, por exemplo, Barracuda, Sonicwall ou Imperva são adequados. Estes sistemas filtram o tráfego antes que ele chegue ao servidor web e assim bloqueiam a maioria dos ataques. Tal solução é relativamente cara com 50-250 euros por mês e só é adequada para uso profissional.
Conclusão: criar você mesmo um site é muito fácil com o WordPress. Também a atualização automática que muitos webhosters oferecem é útil em comparação com outros sistemas de gerenciamento de conteúdo. Se você sempre se certificar de que as extensões estão atualizadas (pelo menos uma vez por semana), então nada de muito pode acontecer com você.
O que não custa nada também não é bom. Infelizmente, isto é verdade para muitos plugins e temas. Observe que muitos golpistas infectam temas com código malicioso e depois os distribuem gratuitamente como seu próprio tema. Assim que você tiver instalado algo como isto, seu website será utilizado em pouco tempo para enviar Spam ou abusos de ataques contra outros.
