Segurança em blogs WordPress

WordPress é uma ferramenta Open Source, isso significa dizer que qualquer um pode ter acesso a seu código fonte, estudá-lo e encontrar problemas de segurança, incluindo pessoas má-intencionadas. Está é uma das razões porque você deve se preocupar com a segurança de seu blog.

Este artigo descreverá 10 passos a serem seguidos para melhorar a segurança de seu Blog.

Passo 01 – Remova o usuário Admin

O usuário administrador padrão é chamado “Admin”, isso significa que se você utilizá-lo como o administrador do seu sistema, só restará a outra metade do caminho (senha) para que o seu site seja invadido. Caso você o remova, é necessário que a pessoa que deseja entrar descubra, além da senha, qual o nome do usuário que detém o privilégio administrativo.

Preferencialmente, tenha dois usuários. Um que será utilizado para postar conteúdo, e um outro que será utilizado apenas para realizar tarefas de administração, e que obrigatoriamente deverá ser mantido em segredo, nunca utilizado para postar conteúdo, ou interagir com os usuários do blog. Crie-o e mantenha armazenado em seu computador junto com a senha complexa que deverá ser criada para o mesmo.

Quanto menos previsível for o nome deste usuário administrativo, mais difícil será para que o mesmo seja descoberto. Um bom exemplo de nome é “x7duEls91ak”.

“Trate sua senha como uma escova de dente. Não deixe ninguém utilizá-la, e troque-a a cada seis meses” ~Clifford Stoll

Passo 02 – escolha uma senha forte

Não importa o site que você está gerenciando, você pode estar sob ataque de força-bruta! Realizando o primeiro passo sugerido neste artigo, você provavelmente já terá eliminado a probababilidade de ser atacado por muitos usuários, porém sempre existiram aqueles mais persistentes, que poderão conseguir descobrir qual é o seu usuário administrador. Agora, para tentar impedir que eles descubram facilmente qual é a sua senha, escolha senhas complexas com mais de 6 caracteres, e que incluam letras, números e símbolos. Evite senhas comuns como 123456, datas comemorativas e etc. Caso deseje saber se a sua senha escolhida é uma senha fraca ou forte visite o site passwordmeter.com.

Passo 03 – Proteja sua senha

Acrescente plugins de segurança, existem vários disponíveis gratuitamente. Uns bloqueiam mais que três tentativas de acesso, outras informam por e-mail ataques de força bruta.

Um plugin muito útil é o Login LockDown. Ele grava o endereço IP e o momento em que uma determinada quantidade de logins passa a falhar. A maioria dos hackers desistem após ter o IP banido, após algumas tentativas de logon.

Passo 04 – Mantenha o WordPress Atualizado

É sempre importante estar com a versão mais nova do WordPress. Quando uma falha no software é detectada, a WordPress.org lança uma nova versão com este problema solucionado. Porém, os software que não atualizam passam a ter o problema descoberto como alvo a ser explorado, com técnicas específicas para aquela versão do WordPress.

Passo 05 – Oculte a versão do WordPress

É óbvio! Se existem ferramentas para hackear falhas em determinadas versões do WordPress, fica muito mais fácil saber a ferramenta a ser utilizada se o blog publica qual a versão do wordpress que ele utiliza.

Abra seu arquivo function.php e adicione a seguinte linha:

remove_action('wp_head', 'wp_generator');

Passo 06 – Mude as permissões dos arquivos

É muito importante que você utilize as permissões corretas para os arquivos e pastas. Eu recomendo que você restrinja ao máximo as permissões. Abra seu programa FTP e com o botão direito sobre o arquivo e pasta seleciona a opção “File Permission”. nunca utilize “777”,  Você deveria estar utilizando o valor 744, dando o controle total apenas ao owner dos arquivos. Alguns usuários preferem utilizar 644 para arquivos e 755 para as pastas.

Para saber como melhor configurar as permissões, procure por mais informações sobre o comando CHMOD.

Passo 07 – WhiteList

Ao contrário da Lista Negra, a lista branca permite que apenas usuários determinados tenham acesso a sua área de administração. Vá até a pasta /wp-admin/ e edite o arquivo .htaccess incluindo as informações:


AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress - Controle de Acesso a Area Administrativa"
AuthType Basic

    order deny,allow
    deny from all

    # Whitelist seu endereco IP
    allow from xx.xx.xx.xxx

    # Whitelist o endereco IP do seu escritorio
    allow from xx.xx.xx.xxx

    # Whitelist outros enderecos IPs que voce podera utilizar
    allow from xx.xx.xx.xxx

Para verifica qual o endereço IP de sua máquina neste exato momento, clique em WhatsMyIP.org.

Passo 08 – Backup

Se nenhuma das técnicas acima resolver o problema, é bom que você tenha um backup atualizado da sua base de dados e arquivos. Nunca se esqueça de realizá-lo.


DBNAME=DB_NAME
DBPASS=DB_PASSWORD
DBUSER=DB_USER
EMAIL="you@your_email.com"
mysqldump --opt -u $DBUSER -p$DBPASS $DBNAME > backup.sql
gzip backup.sql
DATE=`date +%Y%m%d` ; mv backup.sql.gz $DBNAME-backup-$DATE.sql.gz
echo 'BLOG BACKUP:Your Backup is attached' | mutt -a $DBNAME-backup-$DATE.sql.gz $EMAIL -s "MySQL Backup"
rm $DBNAME-backup-$DATE.sql.gz

Passo 09 – Oculte seus plugins

Adicione a pasta /wp-content/plugins/ um arquivo index.html vazio, assim os arquivos e pastas não serão exibidos. É possível bloquear a listagem de arquivos em um diretório através das configurações do Apache (Directory Listing).

Passo 10 – Analise o arquivo do log de acessos

Esta é uma atividade muito importante! Permite que, através de uma analise de log de acessos ou do Google Analytics, sejam detectadas atividades estranhas em seu site como visitas a diretórios que nao deveriam estar sendo visitados, e etc.

Natural de Salvador-BA, é graduado em Analise de Sistemas pela Universidade Católica do Salvador (UCSal, 2003), e Especialista em Engenharia de Software pela Universidade Salvador (2010).

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *