Para mim, os checklists ainda são a melhor forma de organizar tarefas e obter bons resultados. Seja no papel, num app ou no Word, escrever de forma resumida tudo que é necessário para executar determinada atividade com sucesso ajuda muito. Dando início a alguns conteúdos deste gênero, falaremos hoje de segurança no WordPress. Venho lidando com sites desta natureza já faz um bom tempo e muito do que venho aprendendo acaba ficando apenas em minha cabeça. Antes de começar a escrever sobre o tema, resolvi procurar na internet o que já havia pronto, quando me deparei com um app chamado WordPress Security Checklist. Abaixo listei todos os pontos indicados por esse aplicativo.
wp-config
Altere as chaves de segurança (Gerador disponibilizado pelo WordPress.org)
Página de login
– Bloqueie várias tentativas de login (Login Lockdown ou iThemes Security)
– Ative autenticação de 2 etapas (Google Authenticator for WordPress)
– Use um email para fazer login ao invés de um nome de usuário (Force Email Login)
– Altere o endereço da sua página de login (iThemes Security ou diretamente pelo .htaccess)
– Remova links para sua página de login (caso exista algum em seu tema)
– Use senhas fortes com letras maiúsculas e minúsculas, números e caractéres especiais em todas as contas (gerador de senhas)
– Altere sua senha periodicamente
– Faça com que a mensagem de erro de login seja genérica (user/pass) (tutorial)
Painel Administrativo
– Proteja a pasta wp-admin com senha (desbloqueie apenas os arquivos necessários)
– Atualize o WordPress para sua versão mais recente
– Não utilize uma conta com nome de usuário admin. Caso exista, crie uma nova conta e apague a antiga
– Crie uma conta Editor e use-a somente para publicar seu conteúdo
– Implemente SSL em toda seção administrativa
– Instale algum plugin para verificar se algum arquivo foi editado (WP Security Scan, Wordfence ou iThemes Security)
– Scaneie o site a procura de vírus, malwares e falhas de segurança
Tema
– Atualize o tema ativo para sua versão mais recente
– Apague temas inativos
– Apenas instale temas de fontes confiáveis
– Remova a versão do WordPress no tema (tutorial)
Plugins
– Atualize todos os plugins para suas versões mais recentes
– Apague plugins inativos
– Apenas instale plugins de fontes confiáveis
– Substitua plugins desatualizados por versões alternativas atualizadas
– Pense bem antes de instalar uma centena de plugins
Banco de dados
– Altere o prefixo das tabelas (tutorial)
– Configure backups semanais do seu banco de dados (Backup WP, WP DB Backup, etc)
– Use senhas fortes com letras maiúsculas e minúsculas, números e caractéres especiais no usuário do banco de dados (gerador de senhas)
Hospedagem
– Contrate uma hospedagem de confiança
– Acesse seu servidor apenas por SFTP ou SSH
– Configure as permissões das pastas para 755 e arquivos para 644 (conforme a documentação)
– Certifique-se que seu arquivo wp-config.php não possa ser acessado por outras pessoas
– Remova ou bloqueie via .htaccess os arquivos license.txt, wp-config-sample.php e readme.html
– Desabilite o editor pelo wp-config.php com o código: define(‘DISALLOW_FILE_EDIT’,true);
– Previna a pesquisa de diretórios via .htaccess com o código: Options All -Indexes
Em breve devo complementar este conteúdo com percepções minhas sobre o assunto. Mas esse checklist que encontrei realmente é muito bom e não há necessidade de reinventar a roda. Até a próxima!