Por aí 37,000 sites são invadidos diária. Considerando-se que poderes WordPress 25.4% de todos os sites, todos os dias uma boa dose de bloggers encontrar seus blogs hackeado.
Embora alguns ajustes de segurança sejam evidentes - como alterar o nome de usuário do administrador - outros podem não ser tão óbvios. E ainda, há uma tonelada de pequenas coisas que podem melhore sua segurança do WordPress.
1. Remova seu número de versão do WordPress
Por padrão, O WordPress exibe o número da versão que você está executando para o mundo ver. Isso ajuda os hackers a identificar quais vulnerabilidades de versão pertinentes podem ser exploradas para invadir seu blog.
A solução é remover o número da versão do WordPress da exibição pública. Mas faça backup do seu site primeiro, e uma vez feito isso:
Esse código impedirá que o número da versão do WordPress apareça no seu front end.
2. Desativar API do WordPress
A API REST no WordPress permite que os desenvolvedores integrem aplicativos personalizados em seus blogs. Mas também é uma vulnerabilidade de segurança, pois pode ignorar o sistema de autenticação do Word-Press.
Se você não estiver usando a API REST, você pode desativá-lo com segurança por meio do plug-in Desativar API REST.
3. Desativar XML-RPC
XML-RPC permite acesso remoto e postagem em seu blog WordPress, que é outro ponto de entrada potencial para atores mal-intencionados. Mas se você não está postando remotamente, você pode melhorar a segurança do seu blog em uma milha apenas desativando o XML-RPC com o plug-in Desativar XML-RPC.
4. Vet Plug-ins de terceiros
Controle qualquer plug-in com uma lupa:
Ler comentários de usuários, e evite plugins que mal são usados, ou publicado recentemente. A documentação polida e completamente escrita é um sinal de que o desenvolvedor tem consciência de criar o plug-in.
Os desenvolvedores com um excelente histórico de lançamentos populares são mais propensos a produzir plugins robustos e seguros do que os novatos.
5. Escolhendo o provedor de hospedagem
41% dos blogs do WordPress são invadidos por vulnerabilidades em suas plataformas de hospedagem. assim, um host seguro é tão importante quanto usar uma senha forte.
Optar por estabelecido, fornecedores respeitáveis que têm experiência em catering para blogueiros do WordPress. Além disso, considere investir em um servidor dedicado, ou pelo menos um servidor privado virtual para reduzir os vetores de ataque.
6. Desativar relatório de erros do PHP
Quando um plugin ou tema falha, os servidores enviam um relatório de erro do PHP, o que é útil para depuração. Mas eles também expõem o caminho completo do erro do servidor, que é um grande risco de segurança.
Você pode desativar o relatório de erros do PHP adicionando o seguinte código ao seu arquivo wp-config.php:
error_reporting(0);
@ini_set('Display_errors',0);
Sempre que você precisar, você pode alternar o relatório de erros novamente.
7. Atualize suas permissões de arquivo
As permissões de arquivo corretas protegem seu blog contra explorações de segurança, dificultando ao hacker invadir seu site.
Você pode atualizar suas permissões de arquivo via FTP:
- O arquivo wp-config.php deve ser definido como “600”
- Os arquivos nos diretórios do WordPress para “640” ou “644”
- As permissões da pasta do WordPress devem ser definidas como “755” ou “750”
Você ainda poderá trabalhar com seus arquivos, mas invasores mal-intencionados não poderão manipular ou excluir seus arquivos, plugins, temas, ou assumir o controle do seu site.
Nota do editor:
De tempos em tempos, O SensorsTechForum apresenta artigos de convidados de líderes e entusiastas de segurança cibernética e infosec, como este post. As opiniões expressas nestas mensagens de hóspedes, Contudo, são de inteira responsabilidade do autor contribuindo, e podem não refletir as de SensorsTechForum.
