fbpx

Como manter seu WordPress seguro

Na HackerSec, após análises e testes, identificamos diversas formas e métodos para garantir a segurança do WordPress, com base nas falhas e vulnerabilidades frequentemente exploradas por cibercriminosos.

Antes de listarmos essas dicas vale lembrar que a realização de pentests e a contratação de consultorias de cibersegurança são passos vitais para identificar e corrigir vulnerabilidades antes que elas sejam exploradas. A HackerSec é referência em fornecer serviços de cibersegurança para as empresas mais exigentes, auxiliando a garantir a integridade de seus sistemas e dados.

Segurança no Servidor:

  1. Mantenha sempre seu Apache ou Nginx atualizados.
  2. Desabilite a listagem de diretórios.
  3. Habilite criptografia SSL HTTPS.
  4. Defina um tamanho limite de requisições.
  5. Desabilite módulos desnecessários.
  6. Esconda a versão de seu Apache ou Nginx.
  7. Mantenha o PHP sempre atualizado.
  8. Esconda a versão do PHP.
  9. Controle o tamanho de requisições POST e de memória.
  10. Mantenha a aplicação de banco de dados atualizada.
  11. Desative o acesso remoto a aplicação de banco de dados.
  12. Desabilite o servidor FTP ou permita apenas IPs específicos para acessa-lo.
  13. Sempre faça backup de todas configurações definidas.
  14. Use um bom Web Application Firewall (WAF) para proteger seus sites.

Segurança no WordPress:

  1. Mantenha seu WordPress e plugins atualizados.
  2. Tome cuidado com temas e plugins falsos ou duvidosos.
  3. Utilize apenas plugins conhecidos e com boas qualificações.
  4. Nunca use o usuário padrão “admin”.
  5. Use senhas fortes, com mais de 6 dígitos, letras maiúsculos, minúsculas, caracteres especiais e números.
  6. Desabilite a opção “qualquer pessoa pode registrar-se”.
  7. Apague os arquivos readme.html e install.php.
  8. Use autenticação de dois fatores.
  9. Instale um bom WAF (Web Application Firewall).
  10. Esconda a versão de seu WordPress, use o seguinte método:
  11. No arquivo header.php remova a seguinte linha
    <meta name=”generator” content=”WordPress <?php bloginfo(‘version’); ?>” />
    Ou adicione esse código em seu arquivo functions.php
    <?php remove_action(‘wp_head’, ‘wp_generator’); ?>
  12. Proteja o arquivo “wp-config.php” através do .htaccess.
  13. Altere o diretório padrão de acesso administrador “wp-admin”.
  14. Evite deixar arquivos importantes expostos.
  15. Coloque diretórios e arquivos mais sensíveis no robots.txt, para evitar Web crawling (spidering).
  16. Limite o número de tentativas de login, evitando ataques brute-force.
  17. Se possível use uma hospedagem dedicada ou escolha uma compartilhada de confiança, veja algumas das melhores hospedagens.
  18. Sempre que você tiver certeza que seu site está seguro e seus arquivos íntegros, faça backup.
  19. Mantenha-se informado sobre novas vulnerabilidades acompanhando nosso blog.