Skip to content

Latest commit

 

History

History
executable file
·
66 lines (52 loc) · 6.26 KB

items.br.md

File metadata and controls

executable file
·
66 lines (52 loc) · 6.26 KB
Raw
layout title permalink language subset
page
pt-BR
/br/items/
br
root

A maioria das vezes que um site feito com WordPress é invadido a culpa não é do WordPress, mas sim de alguma falha boba que poderia ter sido evitada durante a sua construção. Essa é a ideia desse projeto: Ser um checklist de ações que você deve tomar para aumentar a segurança do seu site.

wp-config

Página de login

  • Bloqueie várias tentativas de login (Login Lockdown{:target="_blank"} ou iThemes Security{:target="_blank"} )
  • Ative autenticação de 2 etapas (Google Authenticator{:target="_blank"})
  • Use um e-mail para fazer login ao invés de um nome de usuário (Force Login With Email{:target="_blank"})
  • Altere o endereço da sua página de login (iThemes Security{:target="_blank"} ou diretamente pelo .htaccess)
  • Remova links para sua página de login (caso exista algum em seu tema)
  • Use senhas fortes com letras maiúsculas e minúsculas, números e caracteres especiais em todas as contas (gerador de senhas aleatório{:target="_blank"} ou baseado em palavras{:target="_blank"})
  • Altere sua senha periodicamente
  • Faça com que a mensagem de erro de login seja genérica (user/pass) (tutorial{:target="_blank"})
  • Desabilite a API REST do WP caso não esteja utilizando. (Disable REST API{:target="_blank"})

Painel Administrativo

  • Proteja a pasta wp-admin com senha (desbloqueie apenas os arquivos necessários{:target="_blank"})
  • Atualize o WordPress para sua versão mais recente
  • Não utilize uma conta com nome de usuário admin. Caso exista, crie uma nova conta e apague a antiga
  • Crie uma conta Editor e use-a somente para publicar seu conteúdo
  • Implemente SSL em toda seção administrativa
  • Instale algum plugin para verificar se algum arquivo foi editado (WP Security Scan{:target="_blank"}, Wordfence{:target="_blank"} ou iThemes Security{:target="_blank"})
  • Escaneie o site a procura de vírus, malwares e falhas de segurança

Tema

  • Atualize o tema ativo para sua versão mais recente
  • Apague temas inativos
  • Apenas instale temas de fontes confiáveis
  • Remova a versão do WordPress no tema (tutorial{:target="_blank"})

Plugins

  • Atualize todos os plugins para suas versões mais recentes
  • Apague plugins inativos
  • Apenas instale plugins de fontes confiáveis
  • Substitua plugins desatualizados por versões alternativas atualizadas
  • Pense bem antes de instalar uma centena de plugins

Banco de dados

  • Altere o prefixo das tabelas (tutorial{:target="_blank"})
  • Configure backups semanais do seu banco de dados (Backup WP{:target="_blank"}, WP DB Backup{:target="_blank"}, etc.)
  • Use senhas fortes com letras maiúsculas e minúsculas, números e caracteres especiais no usuário do banco de dados (Gerador de Senhas{:target="_blank"} ou or Password Meter{:target="_blank"}))

Hospedagem

  • Contrate uma hospedagem de confiança
  • Acesse seu servidor apenas por SFTP ou SSH
  • Configure as permissões das pastas para 755 e arquivos para 644 (conforme a documentação{:target="_blank"})
  • Certifique-se que seu arquivo wp-config.php não possa ser acessado por outras pessoas
  • Remova ou bloqueie via .htaccess os arquivos license.txt, wp-config-sample.php e readme.html
  • Desabilite o editor pelo wp-config.php com o código: define('DISALLOW_FILE_EDIT',true);
  • Previna a pesquisa de diretórios via .htaccess com o código: Options All -Indexes