O wordpress é uma ferramenta muito estável, flexível e segura, porém podemos melhorar ainda mais a segurança de nosso blog seguindo alguns passos simples. Abaixo vou apresentar rapidamente alguns plungins e vou também oferecer algumas dicas que podem proporcionar melhorias importantes.
01. plugins contra spam em comentários, trackbacks e pingbacks
- bad-behavior
- akismet
- simple-trackback-validator
- simple-captcha ou math comment spam protection
Importante pois existem milhares de bots loucos para entupir o seu blog com SPAM, seja na área de comentários, trackbacks, ou pingbacks.
02. plugins que previnem cadastro automático de bots
- sabre
Os Bots estão ficando cada vez mais espertos, eles já sabem se cadastrar para começar a pixar o seu site com SPAM. Nossa sorte é que eles ainda não sabem somar, dividir, multiplicar, ler ou ouvir captchas, sem isto eles não vão conseguir se cadastrar pois o sabre implementa estas funcionalidades.
03. plugin que verifica se sua instalação está bacana e segura e lhe diz como ajustar algo que esteja fora do lugar.
Este plugin vai verificar as permissões dos seus arquivos e diretórios, vai analisar a estrutura do seu banco, as configurações do seu wordpress e depois disto ele vai sugerir algumas melhorias para deixá-lo ainda mais protegido.
04. evitando sucessivas tentativas de login através de brute-force
Este plugin guarda informações como IP e RANGE que esta tentando fazer login no seu blog, após sucessivas tentativas, de acordo com sua configuração, ele poderá desabilitar o login para aquele IP ou RANGE.
05. habilitando acesso seguro a parte administrativa do seu blog
Vai administrar o wordpress, faça isto de forma segura, use SSL!
06. bloqueando indexação dos sub-diretórios wp-* em seu blog através do robots.txt
User-agent: *
Disallow: /wp-*
Certas partes do seu blog não precisam ser indexadas por robôs, então vamos orientá-los a não fazer isto.
07. matenha seu wordpress atualizado sempre
- a partir do wordpress 2.7 ele já permite atualização automática nativa.
- versões anteriores podem utilizar o plugin InstantUpgrade!
Saiu uma versão nova? Atualize com um clique!
08. faça backups regulares do banco do seu wordpress e receba por e-mail
Sem backup não somos ninguém :P
09. proiba acesso via apache2 ao seu arquivo wp-config.php
<FilesMatch ^wp-config.php$>deny from all</FilesMatch>
Isto é necessário por existem várias informações como nome do banco, usuário de administração do banco e senha tudo em clear-text.
10. Adicione mais uma camada de autenticação no diretório wp-admin através de um arquivo .htaccess do apache2
11. não divulgue a versão do seu wordpress no header das páginas
12. desabilite os poderes administrativos do usuário admin, utilize um usuário diferente para administrar o seu blog
13. Só permita que usuários enviem comentários se estiverem autenticados, seja por openID, seja por cadastro local.
[]‘s
Guto
This is some text prior to the author information. You can change this text from the admin section of WP-Gravatar To change this standard text, you have to enter some information about your self in the Dashboard -> Users -> Your Profile box. 
em 
em 
em 
em 
em 
Ainda bem que você explicou cada um direitinho, eu ia procurar cada um deles (apesar de que alguns eu já conhecia) =P
Valeu!
Karlison,
Que bom que ajudou.
Este post já estava no gatilho há alguns dias, tava até esquecendo dele ;)
[]‘s
Guto
Olá guto, muito bom esse post
implementei a maioria deles.
valeu!
Fala Guto,
Você poderia incrementar seu artigo / segurança do blog adicionando esta ferramenta:
http://www.askapache.com/wordpress/htaccess-password-protect.html
Ela seria, em outras palavras, um .htaccess voltado a usuários que não possuem acesso ao servidor.
Adicionalmente, criar um index.html dentro do diretório: wp-content/plugins, ajuda a omitir plugins e versões que você tenha habilitado. Uma opção de proteger isto no apache seria:
—
DirectoryMatch “.*/wp-content/plugins/.*”
deny from all
/DirectoryMatch
—
Um abraço!
Flavio Torres
Cara muito bom o post. Liguagem simples e objetiva. Vou implementar as soluções nos blogs que ajudo a gerenciar. Grato.
Eita esse post vai ser de muuuita ajuda, viu? Pra mim e mais uma dezena de amigas q usam o WP…
Valeuzão!
Yaso,
Oi, que bom que ajudou, qualquer coisa é só falar, estou a disposição ;)
[]‘s
Guto
Jackson,
Obrigado pelo retorno, espero que tenha sido útil para ti ;)
[]‘s
Guto
Flavio,
Estou preparando um post especial sobre htaccess ;)
Obrigado pela dica e sugestões.
[]‘s
Guto
Maycon,
Que bom que lhe ajudou, valeu pelo retorno ;)
[]‘s
Guto
Olá Guto Carvalho,
Gostei do seu post. Estou em fase de implantação do wordpress no meu local de trabalho e gostaria de saber qual a melhor maneira de implementar o wordpress para +/- 500 usuários? Como se é feito esse gerenciamento. Aqui no meu trabalho me disseram que tem um WU. Você sabe me dizer o que isso significa? Obrigado,
09. proiba acesso via apache2 ao seu arquivo wp-config.php
deny from all
Aonde eu coloco esse código?
Marcelo,
Esta é uma configuração no Apache2, este código vai no VirtualDomain do seu blog.
Esta dica é para sysadmins que tem acesso completo ao servidor.
[]‘s
Guto
Marcos,
O WordPress MU é a ferramenta que você está procurando, caso queira disponibilizar um blog por usuário.
[]‘s
Guto
muito bom essas dicas , mais vc não ensina com faz essas medidas de segurança ai não adianta nada.
xD
Pingback: Mesa Narrativas da Internet no #BLOGPROG | gutocarvalho.net