Na HackerSec, após análises e testes, identificamos diversas formas e métodos para garantir a segurança do WordPress, com base nas falhas e vulnerabilidades frequentemente exploradas por cibercriminosos.
Antes de listarmos essas dicas vale lembrar que a realização de pentests e a contratação de consultorias de cibersegurança são passos vitais para identificar e corrigir vulnerabilidades antes que elas sejam exploradas. A HackerSec é referência em fornecer serviços de cibersegurança para as empresas mais exigentes, auxiliando a garantir a integridade de seus sistemas e dados.
Segurança no Servidor:
- Mantenha sempre seu Apache ou Nginx atualizados.
- Desabilite a listagem de diretórios.
- Habilite criptografia SSL HTTPS.
- Defina um tamanho limite de requisições.
- Desabilite módulos desnecessários.
- Esconda a versão de seu Apache ou Nginx.
- Mantenha o PHP sempre atualizado.
- Esconda a versão do PHP.
- Controle o tamanho de requisições POST e de memória.
- Mantenha a aplicação de banco de dados atualizada.
- Desative o acesso remoto a aplicação de banco de dados.
- Desabilite o servidor FTP ou permita apenas IPs específicos para acessa-lo.
- Sempre faça backup de todas configurações definidas.
- Use um bom Web Application Firewall (WAF) para proteger seus sites.
Segurança no WordPress:
- Mantenha seu WordPress e plugins atualizados.
- Tome cuidado com temas e plugins falsos ou duvidosos.
- Utilize apenas plugins conhecidos e com boas qualificações.
- Nunca use o usuário padrão “admin”.
- Use senhas fortes, com mais de 6 dígitos, letras maiúsculos, minúsculas, caracteres especiais e números.
- Desabilite a opção “qualquer pessoa pode registrar-se”.
- Apague os arquivos readme.html e install.php.
- Use autenticação de dois fatores.
- Instale um bom WAF (Web Application Firewall).
- Esconda a versão de seu WordPress, use o seguinte método:
- No arquivo header.php remova a seguinte linha
<meta name=”generator” content=”WordPress <?php bloginfo(‘version’); ?>” />
Ou adicione esse código em seu arquivo functions.php
<?php remove_action(‘wp_head’, ‘wp_generator’); ?> - Proteja o arquivo “wp-config.php” através do .htaccess.
- Altere o diretório padrão de acesso administrador “wp-admin”.
- Evite deixar arquivos importantes expostos.
- Coloque diretórios e arquivos mais sensíveis no robots.txt, para evitar Web crawling (spidering).
- Limite o número de tentativas de login, evitando ataques brute-force.
- Se possível use uma hospedagem dedicada ou escolha uma compartilhada de confiança, veja algumas das melhores hospedagens.
- Sempre que você tiver certeza que seu site está seguro e seus arquivos íntegros, faça backup.
- Mantenha-se informado sobre novas vulnerabilidades acompanhando nosso blog.