14 Dicas de Segurança em WordPress

Segurança com WordPressBlogs hackeados, sites invadidos, banco de dados exposto…O WordPress é um dos melhores CMS do mundo, e um dos mais visados pelos hackers. Aprenda aqui como proteger o seu site, como medidas simples e altamente eficazes.

Diariamente, hackers descobrem novas maneiras de invadir sistemas web. Temos então o dever como desenvolvedores, proteger os nossos dados sigilosos. Vamos agora as principais dicas de segurança para WordPress.

1 – Permissão de Pastas e Arquivos

Acredito ser este um dos principais problemas de segurança do WordPress. Quando você instala o WordPress, ele vem por padrão com algumas permissões de pastas que podem causar problemas, como 777 ou 775. O ideal é, após instalar, definir permissões seguras em suas pastas e arquivos, para impedir que, usuários maliciosos injetem exploits em sua hospedagem. Segue as permissões adequadas:

  • diretório raiz (700)
  • .htaccess (644)
  • wp-config.php (644)
  • wp-admin (755)
  • wp-content (755)
  • plugins (755)
  • themes (444) ou (555)
  • upgrade (755)
  • uploads (755)
  • wp-includes (755)

Lembrando que, ao aplicar a permissão correta na pasta, aplique também as sub-pastas e a todos os seus arquivos também!

2 – Protega o seu arquivo wp-config.php e .htaccess

Este arquivo contém o login e senha do seu banco de dados, se algum hacker puder de alguma forma acessá-lo, terá acesso irrestrito ao seu site, podendo simplesmente deletar tudo. Além de definirmos uma permissão segura para este arquivo (644), devemos bloquear o acesso à ele através da URL do site, via .htaccess. Crie um arquivo chamado .htaccess na raiz da sua hospedagem – se ainda não houver um – e insira a seguinte código:

<Files ~ "^\.(htaccess)$">
deny from all
</Files>

<files wp-config.php>
order allow,deny
deny from all
</files>

Com este código, o acesso ao .htaccess, htpasswd e wp-config.php serão permitidos apenas via FTP e include, qualquer usuário que acessar pela URL será rejeitado.

3 – Configuração correta do wp-config.php

Assim que você instala o WordPress, é necessário reconfigurar o arquivo wp-config.php com algumas medidas de segurança. Observem a imagem abaixo:

Configuração de Segurança WordPress para o arquivo wp-config.php

Devemos sempre, alterar as chaves únicas de autenticação (marcado em azul), e mudar o prefixo das tabelas (marcado em vermelho). No caso das chaves únicas de autenticação, por padrão, o WordPress vem assim, sem definir nenhuma chave. Você deve então, inserir ali alguma frase qualquer, seria uma espécie de senha secundária. Caso queira, gere automaticamente estas senhas aqui:

https://api.wordpress.org/secret-key/1.1/salt/

No caso do prefixo, devemos mudar para qualquer outro prefixo, menos o padrão. Assim, dificultaremos a ação de um hacker, caso o mesmo tente por exemplo o uso de SQL Injection em seu site.

4 – Senhas do WordPress

Está já é clichê, mas tenho que falar:

  1. Use sempre senhas seguras para o acesso ao banco de dados
  2. Use sempre senhas seguras para o admin do WordPress.
  3. Nunca use uma senha igual a de outro site (mesma senha do orkut, twtter, etc), pois se algum dia aquele site for hackeado, a sua senha estará em mãos maliciosas.
  4. Nunca salve a sua senha em lugares públicos, como lan houses.

Caso queiram, acessem este site para gerar senhas seguras aleatórias: http://www.generate-password.com

5 – Mantenha o seu WordPress atualizado

Sempre mantenha o WordPress atualizado, pois quando lançam uma nova versão, geralmente é para corrigir problemas relacionados a segurança. Você pode fazer isso diretamente pelo seu painel, basta ir em painel > atualizações.

6 – Plug-ins desnecessários / desatualizados

Se você não está usando algum plug-in, ou ele não possui atualização para a sua versão do WordPress, desabilite-o e delete sem pensar. Isso é de extrema importância, pois muitos hackers têm invadido blogs e sites WordPress através de vulnerabilidades conhecidas em plug-ins, principalmente os mais antigos e populares.

7 – Bloquear certas pastas de aparecem no Google

O Google é uma ferramenta fundamental para todos que navegam pelos mares da Internet, entretanto, nem tudo que aparece por lá é útil para nós. No caso do WordPress, devemos impedir que o Google indexe páginas de administradores, plug-ins, uploads e etc. Para isso, basta criar (se ainda não existir) um arquivo chamado robots.txt na raiz da hospedagem, e adicionar nele a seguinte regra:

Disallow: / wp-*

8 – Mantenha sempre um backup atualizado do seu banco de dados

Se mesmo com estas dicas você for invadido, pense que o hacker pode ir lá e apagar tudo. Então, basta ir e restaurar tudo..claro, quem tiver um backup atualizado do seu banco de dados. Para isso, use o plug-in WordPress Database Backup

9 – Bloqueie a listagem de arquivos em suas pastas

Alguns servidores por padrão, quando não encontram um arquivo index na pasta, listam todo o seu conteúdo. Isso é uma falha de segurança, pois o hacker pode a partir disto, ver quais plug-ins você tem instalado, qual tema, enfim…Para bloquear, basta adicionar a seguinte regra ao seu arquivo .htaccess:

Options All -Indexes

10 – Desabilite o registro de novos usuários

Desta forma, você impede o acesso ao seu painel administrativo por qualquer um. Para desabilitar, vá em Geral e desmarque a opção Qualquer pessoa pode se registrar, ou simplesmente delete o arquivo wp-register.php

11 – Impeça múltiplas tentativas de login

Hackers muitas vezes invadem sistemas com o uso de softwares de brute force, que tentam descobrir a senha com milhões de combinações diferentes. Para impedir que alguém tente se logar “a força” em seu painel, use o plug-in Login LockDown. Com este plug-in, é possível determinar quantas tentativas máximas de login alguém poderá ter, e o tempo que ele deverá esperar para tentar se logar novamente.

12 – Escolha bem a empresa de hospedagem do site

Uma empresa de hospedagem desatualizada ou mal configurada, pode trazer muitas vulnerabilidades ao seu WordPress. Invista sempre em boas empresas de hospedagens, mesmo que tenha que pagar um pouco à mais.

13 – Guarde suas senhas em locais seguros

De nada adianta todas seguir estas dicas, se algum hacker invadir o seu computador e descobrir a senha de acesso FTP à hospedagem. Portanto, salve as suas senhas em um lugar que ninguém irá encontrar, de preferência nem deixe salvo no computador. Use o Software True Crypt para criar uma pasta com senha, e salve tudo lá dentro. Veja o tutorial: http://lucaspeperaio.com/como-criar-pasta-com-senha-no-windows

14 – Plug-in para segurança no WordPress

Recomendo que instale o plug-in WP Security Scan. Este plug-in tem como finalidade encontrar vulnerabilidades e as corrigir, quando possível.

Após realizar todas estas dicas, o seu blog WordPress estará bem mais seguro e protegido. Tem mais alguma dica para segurança no WordPress? Comente!

Lucas Peperaio

Estudante de Ciência da Computação, trabalho com desenvolvimento web há 5 anos e com hardware há 8. Nas horas vagas, sou entusiasta de Overclock, Casemod e Benchmarks, além é claro dos Games. Apaixonado por informática e pela vida, procuro compartilhar meus conhecimentos e assim, ajudar as pessoas. Siga-me no youtube, posto semanalmente muito material sobre Hardware, tecnologia e games em geral: Clique aqui

Receba gratuitamente em seu E-mail
Novos artigos do meu Blog!


Após o Cadastro você receberá um Email Automático. Clique no link enviado para Ativar e receber as novidades.

Categorias do site





36 Comentários Deixe o seu

  1. Antônio Scharf Filho

    O site da minha Igreja foi feito em Joomla e foi invadido 2 vezes em 2 semanas seguidas… Acredito que muitas dicas se aplicam também aqui… Mas se você tiver algumas dicas adicionais, eu agradeço muito. Fique com Deus. Antonio.

  2. kyko

    O item 2 Proteja o seu arquivo wp-config.php e .htaccess NÃO FUNCIONOU. Deu erro de acesso à página.

    Colei o código em um arquivo htacess já existente. Na primeira linha e não deu certo. Tenho que apagar as linhas que já estão gravadas no arquivo ht.access? Ou somente colo as linhas no arquivo (antes ou depois??) Obrigado!

  3. Lucas Peperaio

    Kyko, deve haver alguma incompatibilidade em sua hospedagem, pois eu testei novamente e constatei, não há erros no código. O correto é inserir abaixo de tudo no .htaccess, e vc não deve apagar o conteúdo atual.
    Obrigado pelo comentário

  4. Lucas Rezende Tedeschi

    Vale lembrar que o .htaccess não funciona da mesma maneira em hospedagens Windows, pode ser seu problema Kyko.

    Abraços.

  5. Dermeval

    Valeu pelas dicas, já tive o blog rackeado e sei a dor de cabeça que é.

  6. Evandro Lyra Dutra

    Olá meu nome é Evandro Lyra Dutra, queria da meu depoimento aqui publicamente agradecendo a grande ajuda recebida pelo amigo Lucas Peperaio. Meu blog foi hackeado e se não fosse o conhecimento e a atitude de ajudar do amigo, hoje meu blog ainda não estaria no ar. Obrigado mesmo. Parabéns pelo site.

    Evandro Lyra Dutra

  7. Klerio Silveira

    Adorei o post. segui a risca e implementei essas regras de segurança nos sites que desenvolvi. Valeu. Ótimo artigo!

  8. Lemuel

    Olá Lucas! Achei muito boa a sua lista de ações para dar segurança ao WordPress. Como é um artigo de 2011 poderia me dizer se você modificaria alguma coisa nela? Outra coisa, um de meuscolegas mencionou o seguinte: “WordPress tem que manter atualizado por causa de falha de segurança (senão aparece spammer usando nosso site como ponte e vamos parar na blacklist do Google e isso é muito comum). ”

    Algum desses itens que você mencionou age nessa questão citada por ele?

    Obrigado desde já!

  9. Lucas Peperaio

    Olá Lemuel, as dicas ainda permanecem válidas, uso em todos os sites WordPress que eu desenvolvoo. Sobre esta questão de ponte, particularmente eu nunca tinha ouvido falar. Gostaria até de saber mais sobre o assunto

  10. Lemuel

    Depois de aplicar as mudanças do item 1 meu site não pode mais ser acessado e não consigo mais mudar as permissões de folders no meu programa de FTP. E agora?

  11. Lemuel

    Depois de aplicar as mudanças do item 1, o diretório raiz travou em chmod 000. Não consigo modificar. alguém aí teve algum problema parecido?

    • Lucas Peperaio

      Olá Lemuel, certamente algo saiu errado no momento que você estava dando o CHMOD nas pastas. Acesse a sua hospedagem via SSH (root) e dê o CHMOD novamente. Se não tiver acesso CHMOD, entre em contato com o suporte da hospedagem, eles poderão resolver pra vc

  12. Junior

    Muito bom, ótimas dicas!

  13. Vitor

    Olá, Lucas. Depois que mudei as permissões não consegui mais acessar nenhuma pasta da instalação do WP, quando acesso dá 403.

    Mesmo na pasta wp-admin, quem tem a permissão 755 também não consigo acessar.

    :/

    • Lucas Peperaio

      Vitor, fica difícil para que eu lhe auxilie sem saber bem o que houve ou como está configurado o seu servidor. Fiz diversos testes em 3 servidores com as permissões, e ficou tudo OK. Entra em contato com a hospedagem e veja o que houve de errado, se puder posta aqui a resposta para que eu saiba ajudar outras pessoas que porventura passarem pelo mesmo caso.

  14. Thiago Miro

    Excelentes dicas, recomendo a todos. As dicas 2 e 9 foram extremamente úteis pra mim.

  15. Alexandro

    Olá Lucas!!!

    Quero agradecer por esse post pois realmente não adianta nada uma boa instalação sem seguarnça. Realmente muito importante o conhecimento que você está compartilhando, parabéns pela iniciativa.

    Eu sou novo nessa área de instalação de sites mais é muito importante para mim pois estou precisando trabalhar nesse área , por isso gostaria de saber se é possivel você me explicar qual é o diretório rais que devo aplicar a permição 700. Desde já agradeço pela ajuda. Atenciosamente: Alexandro Oliveira

  16. Curioso LInks

    Excelentes dicas! Vou salvar essa página em meus favoritos e conferir tudo passo-a-passo. Valeu mano!

  17. walter

    Achei muito interessante tudo, mas eu sou como criança nesse meio, tento encontrar onde estão as dicas e não consigo, na verdade acho que uma criança conseguiria melhor. De qualquer forma está sendo importante para mim as dicas, um abraço.

  18. Lucas

    Eu fui seguir isso ai e meu site simplesmente saiu do ar, tbm o tutorial é de 2011, nem deve ser compativel com a versão atual do WP

  19. Dante

    Dicas muito boas, fui hackeado uma vez só em um site wordpress sem importancia, era apenas um site que eu usava para testar meus temas criados, enche o saco mesmo tive que fazer tudo do zero. Essa das palavras de segurança, fui colocar umas em um site que desenvolvi em WordPress, mas na verdade estava cheio de pcaracteres, acho que hoje em dia ao instalar o WordPress já está criando automaticamente. O resto vou fazer tudo. Obrigado!

  20. Lucas Andrade

    deny from all

    order allow,deny deny from all

    Não funciona, da erro 500 internal

  21. Bam

    Salve Lucas,

    Fui alterei a configuração do wp-config (frases únicas e prefixo), quando fui acessar o site caiu naquela tela de instalação…

    Eu fiz a mudação depois que meu site estava pronto, será que só da pra fazer isso no início da montagem do site?

    Fiquei meio preocupado agora, vista que é orta pra Injection!

    Abraço.

  22. Samuel

    Parabéns Lucas! Quase 3 anos depois e suas dicas continuam atualíssimas.

  23. Fabio Alves

    Indico este para scannear seu site, resolveu problemas do meu WordPress: http://www.cmsscan.net

  24. Felipe

    Se eu usar esse “Options All -Indexes” o google continuará indexando meus arquivos? ou irá apenas bloquear a listagem da pasta?

  25. Gilmar

    Tive meu blog invadido duas vezes e conseguiram escrever no meu arquivo .htaccess.

    Fiquei com uma dúvida

    o código que você passou para bloquear o acesso a wp-config e o .htaccess, os dois são colocados no próprio .htaccess?

    Quero dizer: você protege o .htaccess à partir do código colocado nele mesmo?

  26. Alex Brito

    Ótimo Artigo. Parabéns Lucas. Sucesso!!

  27. http://www.kazvaremadeit.com/myanmarcycling/77dff-17215-15.htmlニューバラン&#12473; 梨花 グレー,ニューバランス スニーカー コーディネート,2015経典の価格で提供し!☆巨大な割引☆2014経典の価格で提供し!を興味があれば 、是非弊社へ見てください、見逃がさなく。,楽天市場紳士ニューバランスシューズ ニューバランス1400 ネイビー,ニューバランス レディース 996,新商品!品質100% 保証第一最速商店,ニューバランス 人気 カラー http://www.oahuweddingassociation.com/myanmarcycling/a643a-07226-97.html

  28. http://fdnf.gm/wp-content/newbalance/84152-67218-38.htmlニューバラン&#12473; 574 レディース,ニューバランススニーカースタイル,安い価格で、しかしそこにあなたの選択のための100%本物の品質で好評発売幅広い。,楽天ニューバランスシューズ ニューバランス 574 レディース,ニューバランススニーカースタイル,安い価格で、しかしそこにあなたの選択のための100%本物の品質で好評発売幅広い。,楽天ニューバランスシューズ http://marayke.com/wp-content/newbalance/84152-67218-38.html

  29. http://fdnf.gm/wp-content/newbalance/7cc21-37217-23.htmlニューバラン&#12473; 梨花 ヒョウ柄,ニューバランスシューズ レディース,品質が良いし、また新しいタイプの価格 と 個人的な最良の選択です、あなたはそれを選択することができます。,ニューバランス 574 996 ニューバランス 574,ニューバランススニーカー人気,予約注文、人気商品,ニューバランス レディース 新作 http://elydagher.com/myanmarcycling/708ce-87214-5.html

  30. http://www.splashking.co.uk/myanmarcycling/6457b-37211-0.htmlニューバラン&#12473; レディース,アローズ ニューバランス 梨花,売上実績NO.1商品 激安間限定!100%品質保障!,ニューバランス 574 レディース ニューバランス 梨花 画像,アローズ ニューバランス 梨花,本物の卸売,ニューバランス 店舗 東京 http://fdnf.gm/wp-content/newbalance/77dff-17215-16.html

  31. Dante

    Tem como bloquear um diretório ou uma pasta via htacess

  32. Dante

    Tem como bloquear um diretório ou uma pasta via htacess de não ser atualizado?

  33. Decio Santos

    Ate pouco tempo não me preocupava com a segurança do blog , até ver um amigo perder tudo de um dia para outro e simplesmente desistir por tamanha decepção de meses de trabalho ir por agua a fora.