15 Dicas para Proteger o seu WordPress

Posted on 21 de março de 2009 by Érico Oliveira

Sem dúvida alguma o WordPress é o melhor e mais popular gerenciador de conteúdo para blogs, porém toda esta popularidade atrai uma enorme quantidade de hackers que aproveitam-se do fato que o sistema é open source para estudá-lo por completo e descobrir maneiras de invadir. Para evitar estes problemas vamos dar algumas dicas de segurança para você implementar no seu WordPress.

Todas as dicas que serão mostradas agora são para o WordPress 2.7 e superior. Se você ainda utiliza uma versão anterior está aí um bom motivo para atualizar.

Protegendo seu login

1. CHAP Secure Login – Este plugin utiliza o protocolo CHAP para criptografar sua senha e garantir mais segurança durante o sessão de acesso à administração. Não é necessário nenhuma configuração, basta fazer o upload do plugin e ativá-lo.
2. Stealth Login – Neste caso o plugin oculta a página de login default do WP (wp-login.php) permitindo que você configure uma nova URL para realizar o login. É uma boa forma para evitar que bots encontrem a página de login e tentem quebrar sua senha.
3. Login Lockdown – Já tinha comentado sobre este plugin aqui no pBlog, sua função é bloquear o login temporariamente se ocorrer diversas tentativas não bem sucedidas seguidas vezes em curto período de tempo.
4. AskApache Password Protect – Este plugin adiciona uma autenticação HTTP extra, garantindo uma camada a mais de proteção, assim você poderá adicionar uma nova senha. É importante verificar se o servidor onde seu blog está hospedado possui compatibilidade com a HTTP Basic Authentication ou HTTP Digest Authentication (o próprio plugin tem uma ferramenta de deste).

Protegendo seu Banco de Dados

5. WP-DB-Backup – Lembre-se sempre de fazer backup! O plugin WP-DB-Backup facilitará esta tarefa chata, podendo até enviar um backup do seu banco de dados todos os dias para seu email.
6. Trocando o prefixo das tabelas do Banco de Dados – Por default o WordPress adiciona o prefixo “wp” em todas as tabelas do BD. Para trocar este prefixo facilmente basta utilizar o plugin WP-Security-Scan.
7. Protegendo o arquivo wp-config.php – Este arquivo possui todas as informações do seu BD, protegê-lo do acesso público é uma importantíssimo. Para isso adicione o seguinte código ao seu arquivo .htaccess.

order allow,deny deny from all

Protegendo as Páginas da Administração

8. Admin SSL – Plugi que força criptografia SSL em todas as páginas que exige senha, assim todas as informações transmitidas estarão cryptografadas.
9. Mude o seu Login!! – Utilizando o login “admin” que é adicionado por default durante a instalação, o hacker terá que quebrar apenas sua senha, pois já saberá o login. Para isso crie um novo usuário com poderes de administrador e apague o usuário “admin”.

Prevenindo que usuários vejam a estrutura de pastas do WP

10. Escondendo a Pasta wp-content – Nesta pasta estão armazenadas o seu tema, plugins e uploads, torná-la inacessível é uma boa opção. Uma maneira é criar um arquivo index.html em branco dentro da pasta ou criar um arquivo .htaccess também dentro da pasta wp-content com o seguinte código:

Options All -Indexes

11. Bloquei as pasta do WP dos mecanismos de busca – Enquanto você deseja que os mecanismos de busca indexem todo o conteúdo do seu blog para trazer o máximo de visitantes possível, a última coisa que você gostaria é que os mesmos mecanismos de buscas tornasse público a estrutura de pastas do seu blog. Para evitar este problema adicione o seguinte código ao arquivo robot.txt:

Disallow: /wp-*

Manutenção

12. WP Security Scan – Já citado anteriormente, este plugin procura por vulnerabilidades e fornece sugestões corretivas. É sempre bom executá-lo de tempos em tempos para que verifique eventuais problemas de segurança.
13. Troque sua senha com regularidade!!
14. Mantenha sempre atualizado seu WordPress e todos os plugins instalados.
15. Proteja sua conexão de FTP – Algo bastante comum no dia-a-dia de qualquer blogueiro, a transferência de arquivos via FTP pode expor seus arquivos durante o envio, o ideal é utilizar uma conexão SFTP (secure FTP). A grande maioria das hospedagem já possuem suporte a SFTP e apesar de sua configuração ser um pouco mais trabalhosa, você só precisará fazer uma vez. Aprenda a configurar com este tutorial.

Aplicando todas estas dicas em seu blog pode ter a certeza que ele estará 99,9% seguro!!

Fonte: MakeUseOf.com

Torne seu WordPress mais seguro com o plugin Login Lockdown

Posted on 6 de janeiro de 2009 by Érico Oliveira

Proteja seu WordPress

Uma das formas mais comuns e também mais difundidas de ataques a sites é através da “força bruta“, que consiste basicamente em tentar todas as combinações de caracteres até descobrir uma senha. É contra este tipo de ataque que o plugin Login Lockdown protegerá seu WordPress.

Seu funcionamento consiste em registrar o endereço IP e a hora de cada login não bem sucedido foi realizado. Se um determinado número de tentativas for realizada de um mesmo endereço IP em um curto espaço de tempo, o plugin bloqueará novas tentativas para aquele endereço. Desta forma previne-se contra a descoberta de senhas através de ataques por força bruta.

A instalação do plugin é simples como a maioria, faça o download, descompacte-o e envie para a pasta plugins no seu servidor. Acesse a página de plugins na administração do seu WordPress e ative-o. Por último você poderá fazer alguns ajustes na página de configuração do plugin, por default um determinado número IP será bloqueado caso realize 3 tentativas de login sem sucesso em menos de 5 minutos.

Lançado WordPress 2.6.5

Posted on 26 de novembro de 2008 by Érico Oliveira

Calma pessoal, ainda não é a nova versão 2.7 (infelizmente), trata-se de uma versão de correção onde foram solucionados um problema de segurança e três bugs. Para atualizar o WordPress 2.6.3 para o 2.6.5 basta baixar a nova versão e atualizar os seguintes arquivos:

/wp-includes/feed.php
/wp-includes/post.php
/wp-includes/version.php
/xmlrpc.php
/wp-admin/users.php

Notem que o WordPress pulou uma versão, saiu da 2.6.3 direto para a 2.6.5, isto aconteceu em virtude de uma versão 2.6.4 falsa ter circulado na internet. Para evitar maiores problemas a Automattic resolveu pular esta versão, então pessoal cuidado, nunca existiu ou existirá uma versão oficial 2.6.4, ok?

Technorati passa a ignorar blogs rodando WordPress desatualizado

Posted on 8 de abril de 2008 by Rodrigo Ghedin

A fim de evitar a proliferação de splogs e problemas de segurança, o Technorati, maior indexador de blogs do mundo, anunciou que, a partir de agora, só trabalhará com a versão mais atualizada do WordPress, a 2.5. Isso significa que blogs rodando versões anteriores do sistema serão ignorados pelo Technorati.

A recomendação, óbvia e única, é atualizar seu WordPress para a última versão.

Solução drástica, mas necessária. Só gostaria de saber que espécie de filtro será implantado (se for mesmo) no WordPress.com…

[Via Tiago Dória]

Math Comment Spam Protection

Posted on 11 de fevereiro de 2008 by Rodrigo Ghedin

O Akismet é uma das melhores coisas que já inventaram na luta contra o spam. O plugin é muito eficiente, e são raros os casos de comentários indesejados que passam pelo filtro. Está presente na instalação padrão do WordPress, e é, provavelmente, o plugin mais utilizado do mundo.

O problema é que o Akismet é eficiente após o envio do comentário. Em blogs pequenos, ou hospedados em servidores parrudos, isso é irrelevante. Mas em blogs de grande audiência, ou hospedados em servidores fracos, o volume de spam recebido pode ser prejudicial.

Cada comentário enviado faz com que o servidor trabalhe: muito PHP é processado, e informações são escritas no banco de dados. Imaginando um cenário caótico, de um blog que recebe milhares de spams diariamente, e está hospedado num servidor ruim, dá para imaginar o resultado, não? Não? Então lá vai: site lento, erros de timeout, e encheção de saco do suporte do servidor.

A solução, usando a lógica, é barrar esse comentário antes dele ser enviado. O spam é feito, majoritariamente, por robôs, ou bots, programas que varrem a Internet atrás de sites que rodam sob WordPress, e disparam contra eles suas armas, preenchendo automaticamente os campos do formulário de comentário: nome, e-mail, site e comentário. Se inserirmos um campo extra, incomum, e obrigatório, o bot fica incapacitado de enviar o comentário, simplesmente por não saber a resposta. Simples, não?

Mas, como fazer isso? É aqui que o Math Comment Spam Protection, um plugin desenvolvido pelo site alemão Software Guide, entra. Quando ativado, ele adiciona uma soma matemática no formulário, e o comentário só “entra” se a soma estiver correta. Como, até o momento, bots não têm essa capacidade, eles param ali, e seu blog fica, enfim, livre dessas pragas.

A instalação é um pouquinho diferente do convencional, pois envolve a edição do tema – mais especificamente, do arquivo comments.php. Baixe o plugin, descompacte-o e envie a pasta gerada para a /wp-content/plugins/, do seu WordPress. Ative-o, e em seguida, vá até o menu Options, e clique em Math Comment Spam, a fim de configurá-lo. Só altere os campos de mensagens de erro (Error Messages); os demais não precisam ser alterados.

Vá ao editor de temas (Presentation, Theme Editor), e selecione o arquivo comments.php (Comments). Nele, localize o formulário de comentário. Ele começa com a seguinte linha:

Novo WordPress 2.2.3 corrige falhas graves

Posted on 8 de setembro de 2007 by Érico Oliveira

Apesar de estarmos a poucas semanas do lançamento da versão 2.3, Matt e sua equipe decidiram lançar esta versão devido a quantidade de falhas de segurança corrigidas. Provavelmente é a última versão do WordPress 2.2.
Faça o download desta nova versão ou instale o plugin Instant Upgrade e descubra como é fácil atualizar o WordPress.

pBlog

Tudo sobre WordPress

Tag Archives: Segurança