in

10 Medidas de Segurança para seu Blog WordPress

Esta lista é uma adaptação da tradução feita para português-pt pela equipe do blog oficial do WordPress em português. Resolvi adapatar alguns termos para facilitar a leitura. O original em inglês se encontra no Noupe.
No mais, é ler e se esforçar para colocar em prática.

1. Não deixe que TODO o seu servidor seja pesquisável

O WPdesigner aconselha a NÃO usar este código no arquivo search.php

<?php echo $_SERVER ['PHP_SELF']; ?>

Não deveria ser permitido a ninguém pesquisar o seu servidor todo. Em vez do código acima, use este:

<?php bloginfo ('home'); ?>

Impeça que todos os diretórios WP-* sejam indexados pelos motores de busca. A melhor maneira é criar um arquivo chamado robots.txt no root do site (ou adicionar ao existente), com a seguinte instrução:

Disallow: /wp-*

2. O conteúdo dos diretórios não deveria poder ser “listável”

Existe um potencial problema quando deixa visível que plugins e versões dos mesmos está usando. Se existem brechas de segurança conhecidas nesses plugins (e existem…), é relativamente fácil aproveitar-se disso. Assim, crie um arquivo vazio chamado index.html no diretório wp-content/plugins. Quem tentar listar o conteúdo da pasta, vai ver esse arquivo em vez do conteúdo da pasta.

Em alternativa, acrescente esta linha ao seu arquivo .htaccess na root do site:

Options All -Indexes

3. Elimine o texto sobre a versão de WordPress nas Meta Tags

A maioria dos temas de WordPress contém, no <header> uma MetaTag que mostra a versão de WordPress que está a usar, o que, para um hacker é uma informação útil ficando este a saber como atacar a sua instalação se por acaso não a actualizou para a versão mais recente (existem ainda plugins para retirar essa informação de toda a instalação, incluido feeds de RSS). Para mais informação consultar o artigo do
Matt Cutts.

Este é o tag presente no arquivo header.php que mostra a versão de WordPress.

<meta content="WordPress <?php bloginfo(’version’); ? >" name="generator" />

4. Proteja o diretório WP-ADMIN

Um atacante pode usar bots do tipo brute force para simplesmente tentar adivinhar a senha de administração. Existem algumas soluções para o problema:

Limitar o accesso à pasta wp-admin por enderço de IP- Restringe o acesso a wp-admin por via do arquivo .htaccess a um (ou a um grupo) de IPs específicos Só faz sentido para quem tem IP fixo ou que varia pouco, porque senão a tarefa de atualizar o dito arquivo torna-se impossível.

Plugin AskApache Password Protect- É um plugin simples, que proteje tudo o que esteja dentro ou abaixo do wp-admin, com usuário e senha encriptada (ou seja trata de criar ou modificar o arquivo .htpasswd, sem ser preciso andar a escarafunchar com ftp e afins)

Plugin Login Lockdown- regista o IP e data/hora de cada tentativa de acesso ao wp-login.php. Se mais do que um certo número de tentativas forem detectadas num curto espaço de tempo vindas do mesmo grupo de IPs, a funcionalidade de login é automáticamente desactivada para esse grupo de Ips. Ajuda a lutar contra as tentativas de adivinhar a senha.

5. Mantenha os plugins atualizados

Deveria ser óbvio. Mantenha a sua instalação sempre nas versões mais recentes dos plugins. Pode sempre experimentar o
Plugin Updater, e manter-se informado através dos feeds RSS dos criadores dos plugins

6. Faça cópias de segurança regulares tanto do site como da base de dados

Um dos gurus da informática dizia, há já muitos anos, que só existem três regras para não perder dados: fazer cópias de segurança, fazer cópias de segurança e fazer cópias de segurança. Faça sempre backups e, de preferência, em três gerações (ou seja tenha sempre disponíveis as três últimas versões).

O Plugin
WordPress Database Backup cria automáticamente cópias da base de dados. Melhor ainda, o plugin
Backup WordPress faz a mesma coisa, mas ainda cria cópias do site.

7. Mantenha o WordPress atualizado

Deveria também ser óbvio. Mantenha a sua instalação sempre na
versão mais recente do WordPress. Pode sempre Experimentar o
Plugin Updater e o
WordPress Automatic Upgrade. (em que neste último já estamos tratando de fazer com que atualize a versão PT, graças ao
António Campos). Está no entanto anunciado para a versão 2.5 do WordPress que estas funcionalidades estarão disponíveis nativamente. Atenção que o
plugin Instant Upgrade e o
WordPress Automatic Upgrade (na versão original) só atualizam versão “central” (ou seja em inglês).

8. Use o acesso SSH/Shell Access em vez de FTP

Uma grande dica, explicada
aqui. Quem consiga aceder aos seus dados de FTP (que normalmente não estão encriptados) pode manipular arquivos e colocar spam no seu site sem que o seu dono se aperceba. Ao usar SSH tudo é encriptado, incluindo a transferência de arquivos.

9. Deixe de se preocupar com o wp-config.php

Mantenha o utlizador e password de acesso à base de dados secretos, adicionando a seguinte instrução ao arquivo .htaccess na root do seu site:

<FilesMatch ^wp-config.php$>deny from all</FilesMatch>

10. Proteja o seu blog com uma senha segura

Usar uma senha complexa e fácil de lembrar é uma das mais eficazes defesas contra intrusos. Existem muitos recursos online para verficar a “força” de uma senha.

Leia também o artigo de Lorelle no Blogherald,
Protect Your Blog With a Solid Password, que dá dicas e truques para criar uma senha complexa e fácil de lembrar, além de discutir ainda a questão de como gerenciar as senhas que acumulamos online.