Arquivos da Tag: banco de dados

15 Dicas para Proteger o seu WordPress

Publicado em por
35

Sem dúvida alguma o WordPress é o melhor e mais popular gerenciador de conteúdo para blogs, porém toda esta popularidade atrai uma enorme quantidade de hackers que aproveitam-se do fato que o sistema é open source para estudá-lo por completo e descobrir maneiras de invadir. Para evitar estes problemas vamos dar algumas dicas de segurança para você implementar no seu WordPress.

Todas as dicas que serão mostradas agora são para o WordPress 2.7 e superior. Se você ainda utiliza uma versão anterior está aí um bom motivo para atualizar. :)

Protegendo seu login

  • 1. CHAP Secure Login – Este plugin utiliza o protocolo CHAP para criptografar sua senha e garantir mais segurança durante o sessão de acesso à administração. Não é necessário nenhuma configuração, basta fazer o upload do plugin e ativá-lo.
  • 2. Stealth Login – Neste caso o plugin oculta a página de login default do WP (wp-login.php) permitindo que você configure uma nova URL para realizar o login. É uma boa forma para evitar que bots encontrem a página de login e tentem quebrar sua senha.
  • 3. Login Lockdown – Já tinha comentado sobre este plugin aqui no pBlog, sua função é bloquear o login temporariamente se ocorrer diversas tentativas não bem sucedidas seguidas vezes em curto período de tempo.
  • 4. AskApache Password Protect – Este plugin adiciona uma autenticação HTTP extra, garantindo uma camada a mais de proteção, assim você poderá adicionar uma nova senha. É importante verificar se o servidor onde seu blog está hospedado possui compatibilidade com a HTTP Basic Authentication ou HTTP Digest Authentication (o próprio plugin tem uma ferramenta de deste).

Protegendo seu Banco de Dados

  • 5. WP-DB-Backup – Lembre-se sempre de fazer backup! O plugin WP-DB-Backup facilitará esta tarefa chata, podendo até enviar um backup do seu banco de dados todos os dias para seu email.
  • 6. Trocando o prefixo das tabelas do Banco de Dados – Por default o WordPress adiciona o prefixo “wp” em todas as tabelas do BD. Para trocar este prefixo facilmente basta utilizar o plugin WP-Security-Scan.
  • 7. Protegendo o arquivo wp-config.php – Este arquivo possui todas as informações do seu BD, protegê-lo do acesso público é uma importantíssimo. Para isso adicione o seguinte código ao seu arquivo .htaccess.



    • order allow,deny
    deny from all

Protegendo as Páginas da Administração

  • 8. Admin SSL – Plugi que força criptografia SSL em todas as páginas que exige senha, assim todas as informações transmitidas estarão cryptografadas.
  • 9. Mude o seu Login!! – Utilizando o login “admin” que é adicionado por default durante a instalação, o hacker terá que quebrar apenas sua senha, pois já saberá o login. Para isso crie um novo usuário com poderes de administrador e apague o usuário “admin”.

Prevenindo que usuários vejam a estrutura de pastas do WP

  • 10. Escondendo a Pasta wp-content – Nesta pasta estão armazenadas o seu tema, plugins e uploads, torná-la inacessível é uma boa opção. Uma maneira é criar um arquivo index.html em branco dentro da pasta ou criar um arquivo .htaccess também dentro da pasta wp-content com o seguinte código:


    • Options All -Indexes

  • 11. Bloquei as pasta do WP dos mecanismos de busca – Enquanto você deseja que os mecanismos de busca indexem todo o conteúdo do seu blog para trazer o máximo de visitantes possível, a última coisa que você gostaria é que os mesmos mecanismos de buscas tornasse público a estrutura de pastas do seu blog. Para evitar este problema adicione o seguinte código ao arquivo robot.txt:


    • Disallow: /wp-*

Manutenção

  • 12. WP Security Scan – Já citado anteriormente, este plugin procura por vulnerabilidades e fornece sugestões corretivas. É sempre bom executá-lo de tempos em tempos para que verifique eventuais problemas de segurança.
  • 13. Troque sua senha com regularidade!!
  • 14. Mantenha sempre atualizado seu WordPress e todos os plugins instalados.
  • 15. Proteja sua conexão de FTP – Algo bastante comum no dia-a-dia de qualquer blogueiro, a transferência de arquivos via FTP pode expor seus arquivos durante o envio, o ideal é utilizar uma conexão SFTP (secure FTP). A grande maioria das hospedagem já possuem suporte a SFTP e apesar de sua configuração ser um pouco mais trabalhosa, você só precisará fazer uma vez. Aprenda a configurar com este tutorial.

Aplicando todas estas dicas em seu blog pode ter a certeza que ele estará 99,9% seguro!!

Fonte: MakeUseOf.com

Porque meu blog está lento?

Publicado em por
20

Com o plugin WP Tuner é possível analisar diversos dados sobre o carregamento de todas as páginas do blog, inclusive da administração, e descobrir o quanto cada recurso está consumindo do servidor. Com estes dados é possível descobrir a causa de uma possível lentidão no site. Um plugin? O servidor? O tema?

Após a ativação do plugin, é exibido um relatório detalhado no rodapé de cada página (apenas para usuários logados como administrador) contendo as seguintes informações:

  • Tempo de carregamento, número de consultas ao banco de dados e consumo de memória da página separada por ordem cronológica de carregamento (plugins, widgets, posts, wp_head, loop, sidebar, wp_footer e footer);
  • Número de acessos ao banco de dados e tempo de resposta de cada plugin e do tema;
  • Número de acessos e tempo de resposta de todas as tabelas do banco de dados;
  • Lista detalhada de todas as consultas ao banco de dados junto com o tempo de resposta;

Instalei aqui no pBlog e descobri que os plugins Show Top Commentators e Subscribe To Comments consomem muitos recursos do sistema e como medida preventiva, restringi a exibição da lista dos usuários que mais comentam à página principal do blog. Espero que vocês não fiquem chateados. :)

Polêmica sobre desinstalação de plugins

Publicado em por
8

Jeff, do Weblog Tools Collection, deu início a uma discussão acalorada e polêmica acerca da questão da desinstalação de plugins no WordPress. A bronca dele é pelo fato de que alguns plugins, quando desinstalados, não o fazem completamente; deixam para trás rastros como inclusões no banco de dados, e opções nos menus do painel administrativo.

Isso é comum, e de fato ocorre. Certa vez, instalei e usei, durante um tempo, um plugin para exibir asides em meu blog pessoal. Parei de usá-lo alguns meses depois, e o desativei no painel. Passados mais alguns meses, resolvi voltar a utilizá-lo, e assim que o ativei, tive uma (des)agradável surpresa ao constatar que as entradas escritas outrora ainda estavam lá, intocadas. Elas, obviamente, eram armazenadas no banco de dados, e por não ter um desinstalador eficiente, ficou para trás, mesmo sendo o plugin desativado.

Quem tem um conhecimento mínimo sobre banco de dados, pode fazer a limpeza manualmente, através de front-ends como o phpMyAdmin. Porém, o risco de fazer cagada, e o que é pior, com o banco de dados principal e em funcionamento, é grande.

Jeff, do artigo linkado no início deste post, cogitou a possibilidade do próprio WordPress inviabilizar a remoção de partes do banco de dados, por medidas de segurança. Mas quando entrou em contato com alguns desenvolvedores, um deles, Ronald Huereca, do plugin WP Ajax Edit Comments, eliminou a hipótese. Disse ele:

É responsabilidade do autor do plugin apagar qualquer coisa (incluindo opções e/ou tabelas do banco de dados) que o plugin utiliza. O autor deve permitir ao usuário fazer isso manualmente ou na desativação. Mas ao menos uma opção deve existir.

Atitudes concretas já surgiram após a publicação do manifesto de Jeff. Andrew Rickmann criou um plugin que desinstala outros plugins automaticamente. Os pré-requisitos para que ele funcione é o plugin a ser desinstalado contenha um arquivo de uninstall, e que ele esteja desativado. Nesta página há mais informações e o link para download do Fun with uninstallation 0.1.

E você, leitor o pBlog? Cuida bem do seu banco de dados? Já teve alguma experiência ruim com a desinstalação de plugins?

Lançada nova versão do WordPress

Publicado em por
2

A nova versão 2.3.2 do WordPress foi lançada hoje com o objetivo de corrigir algumas falhas, a principal delas era a possibilidade de expor seus rascunhos a terceiros. Além das correções de segurança, foi adicionado um novo arquivo que permite exibir uma página de erro informando que seu blog não está conseguindo conectar com o banco de dados. Para isto você deve adicionar o template em wp-content/db-error.php.

Mais informações sobre a correção de falhas e as mudanças em relação a versão anterior no site do WordPress.