Segurança do WordPress – Como proteger sua instalação do WordPress contra hackers
[ad_1]
Existem algumas etapas simples que você pode seguir para proteger todas as instalações do WordPress configuradas. Mas por que se preocupar com a segurança?
Isso é por que:
Eu tive dois blogs WordPress hackeados no passado. Isso numa época em que eu fazia muito pouco marketing na internet, e até encontrar tempo para resolver a situação (meses depois), esses sites eram penalizados nos buscadores. Eles não foram removidos, mas as classificações foram reduzidas.
Eu consertei no final, mas não resolvi por vários meses. Por um bom tempo, nem sequer percebi o problema.
O resultado? Estimo que perdi algumas centenas de libras em receita de publicidade.
Muito da segurança do WordPress é simplesmente bom senso. Você está usando uma senha forte? Você está usando uma senha diferente para cada site?
Durante anos, não fiz isso. Eu tinha três ou quatro senhas que costumava usar. Mas há duas maneiras de gerar uma senha boa e forte para cada site em que você se registrar. (Claro, isso inclui seus blogs WordPress.)
A abordagem mais fraca (mas ainda muito boa) é começar com uma senha comum; acrescente alguns números de que você provavelmente se lembrará, como o número da casa de seu primeiro endereço; em seguida, adicione as primeiras, digamos, cinco letras do nome de domínio. Por exemplo, se a senha com a qual você estava começando era reindeer230, se você estava usando um site chamado example.com, isso se tornaria reindeer230examp. Essa é uma senha muito forte. Essa técnica protege contra ataques de dicionário em que um invasor pode tentar fazer login em sua conta repetidamente usando palavras em inglês, palavras de outros idiomas, nomes e assim por diante.
A abordagem mais forte, e que eu pessoalmente recomendo, é usar um dos plug-ins de geração e armazenamento de senha disponíveis para seu navegador. Muitas pessoas gostam do RoboForm, mas acho que depois de um período de teste gratuito, você tem que pagar por ele. Eu uso a versão gratuita do Lastpass e recomendo para aqueles que usam o Internet Explorer ou Firefox. Isso irá gerar senhas seguras para você; você então usa uma senha mestra para fazer o login.
Agora estamos entrando em coisas específicas do WordPress. Sempre que você instalar o WordPress, você deve editar o arquivo config-sample.php e renomeá-lo para config.php. Você precisa instalar os detalhes do banco de dados lá.
Existem algumas outras alterações que você também deve fazer.
Há uma seção do config-sample.php intitulada “Chaves exclusivas de autenticação”. Existem quatro definições que aparecem dentro do bloco. Há um hiperlink nessa seção do código. Você precisa inserir esse link em seu navegador, copiar o conteúdo obtido de volta e substituir as chaves que possui pelas chaves exclusivas e pseudo-aleatórias fornecidas pelo site. Isso torna mais difícil para os invasores gerar automaticamente um cookie de “login” para o seu site.
A próxima etapa é alterar o prefixo da tabela do padrão “wp_”. Isso está na seção Prefixo da tabela do banco de dados do WordPress. Realmente não importa como você o altera; você pode usar caracteres alfanuméricos, hifens e sublinhados. Isso deve impedir os chamados ataques de injeção de SQL, em que um invasor tenta fazer com que o WordPress execute algum código SQL que tenha um efeito indesejável em seu site. Esse código pode adicionar um novo usuário com privilégios de superusuário ao seu site WordPress.
Observe que você só deve executar esta última etapa para novas instalações. Se você quiser fazer isso para instalações existentes, também terá que alterar todos os nomes de tabelas no banco de dados.
Finalmente, a instalação do plugin WordPress Security Scan irá verificar a maior parte disso para você e alertá-lo sobre qualquer coisa que você possa ter perdido. Ele também informará que existe um usuário chamado “admin”. Claro, esse é o seu nome de usuário administrativo. Você pode seguir um link e encontrar instruções para alterar esse nome, se desejar. Pessoalmente, acredito que uma senha forte é uma proteção boa o suficiente e, desde que segui essas etapas, não houve ataques bem-sucedidos aos vários blogs que mantenho.
Por fim, a Segurança do WordPress também informará que não há htaccess no diretório wp-admin /. Você pode colocar um arquivo.htaccess neste diretório, se desejar, e pode usá-lo para controlar o acesso ao diretório wp-admin por endereço IP ou intervalo de endereços. Detalhes de como fazer isso estão disponíveis na rede.
No entanto, eu recomendo que você instale o plug-in Login LockDown no lugar de qualquer controle.htaccess. Isso impedirá que as solicitações de login sejam permitidas de um endereço IP específico por uma hora após três tentativas de login malsucedidas. Se você fizer isso, ainda poderá acessar o painel de administração enquanto estiver fora do escritório e, ainda assim, terá uma boa proteção contra hackers.
[ad_2]
wp site
SmartSeller Solutions: Criação de Sites WordPress
Gostou? Leia mais em nosso blog: Blog SmartSeller