Segurança WordPress – 2 de 3
31 de março de 2016
Olá Pessoal,
Nessa série rápida, vamos abordar conceitos básicos de segurança WordPress, mas, muito eficazes.
No nosso primeiro encontro aqui, analisaremos o arquivo “.htaccess” da hospedagem.
Note que, sempre que uma nova instalação do WordPress é feita, automaticamente esse arquivo é gerado. No entanto, nem todas as funções básicas de segurança (na verdade função alguma) estarão disponíveis. Como tarefa, faremos então com que o “.htaccess” existente para qualquer website em WordPress, proporcione camadas adicionais de segurança, impedindo assim que códigos maliciosos sejam executados na tentativa de quebrar a segurança da aplicação e executar qualquer tipo de invasão ao sistema.
Então, vamos lá.
Por padrão, o arquivo “.htacces” gerado em qualquer instalação WordPress, será algo idêntico ou muito próximo disso aqui:
Para, já implementar um bom nível de segurança, podemos simplesmente baixar esse arquivo (via FTP) para o nosso localhost (PC local) e então, executar as seguintes alterações:
Veja que, inserimos as linhas marcadas na imagem. Elas são as linhas 11 a 19. Expliquemos então…
As linhas 11 a 14, promovem a certeza de que o arquivo “wp-config.php” do WordPress, estará bloqueado para qualquer tentativa de acesso indevida. Isso é muito importante, haja vista que, nessa arquivo estão as informações de acesso ao banco de dados do WordPress, o host do mesmo banco, a frases de segurança, o prefixo das tabelas e a senha de acesso. Portanto, se algum acesso indevido for feito a esse arquivo, será muito fácil jogar por terra qualquer site WordPress;
Já as linhas 16 a 19 estão comentadas, com o símbolo “#”. Na verdade, dependo do website, eu deixo essas linhas ativas (não comentadas), ou seja, isso fará com que o acesso à área de login do WordPress seja totalmente bloqueado. Com isso, todas as vezes que, qualquer um tentar acessar a área administrativa do WordPress, receberá um célebre “404 – FORBIDDEN”. Esse nível de segurança é um nível radical… Uso sempre que um site é passível de poucas mudanças e, vou passar longos períodos sem ter que acessar o módulo de administração. Nesses casos, eu coloco um cópia do “.htaccess” lá na hospedagem, mas sem a proteção e, lógico, renomeado para algo como: “SEMPROTECAO_htaccess”. Daí, quando eu preciso acessar o painel de administrador do WordPress, eu simplesmente faço primeiramente um acesso FTP, renomeio o arquivo com a proteção para algo como “PROTECAO_htaccess” e ativo o sem proteção, renomeando para “.htaccess” e “voilá”… posso então acessar meu painel de administrador, promover as alterações desejadas e depois, volto tudo ao nível de segurança máximo com o “.htaccess” bloqueando tudo novamente.
O site estará sempre no ar, porém, a área administrativa estará sempre protegida para acesso.
Bom, pessoal, é isso. Na próxima dica, vamos abordar o recurso de uso do “Google Captcha” e outro plugin semelhante.
Para baixar os arquivos deste post, clique aqui.
Abraço!