9 Dicas para proteger o seu WordPress Blog

O seu blog é uma ferramenta essencial para desenvolver o seu negócio, e é por isso importante que o proteja dos ataques de hackers.

Como fui recentemente atacado em vários dos meus sites, aproveito para partilhar consigo algumas alterações que deve fazer para ter um blog mais seguro.

É importante que perceba que não existem soluções para estar 100% seguro… as plataformas evoluem, novas vulnerabilidades aparecem e claro, os hackers estão sempre em busca de novas formas de atacar os mais desprotegidos.

Se seguir estas dicas, irá adicionar várias camadas de proteção ao seu Blog, tornando por isso mais difícil um possível ataque… desviando a atenção dos ataques para outros blogs menos protegidos e por isso mais fáceis de atacar.

1ª Dica – Nome de Utilizador

Por defeito, o nome de utilizador/login é “admin”… e é verdade que a quase totalidade dos donos de blogs deixam ficar esse nome de utilizador… e os hackers também sabem isso.

Por isso, mude o seu nome de utilizador para algo diferente, e tenha o cuidado de não escolher palavras óbvias ou variações do seu nome ou iniciais.

2ª Dica – Tenha uma senha forte

Os hackers vão tentar descobrir a sua senha utilizando programas de “brute force”… basicamente, o programa vai correr uma biblioteca com várias palavras e combinações de palavras até encontrar a sua senha.

Escolha por isso uma senha com combinações de números, símbolos e letras (maiúsculas e minúsculas).

3ª Dica – Instale o Wordfence Security Plugin

Apesar de também ter uma versão paga, a versão gratuita é mais do que suficiente para a maioria dos utilizadores… e claro, para mim este plugin é mesmo obrigatório, pois é muito completo e substitui a utilização de vários plugins individuais.

Este plugin faz scans regulares ao seu blog à procura de virus, malware, trojans e links maliciosos.

Ele também protege o blog de scrapers, robots, falsos Google Bots e de ataques de “Brute Force”. Tem também  possibilidade de bloquear os visitantes/utilizadores por IP ou por País e de visualizar em tempo real os visitantes do Blog.

Ele também o avisa por email sempre que alguém fizer o login no seu blog ou sempre que encontrar algo de errado com o seu blog.

Faça o download do plugin aqui.

4ª Dica – Esconder os Plugins

Alguns plugins têm vulnerabilidades e podem por isso ser utilizados para acederem aos seu blog.

Para os esconder, apenas tem de criar uma página vazia com o nome “index.html” e colocar essa página dentro do diretório dos plugins (/wp-content/plugins/).

5ª Dica – Faça o Backup dos ficheiros e da sua base de dados

Faça o Backup completo do seu blog com regularidade.

O WordPress tem vários plugins gratuitos disponíveis. Eu utilizo e recomendo o Backup, pois além de criar o ficheiro de backup, também o envia automaticamente para o Google Drive, permitindo-me dessa forma ter acesso ao backup do meu blog a partir de qualquer computador.

Faça o download do plugin aqui.

6ª Dica – Tenha as atualizações em dia

Tenha sempre a versão do seu WordPress e dos seus plugins atualizadas. Estas atualizações servem para corrigir falhas de segurança que o código  possa ter. Os hackers conhecem-nas bem, por isso não corra um risco desnecessário.

7ª Dica – Altere as WordPress Keys no wp-config.php

Visite o WordPress Key Generator para criar novas chaves de segurança.

Abra o seu ficheiro wp-config.php e encontre as seguintes linhas de código e substitua-as pelas novas que foram criadas.

define(‘AUTH_KEY’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(‘NONCE_KEY’, ‘put your unique phrase here’);

8ª Dica – Robots.txt

Este ficheiro dá indicações aos spiders dos motores de busca (e outros programas que se fazem passar por eles), impedindo-os de acederem a determinadas partes do seu blog.

Crie um ficheiro “robots.txt” no seu diretório base (root) e coloque o seguinte código dentro dele:

#
user-agent: *
Disallow: /cgi-bin
Disallow: /wp-*

9ª Dica – .htaccess

Vamos criar vários ficheiros .htaccess para oferecer mais uma camada de proteção ao blog.

Criar um ficheiro .htaccess no seu directório base (root)

Adicione o seguinte código ao ficheiro para o proteger:

# STRONG HTACCESS PROTECTION</code>
<Files ~ "^.*.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>

Adicione o seguinte código para não permitir que os visitantes do blog possam navegar pelos diretórios do blog:

# disable directory browsing
Options All -Indexes

Adicione o seguinte código para proteger o ficheiro wp-config.php

# protect wp-config.php
<files wp-config.php>
Order deny,allow
Deny from all
</files>

Adicione o seguinte código para prevenir a injeção de código malicioso por sql e modificações não desejadas do _REQUEST e GLOBALS:

# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Como disse no início, não existe uma solução 100% segura, mas se implementar estas soluções no seu blog, ele ficará muito mais seguro e claro, mais protegido de possíveis ataques de hackers.

Partilhe com os leitores do blog a sua experiência, já teve o seu blog debaixo de ataque? Como fez para prevenir ou remediar o ataque?

Alfredo Pinto

PS: Pretende ter sucesso e ser um Líder em Marketing de Rede? Trabalhe diretamente comigo e siga um plano de ação com provas dadas! Saiba mais aqui!

Imagem de Stuart Miles / FreeDigitalPhotos.net

Comments

  1. Muito obrigado pelas informações, já estava perdendo as esperanças de encontrar um um plugin citado acima,rsrsr,

  2. Ajudou muito! Obrigada

    1. Obrigado Joana, ainda bem que este artigo foi útil para si.

  3. Muito bom, bastante conteúdo e de uma profundidade grande, são poucos os que tem tanto conhecimento.

    Abraço.

Deixar uma resposta