Vejam como comentários são incentivadores, ontem escrevi sobre a falta de assuntos para blogar e me perguntaram sobre segurança no WordPress (valeu Belezumba!), quando veio uma boa idéia para um artigo. Como sou credenciado para escrever sobre o tema de segurança para WordPress?
Não sou nenhum expert, mas acho que tenho alguma experiência para compartilhar, já trabalho com WordPress há mais de um ano e posso dizer que já passei por várias situações que me fizeram estudar o assunto. Eu tive que estudar para sobreviver, senão tinha largado isso, pois dá trabalho (quem escreve, sabe), e como.
Muitas vezes por não ter qualquer idéia do que está fazendo (ou por achar que sabe o que está fazendo) você acaba em armadilhas inesperadas. São tantas variáveis no mundo web que você, sozinho na sua vontade de escrever, acaba por jogar todo um trabalho no lixo.
Alguns plugins ajudam bastante e também outras dicas de procedimentos que você pode fazer para se proteger.
Plugins de Segurança do WordPress:
WP Security Scan. Usei este plugin há um tempo atrás. Bastante simples, ele checa as permissões das pastas do WordPress, não é muito eficiente em termos de proteção, apenas dá as dicas. Não fiz os procedimentos para banco de dados pois achei arriscado e quanto a esconder a versão do WordPress, já tinha feito isso no meu tema. Então este plugin faz coisas que você pode fazer por si mesmo facilmente.
Exploit-Scanner. Este ao meu ver dá uma ajuda enorme ao pesquisar no seu banco de dados e também arquivos por qualquer alteração feita por hack, o que poderia levar a uma penalização do Google com a retirada dos motores de busca. Também não é uma proteção em “tempo real” e faz um trabalho pontual bastante útil.
AskApache .htaccess Plugin. Este plugin é uma verdadeira proteção para o WordPress. O ítem básico que utilizo é o bloqueio por senha ao acesso da pasta wp-admin. Cuidado ao instalar o plugin e ativar esta opção pois pode ocasionar “erro 500” e você não conseguir mais acessar seu painel de controle. Se isso acontecer você deve acessar via ssh ou ftp e apagar o arquivo .htaccess que ele cria dentro da pasta wp-admin. Na nova versão do plugin isso não aconteceu mais comigo. Além desta proteção a pasta wp-admin ele permite configurar muitas outros tipos de bloqueios importantes.
WP-DBManager. Não é uma proteção mas contém duas ferramentas que podem salvar sua vida, a “otimização das tabelas do MySQL” e também para “reparar tabelas do MySQL”. Uma vez este blog simplesmente parou, tive a brilhante idéia de reparar as tabelas e voilá, tudo voltou a funcionar. Uma vez por semana faça estes procedimentos que você estará seguro.
WordPress Clean Options Plugin. Infelizmente o WordPress é como o Windows, você vai instalando plugins e alguns mal feitos deixam seus pedaços quando você desinstala eles. Muitas coisas são inseridas na tabela de opções (wp-options) do WordPress, até hacks e então você deve fazer a manutenção dela frequentemente. Já li sobre casos onde esta tabela estava enorme atrapalhando o desempenho de um blog. Mesmo se não for seu caso, eu me supreendi com a quantidade de lixo que tinha no meu banco de dados. É como estar remando um barco com várias pedras amarradas e então este plugin foi de grande ajuda.
Bom, quanto a de dicas de segurança, talvez alguns procedimentos para seu dia-a-dia como:
1. Alterar sua senha do WordPress frequentemente. Use senha segura, com caracteres, dígitos e letras.
2. Usar uma senha muito forte para acesso via ssh. É por ai que muitos hackers entram e esta senha deve ser tão ou mais segura do que você usa no WordPress.
3. Não usar ftp e sim sftp que é muito mais seguro. O programa grátis FileZilla é um ótimo cliente para este protocolo de transportar arquivos.
4. Desinstalar plugins não utilizados apagando inclusive seus arquivos.
5. Esconder a versão do seu WordPress. Isso pode ser feito alterando no seu tema o arquivo header.php.
6. Colocar um arquivo index.html vazio na pasta de plugins do WordPress para que ninguém veja, inclusive o Google, quais plugins você usa. Com isso os possíveis hackers saberão menos por onde entrar.
Estou começando a escrever coisas que já havia nos meus outros artigos de segurança para WordPress:
1. Atualizando WordPress, Saiba se Prevenir e Identificar Ataques.
2. Proteger Seu Blog WordPress de Hackers Parte 1.
3. Proteger Seu Blog WordPress de Hackers Parte 2.
Stay connected