Mamura

As pessoas pouco se preocupam com a segurança de seus blogs. Cerca de 50% das pessoas esperam que algo aconteça antes de tomarem alguma atitude em relação a segurança no WordPress. Recomendo fortemente agirem antes e garantirem a mínima segurança do seu blog. Existem dezenas de soluções para isso gratis na Internet. Há algumas opções pagas também que são bem melhores, mas se seu site não lhe traz retorno financeiro algum (como esse que você está lendo), ou você não pode pagar por uma solução mais robusta, este artigo trás algumas soluções e boas práticas para você manter seu site com a segurança em dia

Protegendo sua conta Admin

1. nunca use admin para o nome padrão de seu usuário administrador do wordpress, para alguém acessar o administrador do wordpress precisará de login e senha, os hackers sabendo o login já é meio caminho andado. Outra coisa importante é nunca exibir seu login nas postagens ou em algum lugar do site. O wordpress lhe dá a opção de qual nome exibir em suas postagens na área de configuração do usuário.

2. Nunca use uma senha que você use costumeiramente em outros sites, isso porque alguns sites não guardam as senhas criptografadas e os administradores deles podem vê-las ou esses dados podem ser acessados por hackers. Use senhas fortes, já consegui acessar grandes sites com o velho 1234. Evite salvar senhas no computador, a não ser que ele seja seu laptop pessoal e ninguém mais tenha acesso a ele.

3. Nunca use o endereço do seu usuário admin em outros sites, pelo mesmo motivocitado anteriormente.

Os três pontos citados acima são simplesmente para dizer a você que seu Usuário, e-mail e senha são as três coisas que você mais deve manter seguro.

Protegendo seu Blog

Seu wordpress e os arquivo mais importantes dele serão o próximo alvo de um hacker. Aqui vão algumas dicas para deixá-lo um pouco mais seguro:

1. Atualize sempre seu wordpress. Não seja preguiçoso e mantenha seu worpress atualizado, muitas vezes as atualizações são necessárias para própria segurança do site. A versão do wordpress em que seu site está rodando também deve ser um segredo, um hacker pode está vasculhando uma versão específica por já conhecer uma vulnerabilidade. Para ocultar a versão do WordPress vá em seu arquivo functions.php (dashboard -> Appearance -> Editor -> Functions.php) e cole o seguinte código:

remove_action('wp_header', 'wp_generator');

2. Você também pode utilizar o plugin Secure WordPress.

3. Se não for necessário o cadastro de usuários em seu site, retire-o. Concessão de acessos ao dashboard para um hacker pode ser fatal, mesmo ele sendo um simples assinante.

4. Nunca deixe os prefixos de tabelas o padrão wp_, se você pode alterá-los, faça agora, senão, ponha na sua lista de afazeres e troque-os o quanto antes.

5. Nunca use qualquer plugin anônimo, a não ser que tenha sido você que desenvolveu, procure utilizar os plugins do diretório de plugins do WordPress onde, teóricamente. apenas plugins seguros estão disponíveis.

6. Crie um arquivo .htaccess para o seu diretório admin também, normalmente encontamos apenas esse arquivo na raiz do site. Copier ele para a pasta wp-admin também.

7. Nunca use o CHMOD 777. se você não puder modificar as permissões dos arquivos para no máximo CHMOD 750, contacte o seu host e pergunte a eles como fazer isso.

Melhores Práticas

Mesmo se seu blog for racheado ainda há procedimentos para diminuírmos os danos causados pela invasão:

1. Backup de seus posts, comentários e páginas com uma regularidade semanal ou sempre depois de você publicar alguma coisa. Alguns hosts oferecem esse serviço de modo automático.

2. Backup do seu site sempre que tiver uma grande atualização ou for instalado um novo tema. Isso pode ser feito em intervalos maiores.

3. Sempre contate seu host quando achar que seu site foi hackeado. eles geralmente possuem processos de backup e podem lhe mostrar qual o melhor caminho seguir para sanar as vulnerabilidades do seu sistema.

4. Quando conseguir restaurar eu site, deve ser feito uma varredura para procurar possíveis malwares que o hacker possa ter instalado.

5. Faça uma busca com Copyscape para verificar se algum diretório foi roubado.

Acho que essas dicas são suficientes para garantir um relativa segurança ao seu wordpress. se você conhece outras dicas e macetes por favor compartilhe ai nos comentários.