Category Archives: Dicas

Dois super temas gringos

Posted on by
6

Ola galera, hoje a dica para o nosso querido WordPress é de dois super temas que os gringos fizeram, o primeiro é para criação de portfolios e o segundo é um super tema estilo Magazine(portal), confiram.

SimpleFolio

Demonstração | Baixar (0.93 Mb)

Destaques

  • 2 colunas com largura fixa;
  • Pronto para widgets;
  • Multi-browser, testado no Firefox, Safari , IE7, IE8, Chrome;
  • Fácil instalação, possui tela de opções;

Screenshots

Home

Home

Portfolio

Portfolio

Página de opções

Página de opções

Sight


Demonstração | Baixar (0.2 Mb)

Destaques

  • Pronto para WP 3.0.1
  • Página de opções
  • Dois tipos de páginação, WP PageNavi ou com AJAX
  • Slideshow de destaques
  • Widgets
  • 2 menus personalizados
  • Menu menu Drop-down com jQuery
  • Duas formas de mostrar os posts, padrão ou em grade
  • Logo personalizado
  • Suporta Gravatars nos comentários
  • Optimizado para buscadores
  • Encurtamento de URLs automático
  • Isso ja basta, né?

Home

Home

Comentários

Comentários

Visão estilo grade

Visão estilo grade

Slideshow

Slideshow

Espero que vocês gostei desses otímos temas, até a próxima. Comentem…

Dicas, dicas e mais de dicas

Posted on by
7
  • Booking Calendar – plugin que permite adicionar um sistema de reservas em seu site WordPress, muito útil para hotéis, pousadas, aluguéis de carros, etc;
  • BuzzVolume – site brasileiro que agrega os links mais populares do Twitter. Possui widget que facilita a divulgação do conteúdo do blog no Twitter.
  • KeKo – tema gratuito para WordPress com visual muito legal e diversos recursos.
  • Author Exposed – interessante forma de exibir os detalhes sobre autor do post.
  • Remover mensagens de erro do login – saiba como remover as mensagens de erros exibidas pela WordPress quando o login não é bem sucedido, afinal estas mensagens podem ser usadas por hackers para tentar invadir seu blog.
  • Editor de imagens no WP 2.9 – É provável que a próxima versão do WordPress venha com um editor de imagens integrado, com ele será possível, redimensionar, cortar, girar…
  • 40 ferramentas para desenvolvedores web – lista de softwares indispensáveis para todo e qualquer desenvolvedor web.

11 dicas e hacks vitais para proteger a área administrativa do WordPress

Posted on by
30

A Automattic está sempre atenta a falhas e vulnerabilidades no WordPress. Evidência dessa preocupação são as várias atualizações liberadas recentemente, que embora chateiem usuários, são necessárias para manter blogs que rodam sob a plataforma seguros. Mas, além desses problemas de código, existem algumas vulnerabilidades by design, ou seja, que são vulnerabilidades não por erro ou descuido, mas por serem como são.

Ficou complicado? Imagine um ataque de força bruta à área administrativa, considerando “admin” como sendo o username padrão dessa instalação. O WordPress não tem como lidar com esse tipo de situação, e caso algo assim aconteça ao seu blog, as chances do ataque furar o bloqueio por senha é real. Não chega a ser uma falha do WordPress; no entanto, também está longe de ser algo a que devemos aceitar e deixar de lado, correr riscos.

Como tudo que envolve WordPress, a comunidade, através de hacks, dicas e plugins, criou e mantém uma série de defesas que incrementam a segurança do sistema. O blog wpbeginners compilou uma listinha com 11 delas essenciais a qualquer blog que se preze. Com a autorização dos autores do wpbeginners, trazemos a vocês, com exclusividade, esse texto traduzido para o português.

1. Crie links de login personalizados

O primeiro passo para quebrar uma senha do WordPress é buscar a URL de acesso à área administrativa. Sim, o famoso /wp-login.php. O plugin Stealth Login dificulta o acesso ao formulário de login, “mascarando-o” para algo que só o(s) autor(es) conheça(m). Além de permitir a personalização da URL de login, também permite alterar a URL de logout e registro, determinar para onde o usuário deve ser redirecionado após o login, e ativar o modo stealth, que impede o acesso de usuários ao /wp-login.php.

Stealth Login.

Stealth Login.

2. Escolha uma senha forte

Dica óbvia, mas vale a pena a lembrança, já que muitas vezes a deixamos de lado por preguiça, comodismo mesmo. Escolher uma senha forte é algo básico em termos de segurança. Crie uma senha relativamente longa, com caracteres diversos (letras, números e símbolos), que fuja à lógica (nada de colocar data de aniversário aqui). Aproveite-se do indicador de força de senhas embutido no WordPress, para medir a qualidade de sua senha. Não use a mesma senha em vários locais, e, por fim, troque-a regularmente.

Senha forte: dica básica.

Senha forte: dica básica.

3. Limite as tentativas de login

Lembra-se do exemplo citado na introdução deste post, o do ataque de força bruta? O plugin Login LockDown visa impedir justamente esse tipo de ataque. Com ele instalado e ativado, é possível determinar, na área administrativa do WordPress, a quantidade de tentativas de login permitidas. Estourado esse limite, o usuário será impedido de realizar novas tentativas. Solução simples e extremamente eficaz.

Login LockDown.

Login LockDown.

4. Use páginas de login seguras com SSL

SSL é um protocolo de segurança que criptografa a comunicação entre cliente e servidor, impedindo o vazamento de dados no durante seu transporte. Caso seu servidor tenha certificado SSL compartilhado, ou você tenha o seu próprio, pode usar esse tipo de criptografia para gerenciar as sessões na área administrativa do WordPress. Basta adicionar a seguinte linha no wp-login.php:

define(’FORCE_SSL_ADMIN’, true);

Existe outra alternativa, o plugin SSL Admin, que estende a criptografia a todas as páginas da área administrativa. Esse plugin só é compatível com o WordPress 2.7 e mais recentes.

5. Proteja o diretório /wp-admin com senha

Não há nada errado em ter duas senhas para acessar a área administrativa do WordPress. É uma proteção a mais contra acessos não autorizados. O plugin AskApache Password Protect faz algo do tipo. Ele criptografa sua senha e criar o arquivo .htpasswd, dando as devidas e corretas permissões em ambos.

AskApache Password Protect.

AskApache Password Protect.

Se sua hospedagem oferece o cPanel, é possível implementar essa proteção atribuindo senha ao diretório /wp-admin.

6. Limite o acesso para endereços IP

Se sua conexão não usa IP dinâmico, uma boa medida de segurança é limitar o acesso à área administrativa para seu IP, ou, no caso de blogs colaborativos, aos IPs dos colaboradores. Basta criar um arquivo .htaccess dentro da pasta /wp-admin, e acrescentar o seguinte código nele:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “WordPress Admin Access Control”
AuthType Basic

order deny,allow
deny from all
# whitelist Syed’s IP address
allow from xx.xx.xx.xxx
# whitelist David’s IP address
allow from xx.xx.xx.xxx
# whitelist Amanda’s IP address
allow from xx.xx.xx.xxx
# whitelist Muhammad’s IP address
allow from xx.xx.xx.xxx
# whitelist Work IP address
allow from xx.xx.xx.xxx

Substitua os “x” pelos endereços IPs permitidos. O único ponto fraco dessa dica é que, caso você precise acessar a área administrativa do blog a partir de um IP que não esteja listado no .htaccess, não conseguirá, a menos que inclua mais esse IP ao arquivo.

7. Nunca use o usuário “admin”

Ataques de força bruta só são possíveis porque o usuário “admin” existe. Ele é padrão, criado automaticamente pelo WordPress no momento da instalação. A dica é criar outro usuário com poderes administrativos, e em seguida, eliminar o “admin”. O nome do outro usuário deve ser, preferencialmente, algo que fuja do óbvio, o que dificulta ainda mais as tentativas de acesso não autorizado à área administrativa. Dessa maneira, o username funciona mais ou menos como uma segunda senha.

8. Remova mensagens de erro na página de login

Quando se entra com senha e/ou username errados, o WordPress exibe uma mensagem indicando aonde está o erro. Isso ajuda uma pessoa má intencionada a “depurar” as tentativas de burlar o WordPress, afinal, se apenas a mensagem de erro de senha aparece, significa que o username está correto – e vice-versa.

Cadê a mensagem de erro que estava aqui!?

Cadê a mensagem de erro que estava aqui!?

Para ocultar a mensagem de erro na página de login, abra (ou crie, caso não exista) o arquivo functions.php, na pasta do seu tema, e acrescente a seguinte linha:

add_filter('login_errors',create_function('$a', "return null;"));

O plugin Secure WordPress também faz isso, e outras coisinhas. Caso se interesse, dê uma olhada nele.

9. Use senhas criptografadas para fazer login

Se você não tem acesso a criptografia SSL, esse método serve também. Através do plugin Semisecure Login Reimagined, o trabalho de criptografia client-side é realizado com a ajuda de uma chave pública RSA. Para que esse método funcione, é necessário ter o JavaScript habilitado no navegador.

10. Proteção antivírus para WordPress

Achou que só o Windows é vulnerável a vírus? Pois é, o WordPress também o é. O AntiVirus, um plugin para o sistema, protege-o contra exploits e ataques de injeção de spam. Pode-se fazer varreduras manuais, com resultados mostrados em tempo real, ou configurar o plugin para realizá-las diariamente, com envio de resultados por e-mail.

11. Atualize seu WordPress

Não menos importante que as demais (pelo contrário!), manter seu WordPress atualizado é uma das dicas mais eficientes e simples de se seguir. A cada atualização, além de novos recursos, são corrigidos bugs e falhas que abrem brechas para ataques contra a área administrativa do WordPress. Algumas atualizações, inclusive, são lançadas única e exclusivamente para corrigir esse tipo de erro, caso das duas últimas (2.8.3 e 2.8.4). Com o sistema de atualização automática do WordPress, simplesmente não há desculpa para não atualizar seu sistema.

12 (dica bônus). Senhas válidas por uma sessão

Dica excelente para quando precisar acessar a área administrativa do WordPress em ambientes estranhos e/ou pouco confiáveis. O One-Time Password cria senhas que funcionam uma única vez, assim, caso algum keylogger registre sua senha, não há problemas; ela torna-se inútil a partir do momento em que é usada. Esse plugin é de uso um pouco complicado, e só é garantido seu funcionamento nos navegadores Internet Explorer 8 e Firefox 3.0/3.5, com WordPress 2.8. De qualquer maneira, a proposta é interessante, especialmente para quem depende de computadores públicos para atualizar seu blog.

Alguma dica extra? Compartilhe-a nos comentários. Mais uma vez, agradecemos o pessoal do site wpbeginners, que gentilmente autorizou a tradução e publicação do texto 11 Vital Tips and Hacks to Protect Your WordPress Admin Area no pBlog. Thank you!

Dicas, Dicas e mais Dicas

Posted on by
Reply

Algumas coisas interessantes que encontrei nos últimos dias.

  • DynaBlue wordpress theme – Excelente tema duas colunas com destaque para os últimos posts, ícones para Feed e Twitter, espaço pré-definido para banners 125x125px e 468x60px.
  • Fontes gratuitas – o blog Think Design selecionou 20 excelentes fontes sem serifa.
  • Plugin WP-Table Reloaded – Com este plugin você poderá criar e gerenciar tabelas na administração do WordPress sem necessitar de nenhum conhecimento de HTML/CSS. As tabelas criadas poderão ser inseridas em posts, páginas e até em widgets.
  • Plugin SI Captcha – Adiciona automaticamente um captcha ao seu formulário de comentários.
  • Galery WordPress Theme – um simpático tema para galeria de imagens/portfolio. Criado por Christopher Wallace e lançado no Smashing Magazine.
  • Guia para Criar Widgets – tutorial detalhado sobre a criação de widgets para o WordPress 2.8 (em inglês).

p.s. Lançado WordPress 2.8 Beta 2, veja as novidades e faça o download.

easyComment, para Firefox, facilita o envio de comentários

Posted on by
12

O ato de comentar faz parte do ser blogger. Interagir com outros blogs do mesmo nicho, ou mesmo de nichos completamente diferentes, cria o ecossistema de blogs ideal. Sem falar que é enriquecedor enveredar numa boa discussão sobre um tema pertinente em blogs alheios.

Antes da parte legal, que é comentar e ler os comentários dos outros, somos submetidos a um formulário chato: o trinômio nome, e-mail e endereço do blog. É a identificação, não dá para pular essa parte. Todavia, é possível automatizá-la.

A extensão easyComment, para Firefox, permite isso. Após instalá-la, reinicie o navegador e, quando a janela abrir novamente, a inscrição easyComment, em laranja, aparecerá no canto inferior direito. Clique nela, e uma caixa de informações, parecida com o formulário de um blog, surgirá:

Configurações do easyComment.

Configurações do easyComment.

Preencha os dados, e salve a configuração no botão Save. Não vale personalizar o campo Your Message com coisas do tipo “Muito legal seu blog, passa no meu”, hein! Preencher esse campo é válido se você costuma deixar algum cumprimento no final dos comentários, como o []‘s!.

Com plugin devidamente configurado, toda vez que você estiver numa página de blog que tenha um formulário de comentário, basta clicar no easyComment e o formulário aparecerá destacado, com todos os campos preenchidos.

Algo simples, mas que economiza tempo e, em larga escala, lhe salva preciosos minutos, quiçá horas.

Via Weblog Tools Collection.

Meus sites estão fora do ar?

Posted on by
11

Um medo constante de quem mantém blogs e/ou sites é do mesmo “cair”, ficar fora do ar. Se sua hospedagem é do tipo “mil sites num servidor só”, então… Eu passo isso, e fiquei muito feliz quando conheci o Are My Sites Up?, um site que serve para monitorar outros sites.

Usá-lo é muito fácil. Basta fazer o cadastro, que só pede e-mail e uma senha, ativar a conta via e-mail, e depois inserir seus sites. As notificações chegam por e-mail e SMS, só que, infelizmente, o serviço de avisos via mensagem de celular só funciona em alguns países e com determinadas operadoras – na lista de empresas testadas, a TIM, única brasileira lá, aparece na área das que não funcionam.

De qualquer maneira, temos o e-mail, e embora eu não tenha testado ainda (nenhum dos meus sites resolveu tirar férias sem avisar), pelo menos serve de histórico. O serviço “pinga” os sites cadastrados a cada 15 minutos, e se receber qualquer código HTTP diferente de 200 a 300, um e-mail e um SMS (aonde existe suporte) é enviado. O mesmo ocorre quando o site volta do limbo, fica online novamente.

Meus sites estão ok?

Meus sites estão ok?

Por ora, o Are My Sites Up? aceita até 50 (cinqüenta) sites por conta, mas caso sua necessidade seja maior, eles pedem para entrar em contato e conversar.

De quebra, outra diquinha. É comum acharmos que Murphy está se manifestando, e afetando apenas a nossa conexão, impedindo o acesso a determinado site. Eu, por exemplo, quando vejo que algum dos meus não está entrando, corro para o Messenger ou o Twitter e pergunto ao primeiro que encontro se o site está entrando lá.

Para acabar com essa enxeção de saco, apareceu o Down for everyone or just me?, que numa tradução livre, significa “Caiu pra todo mundo ou só pra mim?”. Ele faz exatamente o que você está pensando: verifica se o problema com determinado site é isolado, ou se ele, de fato, está inacessível.

Caiu pra todo mundo ou só pra mim?

Caiu pra todo mundo ou só pra mim?

Basta escrever a URL do site, e clicar no link or just me?. Na tela seguinte, o sistema dá seu veredicto. Simples, direto e funcional. Em suma, muito bom.

Fonte: webtoolkit4.me.