Como proteger seu site wordpress e evitar ataques
Fala pessoal estou criando este artigo para ajudar os nossos clientes que não possuem um plano de Hospedagem WordPress administrado pela Hospedagem Segura. Neste artigo vou descrever alguns passos quem englobam vários cenários e, talvez você não precise de seguir todos os passos, porém a instrução de segurança aqui postada é de grande importância. Chega de bla bla bla e vamos ao que interessa….
O cenário será um site em wordpress sofrendo ataque e invasões…
1. Passo – Bloquear todos os acessos ao site e liberar apenas para seu IP via .htaccess
Adicione o seguinte codigo em seu .htaccess:
Order deny,allow
allow from xxx.xxx.xxx.xxx
deny from all
Substitua xxx.xxx.xxx.xxx pelo seu IP – Somente você terá acesso ao seu site (caso seu ip de conexão publico mude você será bloqueado, então terá que informar novamente seu ip)
Neste primeiro passo somente você terá acesso e poderá efetuar as configurações de segurança. Esteja ciente que as configurações de segurança não irão adiantar muita coisa caso seu wordpress já esteja infectado. Caso seu wordpress estiver infectado vá para este post: Como Remover Malware do WordPress . Se mesmo assim não funcionar contrate a restauração de backup e faça a restauração de uma data em que o site não esteja infectado(complicado descobrir)
2. Passo – Altere suas senhas cpanel, mysql e whm, também passe um bom antivírus e malware em seu PC
3. Passo – Setando permissões corretas de segurança:
No Linux(por favor wordpress no windows é igual matar a sede com água salgada) sete as seguintes permissões:
PASTAS – 755
ARQUIVOS – 644
4. Passo – Protegendo o wp-config.php:
Sete a permissão:
wp-config.php – 400
Adicione no .htaccess o código:
<files wp-config.php>
order allow,deny
deny from all
</files>
5. Passo – Protegendo o diretório wp-includes:
No arquivo .htaccess adicione o seguinte código:
# proteger wp-include.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
# FIM
6. Passo – Instalação de plugins de segurança:
Exitem vários Plugins bons de segurança para wordpress, preferencialmente eu aconselho o All In One WP Security & Firewall.
Pontos a configurar no All In One WP Security & Firewall (WP Security):
a. Alterar usuário Admin para outro nome;
b. Proteger/mudar o nome do painel de wp-admin para outro nome;
c. Habilitar proteção de firewall básico
d. Completely Block Access To XMLRPC
e. Disable Pingback Functionality From XMLRPC
f. Bloquear o acesso ao arquivo debug.log
g. Proteção de firewall adicional (marque todas)
h. Habilitar proteção de firewall 6G
i. Bloquear spambots de publicar comentários
j. Ativar o bloqueio automático de IPs de comentário SPAM
l. Habilitar a verificação de detecção automatizada de alteração de arquivos (configure para ser notificado)
7. Passo e considerações finais:
Desfaça o 1º passo para seu site poder receber visitas 😀
Não adianta todo esse trabalho se seu wordpress, tema ou plugin estiverem desatualizados e se o plugin ou tema tiver uma falha de segurança… “chuta o balde” :/ pq sempre haverá uma porta aberta para os invasores.
Abraços…espero poder ter ajudado vocês!!!!