E se o seu blog fosse alvo de um hacker principiante, para tentar chegar ao topo da “liga”? E todo o seu trabalho em construir um blog melhor, gerando mais tráfego, aumentando leitores e ganhando dinheiro com o blog ficasse comprometido, ou no pior dos cenários, se perdesse para sempre?

Ainda bem que o WordPress é bem seguro e frequentemente são lançadas actualizações de segurança. Ainda melhores são as 4 dicas que vos vou mostrar que permitem tornar o WordPress ainda mais seguro.

1 – Mover o ficheiro wp-config.php um nível de pastas para trás

O ficheiro wp-config.php contém todas as informações de configuração e definições do WordPress. Era uma vez um blog se os hackers conseguem ter acesso a este ficheiro, pois assim conseguem injectar malware nas páginas do blog ou mesmo apagar todo o conteúdo do blog… Um verdadeiro desastre!

Uma pequena funcionalidade do WordPress é que podemos mover o ficheiro wp-config.php uma pasta atrás da pasta principal do WordPress. Na maioria dos servidores Linux, o ficheiro wp-config.php está localizado na seguinte pasta:

~/home/user/public_html/wp-config.php

Basta entrarem por FTP no vosso servidor, e mover o ficheiro wp-config.php para trás da pasta public_html para que fique na seguinte pasta:

~/home/user/wp-config.php

WordPress mais seguro

WordPress mais seguro

Desta forma o ficheiro wp-config.php está fora da pasta raíz web que está disponível para o público, deixando assim de estar acessível a scripts e bots que os hackers podem disseminar pela Web.

Não é necessário efectuar quaisquer configurações extra, pois o WordPress vai automaticamente procurar o ficheiro wp-config.php uma pasta acima.

Atenção: esta dica não funciona se o blog estiver numa sub-pasta (por exemplo: public_html/blog) ou se estiver definido como um domínio diferente ou sub-domínio (por exemplo: public_html/omeublog.com).

2 – Eliminar o utilizador “admin”

Por defeito a conta de Administrador do WordPress tem o nome de utilizador de “admin”. Todo o hacker que se preze sabe disso, por isso usar o utilizador “admin” é como ter uma porta das traseiras na vossa casa da qual todos os ladrões sabem. Nunca usem este utilizador como conta principal. Escolham um nome de utilizador diferente na instalação do WordPress.

Criar novo utilizador no WordPress

Criar novo utilizador no WordPress

Se estão a usar o utilizador “admin”, acedam aos “Utilizadores” e “Adicionar Novo”. Criem um novo utilizador com permissões de Administrador. Façam logout e entrem com o novo utilizador criado.

Depois dentro da lista de utilizadores eliminem o “admin”. Antes de confirmarem a eliminação podem transferir os conteúdos criados pelo “admin” para a novo utilizador criado.

Eliminar utilizador no WordPress

Eliminar utilizador no WordPress

3 – Actualizar o WordPress, plugins e temas

O WordPress facilita as actualizações, pois actualiza-se sozinho, incluindo plugins e temas, para as versões mais recentes. É tão fácil que o vosso blog merece ser hackeado se não o manterem sempre actualizado. Gastar apenas 1 ou 2 minutos a instalar as actualizações previne grandes dores de cabeça se alguma vez o blog for alvo de hackers.

Actualizações do WordPress

Actualizações do WordPress

Os plugins e os temas devem também ser actualizados regularmente. Todos os plugins e temas do arquivo do WordPress têm a funcionalidade de actualizações automáticas. Muitos dos plugins e temas premium também têm actualizações automáticas, o que também é uma óptima razão para investir numa framework de temas de alta qualidade para o blog.

4 – Instalar o WP Security Scan e o Secure WordPress

Finalmente plugins que lidam com segurança são uma excelente forma de reduzir a possibilidade do blog ser hackeado. Dois plugins realmente bons para tal são o WP Security Scan e o Secure WordPress disponibilizados pela WebsiteDefender.

O WP Security Scan vem com várias ferramentas para ajudar a tornar o blog mais seguro:

WP Security Scan

WP Security Scan

  • O Scanner verifica as permissões dos ficheiros do WordPress e identifica aqueles que tiverem as permissões erradas. Acedam via FTP ao vosso servidor e alterem as permissões desses ficheiros de acordo com o normal.
  • A ferramenta Password indica a complexidade da password, e também gera passwords aleatórias super complexas que podem usar.
  • A ferramenta Database permite efectuar um backup da base de dados do WordPress e alterar o prefixo da base de dados. Usem-na para alterar o prefixo da vossa base de dados para algo como “37ye1_”. Isto faz com que seja mais difícil aos hackers descobrirem os nomes das tabelas da vossa base de dados quando tentam fazer injecções de SQL.

 O Secure WordPress faz uma abordagem diferente e ajuda a melhorar a segurança ao remover pistas que podem ajudar os hackers a detectar vulnerabilidades no sistema. O quadro de definições do plugin é uma simples lista de checkboxes que fazem de tudo, desde remover mensagens de erro de login, remover os números de versão do WordPress e mesmo bloquear pedidos de URL maliciosos. Recomendo activar todas as checkboxes, a menos que tenham uma necessidade específica para uma das funcionalidades do blog que o Secure WordPress esteja a bloquear.

Fique alerta

As dicas acima irão melhorar drasticamente a segurança do blog e prevenir possíveis ataques de hackers. No entanto a segurança é um  processo contínuo e evolutivo, por isso fique atento às últimas notícias de segurança do WordPress, especialmente se usar o WordPress numa empresa.

Tiago Ramalho

Tiago Ramalho é um profissional de Informática interessado em Internet, Programação .NET e PHP e blogging. Nos tempos livres escreve nos interessespessoais.com sobre Jardim, Saúde, Sistemas, utilitários e outros temas relacionados com informática.

More Posts - Website - Twitter - Pinterest - Google Plus