{"id":3034,"date":"2014-09-15T19:01:38","date_gmt":"2014-09-15T19:01:38","guid":{"rendered":"http:\/\/www.deuzebranaweb.com.br\/?p=3034"},"modified":"2014-09-15T19:01:38","modified_gmt":"2014-09-15T19:01:38","slug":"wordpress-aumentando-a-seguranca","status":"publish","type":"post","link":"https:\/\/blog.deuzebranaweb.com.br\/index.php\/2014\/09\/15\/wordpress-aumentando-a-seguranca\/","title":{"rendered":"wordpress, aumentando a seguran\u00e7a"},"content":{"rendered":"
\n
\n
\n
\n
\n

wordpress, aumentando a seguran\u00e7a<\/h1>\n<\/header>\n
\n
\"wordpress_576x280\"1. Objetivo<\/strong>Neste post pretendo abordar aspectos que ajudem a melhorar a seguran\u00e7a do seu site wordpress.<\/p>\n

2. WordPress<\/strong><\/p>\n

Primeiro vamos focar nos ajustes e configura\u00e7\u00f5es da interface web.<\/p>\n

2.1 Vers\u00e3o WordPress<\/strong><\/p>\n

Busque sempre utilizar a \u00faltima vers\u00e3o dispon\u00edvel do WordPress.<\/p>\n

N\u00e3o tenha medo de atualizar, vale mais a pena ajustar seu tema \u2013 se houver alguma mudan\u00e7a \u2013 do que correr um risco de seguran\u00e7a.<\/p>\n

A vers\u00e3o do site do projeto \u00e9 testada por centenas de desenvolvedores e milhares de usu\u00e1rios, atualize sempre para as vers\u00f5es mais novas, mesmo que sejam minor versions (3.2.1 pra 3.2.2) ou major versions (3.1 para 3.2).<\/p>\n

Ao fazer isto voc\u00ea vai sempre estar contando com in\u00fameras corre\u00e7\u00f5es (bugfix) e melhorias.<\/p>\n

Veja por exemplo o que a vers\u00e3o 3.2 trouxe de novo.<\/a><\/p>\n

E veja no release da 3.14 como s\u00e3o importantes as atualiza\u00e7\u00f5es.<\/a><\/p>\n

2.2 Vers\u00f5es Plugins<\/strong><\/p>\n

Prefira sempre plugins com bastante documenta\u00e7\u00e3o, boa aprova\u00e7\u00e3o e aceita\u00e7\u00e3o dos usu\u00e1rios, principalmente aqueles com v\u00e1rios reviews.<\/p>\n

Mantenha seus plugins atualizados e se poss\u00edvel, em caso de sites com grande movimento, pe\u00e7a para seu desenvolvedor avaliar cada plugin buscando falhas que podem ser exploradas como XSS e SQL Injections.<\/p>\n

Infelizmente os desenvolvedores de plugins n\u00e3o se preocupam com a escalabilidade, portanto, alguns plugins podem deixar seu site lento e pesado por n\u00e3o terem sido projetados para grandes tr\u00e1ficos, logo estes merecem avalia\u00e7\u00e3o cuidadosa e testes de carga com apoio da sua equipe de infraestrutura (devops) e desenvolvedores.<\/p>\n

2.3 Senhas<\/strong><\/p>\n

Utilize senhas fortes alfanum\u00e9ricas, case sentitive (maiusculas e min\u00fasculas) e s\u00edmbolos.<\/p>\n

Suas senhas devem ter pelo menos 8 caracteres, se poss\u00edvel use mais.<\/p>\n

Use um gerador autom\u00e1tico de senhas, isso evita que voc\u00ea construa senhas com percep\u00e7\u00f5es pessoais, algo que pode ser explorado por atacantes estudando seu perfil em redes sociais.<\/p>\n

Veja um exemplo de senha forte, alfanum\u00e9ricas com s\u00edmbolos.<\/p>\n

q7w=1@fzctzd;d
\n=jil~J9R0JmG\/x<\/strong><\/em><\/p><\/blockquote>\n

Veja um exemplo de senha forte\u00a0 \u2018pronunci\u00e1vel\u2019:<\/p>\n

nal-og-vak-hid
\nwuc-koj-vod-pi
\n<\/strong><\/em><\/p><\/blockquote>\n

Voc\u00ea precisa guardar essas senhas de forma segura, afinal s\u00e3o complicadas e dif\u00edceis de gravar em nossa mem\u00f3ria, para isto recomendo os softwares abaixo para armazen\u00e1-las.<\/p>\n

1password (mac)<\/strong><\/em>
\n keepassx (linux)<\/strong><\/em>
\n keepass (windows)<\/strong><\/em><\/p><\/blockquote>\n

Use senhas com essa complexidade principalmente para acesso ao banco de dados do wordpress.<\/p>\n

2.4 Usu\u00e1rios<\/strong><\/p>\n

2.4.1 Admin<\/strong><\/p>\n

Em caso de um ataque de for\u00e7a bruta o primeiro usu\u00e1rio que v\u00e3o tentar usar \u00e9 o ADMIN, ele \u00e9 o usu\u00e1rio padr\u00e3o de administra\u00e7\u00e3o do wordpress, portanto meu amigo, remova as credenciais deste usu\u00e1rio, crie um usu\u00e1rio com outro NOME e especifique privil\u00e9gios de ADMIN, logue-se com esse novo usu\u00e1rio e logo depois remova o usu\u00e1rio ADMIN.<\/p>\n

2.4.2 Pessoal<\/strong><\/p>\n

Crie diretamente os usu\u00e1rios que v\u00e3o trabalhar e alimentar o site.<\/p>\n

Evite criar usu\u00e1rios com nomes simples Guto, Paulo, Jos\u00e9, Carol pois esses s\u00e3o os primeiros que o pessoal vai tentar \u2018for\u00e7ar\u2019 a autentica\u00e7\u00e3o.<\/p>\n

Crie apelidos para seus usu\u00e1rios e defina as permiss\u00f5es corretas, editor, colaborador, revisor, etc.<\/p>\n

Mesmo definindo um nome aleat\u00f3rio para a conta, lembre-se que internamente\u00a0 voc\u00ea vai enxergar o \u2018Nome Real\u2019 do usu\u00e1rio, basta preencher esse campo corretamente durante o cadastro.<\/p>\n

Exemplo:<\/p>\n

Usu\u00e1rio: Gv10[4Rv4lh0<\/strong><\/em>
\nNome Real: Guto Carvalho<\/strong><\/em><\/p><\/blockquote>\n

2.4.3 Usu\u00e1rios nos temas<\/strong><\/p>\n

N\u00e3o permita que os visitantes do site vejam o nome de quem publicou o post no seu tema, isso em caso de um site que se preocupa com seguran\u00e7a.<\/p>\n

Arquivado em destaque por gutocarvalho em 10 de julho de 2011 as 9:04<\/p><\/blockquote>\n

Se fizer isso no seu tema, voc\u00ea estar\u00e1 dando metade da informa\u00e7\u00e3o necess\u00e1ria para que algu\u00e9m execute um ataque de for\u00e7a bruta em seu blog.<\/p>\n

Por \u00faltimo, desabilite o registro de usu\u00e1rios, cadastre manualmente seus colaboradores, assim \u00e9 mais seguro.<\/p>\n

2.5 Acesso Remoto<\/strong><\/p>\n

Prefira sempre SFTP ou SSH ao acesso FTP quando for enviar arquivos para seu servidor, se poss\u00edvel desabilite a conta FTP em seu sistema.
\n
\n3. Sysadmin<\/strong><\/p>\n

Essa \u00e1rea \u00e9 focada para ajustes no servidor WEB (Apache2\/Nginx\/etc\u2026) e no sistema de arquivos.<\/p>\n

S\u00e3o necess\u00e1rios conhecimentos intermedi\u00e1rios\/avan\u00e7ados a partir deste ponto.<\/p>\n

3.1 Listagem de Arquivos<\/strong><\/p>\n

Por padr\u00e3o o wordpress n\u00e3o trata a listagem de arquivos, deixando algumas brechas que permitem que algu\u00e9m aponte direto para seu diret\u00f3rio de imagens e veja todos os seus arquivos, isto n\u00e3o deve ser permitido.<\/p>\n

Para tratar isso devemos desabilitar o INDEXES via .htaccess no diret\u00f3rio em quest\u00e3o.<\/p>\n

Insira a linha no fina .htacess do diret\u00f3rio root do seu wordpress.<\/p>\n

[code]
\n# END Url Rewrite section<\/p>\n

Options -Indexes
\nDirectoryIndex index.html index.php \/wordpress\/index.php<\/p>\n

# BEGIN WordPress
\n[\/code]<\/p>\n

Observe que voc\u00ea tem que ser inserir o c\u00f3digo entre essas linhas END e BEGIN, do contr\u00e1rio n\u00e3o funciona.<\/p>\n

Voc\u00ea pode utilizar um plugin para isto, antes de intervir continue lendo at\u00e9 a se\u00e7\u00e3o de plugins.<\/em><\/p>\n

3.2 Informa\u00e7\u00f5es do sistema<\/strong><\/p>\n

3.2.1 Vers\u00e3o<\/p>\n

Omitir vers\u00e3o do wordpress \u00e9 importante, se o atacante sabe a vers\u00e3o ele pode procurar por exploits vigentes que podem te afetar caso algo ainda n\u00e3o tenha atualizado seu blog.<\/p>\n

Para resolver isto basta editar o functions.php do seu tema e adicionar a linha abaixo.<\/p>\n

[code]remove_action(‘wp_head’, ‘wp_generator’);[\/code]<\/p>\n

Voc\u00ea pode utilizar um plugin para isto, antes de intervir continue lendo at\u00e9 a se\u00e7\u00e3o de plugins.<\/em><\/p>\n

3.2.2 Robots<\/p>\n

Evite que os robos varram e indexem diret\u00f3rios administrativos de seu site.<\/p>\n

Edite o arquivo robots.txt da raiz e insira a linha abaixo:<\/p>\n

[code]Disallow: \/wp-*[\/code]<\/p>\n

3.3 Diret\u00f3rios e Arquivos<\/strong><\/p>\n

3.3.1 Adicionando mais uma camada de autentica\u00e7\u00e3o
\n<\/em>
\nAssim temos mais uma camada de seguran\u00e7a antes de liberar acesso ao arquivo de autentica\u00e7\u00e3o do wordpress, dificultamos um pouco mais para o atacante.<\/p>\n

O seu apache2 tem que ter suporte a autentica\u00e7\u00e3o digest para usar esse recurso.<\/p>\n

Edite o arquivo .htaccess da raiz e insera o c\u00f3digo abaixo.<\/p>\n

[code]<Files wp-login.php>
\nSatisfy Any
\nAuthType Digest
\nAuthName “Auth Level One”
\nAuthDigestDomain \/wp-admin\/
\nAuthUserFile \/var\/www\/wordpress\/.htpasswd
\nRequire valid-user
\n<\/Files>[\/code]<\/p>\n

criando o arquivo e setando senha para o primeiro usu\u00e1rio<\/p>\n

[code]htpasswd -cm \/var\/www\/wordpress\/.htpasswd user[\/code]<\/p>\n

criando o segundo usu\u00e1rio<\/p>\n

[code]htpasswd -m \/var\/www\/wordpress\/.htpasswd user[\/code]<\/p>\n

Voc\u00ea pode utilizar um plugin para isto, antes de intervir continue lendo at\u00e9 a se\u00e7\u00e3o de plugins.<\/em><\/p>\n

3.3.2 Podemos pedir autentica\u00e7\u00e3o para tudo que n\u00e3o for um arquivo est\u00e1tico neste diret\u00f3rio.<\/p>\n

[code]AuthType Digest
\nAuthName “Auth Level One”
\nAuthDigestDomain \/wp-admin\/
\nAuthUserFile \/var\/www\/wordpress\/.htpasswd
\nRequire valid-user
\n<FilesMatch “\\.(ico|pdf|flv|jpg|jpeg|gif|png|mp3|mp4|mpeg|mov|wav|wmv|avi|swf|css|js)$”>
\nAllow from All
\n<\/FilesMatch>
\n<FilesMatch “(async-upload|admin-ajax)\\.php$”>
\n<IfModule mod_security.c>
\nSecFilterEngine Off
\n<\/IfModule>
\nAllow from All
\n<\/FilesMatch>[\/code]<\/p>\n

Voc\u00ea pode utilizar um plugin para isto, antes de intervir continue lendo at\u00e9 a se\u00e7\u00e3o de plugins.<\/em><\/p>\n

3.3.3 Subir o wp-admin em um n\u00edvel<\/p>\n

Voc\u00ea pode subir o arquivo wp-admin.php um n\u00edvel – fora do root wordpress – para aumentar a seguran\u00e7a, funciona, est\u00e1 na documenta\u00e7\u00e3o do codex.<\/p>\n

3.3.4. Restrinja acesso direto a arquivos PHP, apenas arquivos de m\u00eddia ser\u00e3o permitidos e carregados.<\/p>\n

Esse c\u00f3digo tamb\u00e9m bai no htacess.\n[code]RewriteCond %{THE_REQUEST} ^[A-Z]{3,9}\\ \/wordpress\/wp-content\/.*$ [NC]\nRewriteCond %{REQUEST_FILENAME} !^.+(flexible-upload-wp25js|media)\\.php$\nRewriteCond %{REQUEST_FILENAME} ^.+\\.(php|html|htm|txt)$\nRewriteRule .* - [F,NS,L][\/code]<\/pre>\n
Isso pode quebrar alguns plugins, por\u00e9m voc\u00ea pode tratar a excess\u00e3o plugin a plugin no htaccess.
\n
\nVoc\u00ea pode utilizar um plugin para isto, antes de intervir continue lendo at\u00e9 a se\u00e7\u00e3o de plugins.<\/em><\/p>\n
3.4. Cuidando do Banco<\/strong><\/p>\n
Quando o wordpress \u00e9 instalado por padr\u00e3o, ele cria tabelas com o prefixo wp-*<\/p>\n
Usar essa tabelas facilita a vida do atacante pois ele conhece quais s\u00e3o as tabelas de usu\u00e1rio, posts, etc, assim ele pode tentar fazer injections e alterar os dados destas.<\/p>\n
Para dificultar a vida do atacante podemos mudar o prefixo das tabelas para qualquercoisa-* por exemplo, isso pode ser feito durante a instala\u00e7\u00e3o.<\/p>\n
Se seu wordpress j\u00e1 estiver instalado, vamos indicar alguns plugins que te ajudam a fazer esta mudan\u00e7a.<\/p>\n
3.5 Permiss\u00f5es de arquivos<\/strong><\/p>\n
\u00c9 importante definir corretamente as permiss\u00f5es de arquivos do seu wordpress<\/p>\n
Nunca use 777 para diret\u00f3rios e arquivos, fa\u00e7a o correto.<\/p>\n
Use sempre a permiss\u00e3o 755 (RWX,R\u2013,R\u2013) para diret\u00f3rios e 644 (RW-,R\u2013,R\u2013) para arquivos.<\/p>\n
Ajustando permiss\u00f5es de arquivos via shell no seu servidor.<\/p>\n
[code] find \/var\/www\/wordpress -type f -exec chmod 664 {} \\;[\/code]<\/p>\n
Ajustando permiss\u00f5es de diret\u00f3rios<\/p>\n
[code] find \/var\/www\/wordpress -type d -exec chmod 775 {} \\; [\/code]<\/p>\n
Mais informa\u00e7\u00f5es no codex:<\/p>\n
http:\/\/codex.wordpress.org\/Changing_File_Permissions<\/a><\/p>\n
 3.6 Bloqueio de ips no admin<\/strong><\/p>\n
Se poss\u00edvel limite no apache2 os IPs que podem acessar o WP-ADMIN, isso diminui bastante a chance dos atacantes pois apenas alguns IPs conseguir\u00e3o entrar neste diret\u00f3rio.<\/p>\n
[code]Order Deny,Allow
\nAllow from ww.xx.yy.zz
\nDeny from all[\/code]<\/p>\n
Voc\u00ea pode utilizar um plugin para isto, antes de intervir continue lendo at\u00e9 a se\u00e7\u00e3o de plugins.<\/em><\/p>\n
3.7 Cookies Encriptados<\/strong><\/p>\n
Um cookie HTTP \u00e9 um peda\u00e7o de informa\u00e7\u00e3o em modo texto armazenado no navegador do usu\u00e1rio. O cookie pode ser utilizado para guardar informa\u00e7\u00f5es acerca da autentica\u00e7\u00e3o, guardar as preferencias do usu\u00e1rio, prefer\u00eancias de carrinhos de compra em sites de e-commerce ou outras informa\u00e7\u00f5es, praticamente qualquer coisa pode ser armazenada em um cookie, inclusive informa\u00e7\u00f5es sens\u00edveis.<\/p>\n
Atacantes podem tentar interceptar cookies atrav\u00e9s de sniffers, e com isso obter informa\u00e7\u00f5es acerca de sua autentica\u00e7\u00e3o. Isso \u00e9 chamado de Cookie Hijacking e para evit\u00e1-los podemos criptografar alguns cookies, existe um gerador autom\u00e1tico basta acessar o endere\u00e7o abaixo para gerar os cookies para seu site.<\/p>\n
https:\/\/api.wordpress.org\/secret-key\/1.1\/salt\/<\/a><\/p>\n
Copie a sa\u00edda e coloque em nosso wp-config.php<\/p>\n
[php]define(‘AUTH_KEY’, ‘5@a+1ZA8aP[yb _yL6M&amp;mk65g0PAW%?#&gt;S=G%A!.&gt;l%||Lg-VD+;ZB*ZxnefuW:L’);
\ndefine(‘SECURE_AUTH_KEY’, ‘iuxsg+ENbHYJ9Ut-,a1`G3fsEAPG|6HE-eD@B;foCW(h +)$HolP~p[.sYWkaYvr’);
\ndefine(‘LOGGED_IN_KEY’, ‘CC?(TpO&amp;O|`|Me-2oY[WDyr:PE-Y{UjkYK?2IOKMSF~n[8chw7HIop!;AE=Oy`mj’);
\ndefine(‘NONCE_KEY’, ‘tzB-!L{(.$0Km`U@~PlkS+a(04)V_+F YUy A*E8~$F|(L$\/5W~x|kFSV+w)mJ-g’);
\ndefine(‘AUTH_SALT’, ‘@N!`lVz-9IP2FDt0%Eyy6dJaV!^pPI8= U7aSjo:.`yB[)bCkt]Ok4za?S S`W*[‘);
\ndefine(‘SECURE_AUTH_SALT’, ‘jl=}pRQG#*41@+#InPk-:=-JCWBbl1W7BfQG0|5C&amp;&gt;(|p|(0&gt;xzMT7}B91)psvza’);
\ndefine(‘LOGGED_IN_SALT’, ‘jH$+Y99[~;-3Fr.%h\/z&amp;@XZ2)KQ#4yu-TSiLQl–ux(+ekC`3_tt_3T3$J=~HX|t’);
\ndefine(‘NONCE_SALT’, ‘AXIk6?5z]`s,Y}n.^a^- YglT:t1enJB+T4xPGrs$~rylF^yga7xj;0*!;T!O_rc’);[\/php]<\/p>\n
Esse \u00e9 um exemplo rand\u00f4mico de sa\u00edda, cada acesso, ou seja cada vez que carregar esse endere\u00e7o, o site vai gerar uma sa\u00edda diferente.<\/p>\n
Com isso a parte sens\u00edvel dos cookies do wordpress passa a ser criptografada, dificultando a vida dos atacantes.<\/p>\n
3.8 Acesso seguro<\/strong><\/p>\n
3.8.1 site principal<\/strong><\/p>\n
Se houver condi\u00e7\u00f5es use HTTPS no site principal – prefira sempre um certificao v\u00e1lido, isso aumenta sensivelmente a seguran\u00e7a e privacidade dos dados, principalmente se voc\u00ea for acessar o site e publicar a partir de locais p\u00fablicos.<\/p>\n
Lembrando que voc\u00ea vai precisar configurar o VHOST para conex\u00e3o SSL no apache2 al\u00e9m gerar os certificados, sejam auto-assinados, sejam v\u00e1lidos.<\/p>\n
http:\/\/en.support.wordpress.com\/https\/<\/a><\/p>\n
3.8.2 site administrativo<\/strong><\/p>\n
Essencial rodar essa \u00e1rea do site em modo seguro, d\u00e1 para isolar apenas o admin via SSL, deixando o HOME em HTTP puro.<\/p>\n
O WordPress tem alguns par\u00e2metros que podem for\u00e7ar o LOGIN em SSL, basta inserir no wp-config.php<\/p>\n
[php]define(‘FORCE_SSL_ADMIN’, true);[\/php]<\/p>\n
http:\/\/codex.wordpress.org\/Administration_Over_SSL<\/a><\/p>\n
Voc\u00ea pode utilizar um plugin para isto, antes de intervir continue lendo at\u00e9 a se\u00e7\u00e3o de plugins.<\/em><\/p>\n
3.9 Backup<\/strong><\/p>\n
Fa\u00e7a Backup diariamente dos arquivos est\u00e1ticos e din\u00e2micos do WordPress.<\/p>\n
[code]tar jcvf \/var\/backups\/wordpress-`date +%Y%m%d`.tar.bz2 \/var\/www\/wordpress[\/code]<\/p>\n
Fa\u00e7a Backup diariamente e do banco.<\/p>\n
[code]mysqldump -U usu\u00e1rio -p nomedobanco > \/var\/backups\/wordpress-database`date +%Y%m%d`.tar.sql[\/code]<\/p>\n
Voc\u00ea pode agendar estas tarefas no CRON.<\/p>\n
4. Plugins WordPress<\/strong><\/p>\n
Abaixo vou apresentar alguns plugins interessantes para voc\u00ea utilizar em seu wordpress, mas isso n\u00e3o significa que voc\u00ea tem que sair baixando tudo e instalado tudo, alguns podem sobrepor outros, entenda o que cada um faz primeiro, na se\u00e7\u00e3o 4.4 eu vou te ajudar a combinar alguns plugins de seguran\u00e7a para voc\u00ea ter maior efici\u00eancia no uso destes.<\/p>\n
4.1 Seguran\u00e7a<\/strong><\/p>\n
Vamos come\u00e7ar pelos plugins que s\u00e3o o foco deste post, seguran\u00e7a!<\/p>\n
 4.1.1 Akismet<\/strong><\/p>\n
Este plugin lhe permite controlar SPAM no seus coment\u00e1rios e track-backs, evitando vandalismos em seu site.<\/p>\n
\u00c9 um dos plugins de mais eficientes para essa finalidade.<\/p>\n
http:\/\/akismet.com\/<\/a><\/p>\n
4.1.2 Bad Behavior<\/strong><\/p>\n
Utilizar plugin Bad Behavior para bloquear IPs maliciosos e comportamentos suspeitos.<\/p>\n
Este plugin analisa toda o in\u00edcio das requisi\u00e7\u00f5es HTTP, caso um bot seja detectado ele rejeita o acesso.<\/p>\n
Ele avalia IPs sujos e outros comportamentos diminuindo as chances de vandalismo em seu site.<\/p>\n
http:\/\/bad-behavior.ioerror.us\/documentation\/benefits\/<\/a><\/p>\n
4.1.3 WP Better Security<\/strong><\/p>\n
\u00c9 um dos plugins mais completos que eu conhe\u00e7o, vale a pena utilizar e sempre tem atualiza\u00e7\u00f5es muito recentes, acompanhando o lan\u00e7amento das releases do WP.<\/p>\n
Este plugin remove tags com vers\u00e3o do wordpress
\nRemove erros de login
\nPermite mudar URLS de \u00e1reas administrativas
\nLimita o acesso ao ADMIN para alguns ips
\nPode banir acesse de alguns IPs
\nTem suporte a desligar login no wordpress em per\u00eddos (por exemplo de madrugada).
\nPrevine tentativas de login por for\u00e7a bruta
\nN\u00e3o deixa os usu\u00e1rios internos verem a vers\u00e3o do seu wordpress
\nRemove notificac\u00f5es de atualiza\u00e7\u00f5es dos usu\u00e1rios que n\u00e3o s\u00e3o admins
\nAumenta a seguran\u00e7a do seus diret\u00f3rios via controles htaccess
\nDetecta comportamentos suspeitos no site e te manda e-mails avisando
\nPermite renomear a conta Admin
\nPermite tocar o prefixo do seu banco de dados wp* para outra coisa
\nPode desabilitar edi\u00e7\u00e3o de arquivos de temas via Admin
\nPode for\u00e7ar acesso SSL ao admin.
\nDentre outros recursos.<\/p>\n
http:\/\/bit51.com\/software\/better-wp-security\/<\/a><\/p>\n
4.2 Sysadmin<\/strong><\/p>\n
Plugins que ajudam na administra\u00e7\u00e3o do site.<\/p>\n
4.2.1 WPDB-Manager<\/strong><\/p>\n
Utilizar plugin WPDB-Manager para cuidar do seu banco de dados.<\/p>\n
Ele te permite administrador o banco com os seguintes recursos:<\/p>\n
Backup diario
\nOtimiza\u00e7\u00e3o da base
\nReparo de base e tabelas corrompidas<\/p>\n
4.3 Outros Plugins interessantes<\/strong><\/p>\n
4.3.1 Login Lockdown<\/strong><\/p>\n
Utilizar plugin Login Lockdown para evitar for\u00e7a bruta no login.<\/p>\n
Voc\u00ea define quantos erros cada tentativa de login pode ter, de quanto em quanto tempo a pessoa pode tentar se logar ap\u00f3s um erro e o tempo de bloqueio caso a regra definida seja infringida.<\/p>\n
Voc\u00ea pode inibir as mensagens de erro de login, isso \u00e9 interessante para evitar que o atacante saiba se o usu\u00e1rio \u00e9 v\u00e1lido.<\/p>\n
Voc\u00ea pode visualizar os IPs bloqueados e liberar o IP se for um falso positivo.<\/p>\n
http:\/\/www.bad-neighborhood.com\/login-lockdown.html<\/strong><\/a><\/p>\n
4.3.2 Ask Apache Password Protect<\/strong><\/p>\n
Este plugin protege os diret\u00f3rios e arquivos do seu wordpress. Fora isto ele tamb\u00e9m analisa e inibe alguns comportamentos maliciosos.<\/p>\n
Abaixo os principais pontos em que ele atua:<\/p>\n
Protege o diret\u00f3rio wp-content
\nProtege o diret\u00f3rio wp-include
\nProtege o diret\u00f3rio wp-admin com segunda camada de autentica\u00e7\u00e3o
\nProtege o arquivo wp-login.php com segunda camada de autentica\u00e7\u00e3o
\nInibe a listagem de arquivos nos diret\u00f3rios do WP (indexes apache)
\ninibe o acesso direto a arquivos din\u00e2micos em diret\u00f3rios administrativos<\/p>\n
Fora isto ele tem m\u00e9todos de prote\u00e7\u00e3o contra SPAM, Hijacking, XSS dentre outros.<\/p>\n
\u00c9 um plugin muito completo, por\u00e9m use com cuidado, dependendo da prote\u00e7\u00e3o seu tema e plugins podem quebrar.<\/p>\n
Uma coisa trabalhosa \u00e9 que dependendo do que voc\u00ea habiltar para ele proteger, por exemplo, diret\u00f3rio wp-content, demandar\u00e1 desligar o plugin para fazer atualiza\u00e7\u00f5es no Core do WordPress , Plugins e temas.<\/p>\n
http:\/\/wordpress.org\/extend\/plugins\/askapache-password-protect\/<\/a><\/p>\n
4.3.3 Secure WordPress<\/strong><\/p>\n
Recursos do plugin:<\/p>\n
Desativa o retorno de mensagens de erro no login (possibilitam saber se o usu\u00e1rio existe)
\nEsconde vers\u00e3o do WordPress nos cabe\u00e7alhos
\nEsconde vers\u00f5es do WordPress no dashboard para usu\u00e1rios \u201cn\u00e3o admins\u201d
\nEsconde vers\u00f5es do WordPress nos Stylesheets do frontend (vis\u00e3o do usu\u00e1rio)
\nCriar arquivos index.php em ‘plugins’ e ‘themes’ para evitar listagem de diret\u00f3rios
\nRemove alertas de update do wordpress para \u201cn\u00e3o admins\u201d
\nRemove alertas de atualiza\u00e7\u00e3o de plguins para \u201cn\u00e3o admins\u201d
\nProtege o wordpress contra URL’s maliciosas
\nTem suporte a auditoria do websitedefender.com
\nAtua na detec\u00e7\u00e3o de Malware presente em seu website
\nAtua na auditoria do website buscando problemas de seguran\u00e7a
\nEvita que voc\u00ea seja bloqueado (blocklist) pelo google
\nMant\u00e9m o conte\u00fado do seu website seguro
\nEnvia alertas sobre comportamentos suspeitos<\/p>\n
http:\/\/wordpress.org\/extend\/plugins\/secure-wordpress\/<\/a><\/p>\n
4.3.4 Security Scan<\/strong><\/p>\n
Este plugin avalia seu ambiente e lhe sugere melhorias.<\/p>\n
Atrav\u00e9s dele voc\u00ea pode inclusive mudar o prefixo de suas tabelas no baco de wp-* para algumacoisa-* , dificultando a vida do atacante.<\/p>\n
Ele oferece os seguintes recursos:<\/p>\n
Gerador de senhas fortes
\nAvalia, alerta e permite ajustar permiss\u00f5es de arquivos inseguras
\nAvalia, alerta e permite desativar o retorno de erros em tentativas de login
\nAvalia, alerta e permite ajustar a seguran\u00e7a de sua base de dados
\nPermite o backup de sua base de dados
\nPermite trocar o prefixo de suas tabelas
\nVerifica se a vers\u00e3o do WP no sistema est\u00e1 oculto
\nVerifica se a vers\u00e3o do WP nas META TAGS est\u00e1 oculto
\nVerifica se o usu\u00e1rio ADMIN existe e tem privil\u00e9gios de ADMIN
\nVerifica se o WP est\u00e1 atualizado
\nVerifica se os diret\u00f3rios est\u00e3o protegidos por arquivos .htaccess<\/p>\n
http:\/\/wordpress.org\/extend\/plugins\/wp-security-scan\/<\/a><\/p>\n
4.3.5 AntiVirus<\/strong><\/p>\n
Uma forma simples de verificar os arquivos do wordpress e temas.<\/p>\n
Pronto para rodar no wordpress 3
\nDetecta backdoor no sub-sistema permalink
\nVerifica os arquivos do wordpress atr\u00e1s de c\u00f3digo malicioso – d\u00e1 muito falso positivo
\nVerifica os arquivos do seu tema atr\u00e1s de c\u00f3digo malicioso – d\u00e1 muito falso positivo
\nTem suporte a whitelist para excluir arquivos da checagem – para evitar falso positivo
\nTem suporte a agendamento para executar a verifica\u00e7\u00e3o diariamente.<\/p>\n
Voc\u00ea pode us\u00e1-lo eventualmente para dar um checada principalmente no tema, abuse da whitelist para ele n\u00e3o ficar alarmando coisas que voc\u00ea tem certeza que n\u00e3o s\u00e3o problema.<\/p>\n
http:\/\/wpantivirus.com\/<\/a><\/p>\n
4.4 Ativando plugins de seguran\u00e7a que n\u00e3o v\u00e3o se sobrepor<\/strong><\/p>\n
4.4.1 Seguran\u00e7a Combinado 1 – <\/strong>N\u00edvel Preocupado<\/p>\n