Uma vez que somos muito fáceis de desafiar (e não temos vida própria :)), resolvemos levar à letra on repto lançado pelo 2.0 Webmania, e traduzir e adaptar o artigo original do Noupe sobre segurança no WordPress.

Assim apresentamos 10 dicas de segurança relativamente fáceis de implementar numa instalação de WordPress. Quem tiver mais dicas, sinta-se à vontade para as partilhar

1. Não deixe que TODO o seu servidor seja pesquisável

O WPdesigner aconselha a NÃO usar este código no ficheiro search.php

<?php echo $_SERVER ['PHP_SELF']; ?>

Não deveria ser permitido a ninguém pesquisar o seu servidor todo. Em vez do código acima, use este:

<?php bloginfo ('home'); ?>

Impeça que todas as diecrtorias WP-* sejam indexadas pelos motores de busca. A melhor maneira é criar um ficheiro chamado robots.txt na root do site (ou adicionar ao existente), com a seguinte instrução:

Disallow: /wp-*

2. O conteúdo das directorias não deveria poder ser “listável”

Existe um potencial problema quando deixa visível que plugins e versões dos mesmos está a usar. Se existem buracos de segurança conhecidos nesses plugins (e existem…), é relativamente fácil aproveitar-se disso. Assim, crie um ficheiro vazio chamado index.html na directoria wp-content/plugins. Quem tentar listar o conteúdo da pasta, vai ver esse ficheiro em vez do conteúdo da pasta.

Em alternativa, acrescente esta linha ao seu ficheiro .htaccess na root do site:

Options All -Indexes

3. Elimine o texto sobre a versão de WordPress nas Meta Tags

A maioria dos temas de WordPress contém, no <header> uma MetaTag que mostra a versão de WordPress que está a usar, o que, para um hacker é uma informação útil ficando este a saber como atacar a sua instalação se por acaso não a actualizou para a versão mais recente (existem ainda plugins para retirar essa informação de toda a instalação, incluido feeds de RSS). Para mais informação consultar o artigo do Matt Cutts.

Este é o tag presente no ficheiro header.php que mostra a versão de WordPress.

<meta content="WordPress <?php bloginfo(’version’); ? >" name="generator" />

4. Proteja a directoria WP-ADMIN

Um atacante pode usar bots do tipo brute force para simplesmente tentar adivinhar a password de administração. Existem algumas soluções para o problema:

Limitar o accesso à pasta wp-admin por enderço de IP- Restringe o acesso a wp-admin por via do ficheiro .htaccess a um (ou a um grupo) de IPs específicos Só faz sentido para quem tem IP fixo ou que varia pouco, porque senão a tarefa de actualizar o dito ficheiro torna-se impossível.

Plugin AskApache Password Protect- É um plugin simples, que proteje tudo o que esteja sentro ou abaixo da directoria wp-admin, com username e password encriptada (ou seja trata de criar ou modificar o ficheiro .htpasswd, sem ser preciso andar a escarafunchar com ftp e afins)

Plugin Login Lockdown- regista o IP e data/hora de cada tentativa de acesso ao wp-login.php. Se mais do que um certo número de tentativas forem detectadas num curto espaço de tempo vindas do mesmo grupo de IPs, a funcionalidade de login é automáticamente desactivada para esse grupo de Ips. Ajuda a lutar contra as tentativas de adivinhar a password.

5. Mantenha os plugins actualizados

Deveria ser óbvio. Mantenha a sua instalação sempre nas versões mais recentes dos plugins. Pode sempre experimentar o Plugin Updater, e manter-se informado através dos feeds RSS dos criadores dos plugins

6. Faça cópias de segurança regulares tanto do site como da base de dados

Um dos gurus da informática dizia, há já muitos anos, que só existem três regras para não perder dados: fazer cópias de segurança, fazer cópias de segurança e fazer cópias de segurança. Faça sempre backups e, de preferência, em três gerações (ou seja tenha sempre disponíveis as três últimas versões).

O Plugin WordPress Database Backup cria automáticamente cópias da base de dados. Melhor ainda, o plugin Backup WordPress faz a mesma coisa, mas ainda cria cópias do site.

7. Mantenha o WordPress actualizado

Deveria também ser óbvio. Mantenha a sua instalação sempre na versão mais recente do WordPress. Pode sempre Experimentar o Plugin Updater e o WordPress Automatic Upgrade. (em que neste último já estamos a tratar de fazer com que actualize a versão PT, graças ao António Campos). Está no entanto anunciado para a versão 2.5 do WordPress que estas funcionalidades estarão disponíveis nativamente.Atenção que o plugin Instant Upgrade e o WordPress Automatic Upgrade (na versão original) só actualizam versão “centrais” (ou seja em inglês).

8. Use o acesso SSH/Shell Access em vez de FTP

Uma grande dica, explicada aqui. Quem consiga aceder aos seus dados de FTP (que normalmente não estão encriptados) pode manipular ficheiros e colocar spam no seu site sem que o seu dono se aperceba. Ao usar SSH tudo é encriptado, incluindo a transferência de ficheiros.

9. Deixe de se preocupar com o wp-config.php

Mantenha o utlizador e password de acesso à base de dados secretos, adicionando a seguinte instrução ao ficheiro .htaccess na root do seu site:

<FilesMatch ^wp-config.php$>deny from all</FilesMatch>

(É o que dá traduzir, sem testar…Obrigado Nelson)

Editado:

<FilesMatch "wp-config.php[~]*”>
    <Limit GET>
    deny from all
    </Limit>
</FilesMatch>

10. Proteja o seu blog com uma password segura

Usar uma password complexa e fácil de lembrar é uma das mais eficazes defesas contra intrusos. Existem muitos recursos online para verficar a “força” de uma password.

Leia também o artigo de Lorelle no Blogherald, Protect Your Blog With a Solid Password, que dá dicas e truques para criar uma password complexa e fácil de lembrar, além de discutir ainda a questão de como gerir as passwords que acumulamos online.

Partilhar esta Entrada