Muitas das vezes os ataques a sites em WordPress devem-se a ataques de backdoor através de ficheiros que se disfarçam dentro da pasta /wp-includes/ ou na pasta /wp-content/uploads/ do WordPress. Normalmente são ficheiros .php com o nome que de alguma forma se parecem com ficheiros do core do WordPress, mas que na realidade não o são. Uma das medidas que podemos tomar para melhorar a segurança do WordPress é desactivar a execução do PHP em certas pastas.

Vamos ver como podemos usar o ficheiro .htaccess para desactivar a execução do PHP numa pasta específica.

Criamos um ficheiro novo num editor de texto com o seguinte código e guardamos com o nome .htaccess

 

De seguida basta fazermos upload deste ficheiro .htaccess para a pasta /wp-content/uploads/ do vosso WordPress. Devem também efectuar upload deste ficheiro para a pasta /wp-includes/ do vosso WordPress.

O que na realidade o código deste ficheiro faz é verificar se existem ficheiros PHP na respectiva pasta e simplesmente nega o acesso aos ficheiros PHP que estão nessa pasta, que supostamente não deveriam lá estar.

Não se trata de uma correcção para um ataque mas sim uma dica para fortalecer a segurança do WordPress.

Tiago Ramalho

Tiago Ramalho é um profissional de Informática interessado em Internet, Programação .NET e PHP e blogging. Nos tempos livres escreve nos interessespessoais.com sobre Jardim, Saúde, Sistemas, utilitários e outros temas relacionados com informática.

More Posts - Website - Twitter - Pinterest - Google Plus