![\"\"](\"https:\/\/i0.wp.com\/www.viahospedagem.net\/wp-content\/uploads\/2011\/12\/seguranca.jpg\" "\\"Seguran\u00e7a\\"")
<\/a><\/p>\n\u00c9 correto afirmar que a Via na qualidade de seu provedor de hospedagem toma todas as medidas de seguran\u00e7a poss\u00edveis pra deixar o seu servidor mais seguro e est\u00e1vel, barrando na porta de entrada o m\u00e1ximo de visitas indesejadas. Sistemas atualizados, firewalls f\u00edsicos e l\u00f3gicos, pol\u00edticas de backups e seguran\u00e7a sempre conferidas, checagem de exploits etc. Mas estas medidas acabam sendo in\u00fateis pra voc\u00ea se no seu blog ou site a sua parcela de responsabilidade acaba deixando a desejar.\u00a0\u00c9 tamb\u00e9m uma assertiva que a grande e esmagadora maioria dos ataques \u00e9 facilitada pelo descuido com \u00edtens mais das vezes prim\u00e1rios e que, de t\u00e3o simples, acabam sendo negligenciados e fazendo a diferen\u00e7a entre perder um conte\u00fado e esquentar a cabe\u00e7a com as solu\u00e7\u00f5es.<\/p>\n
Dessa forma resolvi escrever um guia que, se cumprido a risca, vai lhe poupar bastante esfor\u00e7o e dores de cabe\u00e7a.<\/p>\n
Antes de come\u00e7ar: fa\u00e7a backup!<\/h2>\n
Al\u00e9m do backup peri\u00f3dico que voc\u00ea deve fazer em toda a sua conta de hospedagem, recomendo que fa\u00e7a um backup antes de abrir os trabalhos. Todos os procedimentos que estou indicando neste post s\u00e3o seguros e testados, mas pra caso algum imprevisto, fa\u00e7a um backup de tudo.<\/p>\n
Mantenha as atualiza\u00e7\u00f5es em dia<\/h2>\n
Nos prim\u00f3rdios do sistema era complicado fazer uma atualiza\u00e7\u00e3o. Voc\u00ea tinha que conectar via FTP, fazer o download do pacote de instala\u00e7\u00e3o, atualizar os arquivos que sofreram modifica\u00e7\u00f5es, fazer um upgrade do banco de dados, torcer pra que nada desse errado e depois de alguns longos minutos ter a instala\u00e7\u00e3o do sistema mais segura e confi\u00e1vel. Hoje o WordPress n\u00e3o s\u00f3 te avisa que existe uma atualiza\u00e7\u00e3o pendente (e quase sempre \u00e9 urgente, pois s\u00e3o corre\u00e7\u00f5es de seguran\u00e7a e performance) como te permite que com dois irris\u00f3rios cliques voc\u00ea atualize todo o sistema sem sequer verter uma gota de suor.<\/p>\n
A mesma coisa acontece com os plugins. Pra que eles estejam dispon\u00edveis no reposit\u00f3rio oficial do WordPress eles passaram n\u00e3o s\u00f3 por testes, mas seguem um padr\u00e3o de atualiza\u00e7\u00e3o segura. Desta forma tamb\u00e9m existem m\u00ednimos riscos de ter algum problema na hora da atualiza\u00e7\u00e3o.\u00a0Manter o seu WordPress atualizado \u00e9 imprescind\u00edvel. Se ele foi submetido para download \u00e9 porque j\u00e1 passou por uma infinidade de testes, corre\u00e7\u00e3o de bugs e tudo o mais.<\/p>\n
Cuidado com themes e plugins de origem duvidosa<\/h2>\n
Seguran\u00e7a WordPress: Existe um n\u00famero quase que ilimitado de plugins e templates dispon\u00edveis para WordPress e isso n\u00f3s deduzimos em uma r\u00e1pida busca no Google. Mas ser\u00e1 que eles s\u00e3o seguros? Alguns deles escondem c\u00f3digos encriptados para garantir que voc\u00ea n\u00e3o ir\u00e1 remover os links de propaganda que eles inserem geralmente no rodap\u00e9 do seu blog (mas voc\u00ea pode garantir que neste c\u00f3digo oculto n\u00e3o existem portas de entrada?). Opte sempre por temas que est\u00e3o no reposit\u00f3rio oficial do WordPress, ou utilize os de fabricantes mais conhecidos, o que diminui bastante o risco de algum deles vir com alguma brecha de seguran\u00e7a. Tamb\u00e9m atente para o fato de que os templates t\u00eam atualiza\u00e7\u00f5es de seguran\u00e7a e problemas de vulnerabilidade serem corrigidos nelas. J\u00e1 com plugins, seja mais radical: SOMENTE se estiver no reposit\u00f3rio oficial e escolha os mais indicados pelas estrelas de avalia\u00e7\u00e3o.<\/p>\n
IMPORTANTE<\/strong>: templates que utilizem o script TimThumb.php<\/strong> para redimensionamento de imagens s\u00e3o fortes candidatos a ter problemas com v\u00edrus. Muitos clientes tem relatado problemas de infec\u00e7\u00e3o do WordPress tendo este script como porta de entrada. Se voc\u00ea utilizar um tema com ele, troque na hora ou procure uma atualiza\u00e7\u00e3o de vers\u00e3o.<\/p>\n \u00c9 convencionado que o login principal do WordPress chame-se “admin”, pela praticidade na hora da instala\u00e7\u00e3o. Foi dito como padr\u00e3o e todo mundo at\u00e9 ent\u00e3o segue. Dessa forma \u00e9 tamb\u00e9m \u00f3bvio que quando algum rob\u00f4 ou intruso tentar acessar o seu blog, o primeiro usu\u00e1rio escolhido tamb\u00e9m ser\u00e1 esse. \u00c9 fortemente recomendado que voc\u00ea fuja desse padr\u00e3o, escolha uma palavra-joguete com o seu nome ou alguma palavra que goste, mas n\u00e3o use admin ou alguma palavra muito \u00f3bvia.<\/p>\n Para trocar, basta voc\u00ea seguir estes passos:<\/strong><\/p>\n IMPORTANTE<\/strong>: O WordPress vai perguntar o que deseja fazer com os posts do usu\u00e1rio admin, escolha transfer\u00ed-lo para o seu novo usu\u00e1rio.<\/p>\n Sua senha tem menos de 8 caracteres<\/strong>? \u00c9 fraca. Usa apenas vogais e consoantes? Fraqu\u00edssima. N\u00e3o tem nenhum n\u00famero e caracter especial? Xii, t\u00e1 quase morrendo de t\u00e3o fraca!<\/p>\n 123mudar<\/strong>, do latim que quer dizer “adoraria que meu blog fosse invadido e deletado”, n\u00e3o \u00e9 uma boa senha. Nem seu nome, nem o nome do seu cachorro e recomendo que mande fazer uma placa para a data do seu anivers\u00e1rio, mas homenage\u00e1-la na sua senha \u00e9 uma p\u00e9ssima id\u00e9ia. Nosso CSO (Chief Security Officer) preparou um infogr\u00e1fico bem pr\u00e1tico pra que n\u00e3o reste d\u00favidas:<\/p>\n Recomendo que voc\u00ea mesmo construa a sua senha forte usando fragmentos de textos familiares pra voc\u00ea, como por exemplo uma m\u00fasica, ou um poema, e adicione n\u00fameros e caracteres especiais.<\/p>\n Um exemplo: na m\u00fasica Dead Flowers da banda Rolling Stones tem a seguinte frase:<\/p>\n “And you can send me dead flowers every morning”<\/em><\/p><\/blockquote>\n Sua senha seria algo como…<\/p>\n Ayc7s&mD@F8eM<\/strong><\/p><\/blockquote>\n Nada mais que as iniciais da sua m\u00fasica favorita E alguns caracteres e n\u00fameros para dar uma melhorada na seguran\u00e7a.<\/p>\n Caso voc\u00ea n\u00e3o queira fazer dessa forma e precise de uma ajuda aleat\u00f3ria pra criar sua senha, utilize o nosso gerador de senhas fortes<\/a>.<\/p>\n Por qu\u00ea n\u00fameros e caracteres especiais?<\/strong><\/p>\n Porque quando um script de invas\u00e3o vai tentar descobrir sua senha ele faz in\u00fameras tentativas com dicion\u00e1rios de palavras e probabilidades de caracteres. Quando voc\u00ea utiliza apenas letras do alfabeto ele tem uma probabilidade X. Se voc\u00ea acresce n\u00fameros e s\u00edmbolos ele acaba aumentando as probabilidades de poss\u00edveis senhas corretas e diminuindo drasticamente a chance de ele encontr\u00e1-la.<\/p>\n Quando voc\u00ea tem um blog coletivo ou precisa de manuten\u00e7\u00e3o de terceiros, \u00e9 aconselh\u00e1vel que voc\u00ea crie usu\u00e1rios para seus respectivos usos e acessos, pra que n\u00e3o passe a eles sua senha. Para administrar os usu\u00e1rios, fique atento a estas dicas:<\/p>\n A permiss\u00e3o dos diret\u00f3rios e arquivos do WordPress precisa estar bem ajustada pra que nenhum outro arquivo ou processo tenha acesso ou seja executado de maneira errada. Dessa forma mantenha sempre bem lustradas as permiss\u00f5es dos diret\u00f3rios. Pra entender melhor como funciona isso de uma forma gen\u00e9rica, veja este artigo<\/a>.<\/p>\n Pra verificar se as permiss\u00f5es est\u00e3o erradas existem duas alternativas:<\/p>\n Tanto o cPanel e o FTP quanto as suas contas de e-mail est\u00e3o protegidos por um firewall que contabiliza as tentativas erradas de senha que fazem na sua conta. Quando esse valor ultra passa as tr\u00eas tentativas, este sistema automaticamente bloqueia o endere\u00e7o de IP de quem ou o que est\u00e1 tentando fazer a conex\u00e3o por algumas horas. Isso evita que scripts fiquem tentando descobrir sua senha (e consigam, ap\u00f3s milhares de tentativas) tendo o mal cortado pela mandioca.<\/p>\n S\u00f3 que o WordPress por estar em outra camada do servi\u00e7o n\u00e3o est\u00e1 coberto por este firewall. Por\u00e9m existe um plugin chamado Login LockDown<\/a><\/strong> que faz exatamente isso para o seu blog.<\/p>\n Voc\u00ea pode configurar quantas tentativas erradas ele permitir\u00e1, qual o intervalo das tentativas e quanto tempo o IP ficar\u00e1 banido, se errar o usu\u00e1rio tamb\u00e9m \u00e9 pra ser contabilizado etc.\u00a0O que voc\u00ea v\u00ea nesta imagem s\u00e3o as configura\u00e7\u00f5es que eu utilizo e recomendo.<\/p>\n Para instal\u00e1-lo basta ir no menu Plugins, Add New\/Adicionar novo, pesquisar por Login LockDown e instal\u00e1-lo.<\/p>\n A instala\u00e7\u00e3o padr\u00e3o do WordPress sugere que todas as tabelas tenham o prefixo “wp_”. Ent\u00e3o sua tabelas de posts chama-se “wp_posts”, a de coment\u00e1rios “wp_comments”e assim por diante. Uma dica bem interessante \u00e9 alterar esse prefixo. Pra n\u00e3o ter todo um empenho de alterar os prefixos tabela por tabela, alterar no wp-config essa informa\u00e7\u00e3o, mexer nas permiss\u00f5es do banco de dados, recomendo o uso de um plugin que j\u00e1 citamos neste post: WP Security Scan<\/a>.<\/p>\n Quanto mais portas uma casa tem, mais chances de ela ser invadida e assaltada. Isso \u00e9 estat\u00edstica. A mesma coisa ocorre com o WordPress. Quanto maiores forem as chances de existir uma vulnerabilidade, mais chances de sofrer alguma consequ\u00eancia voc\u00ea ter\u00e1. Portanto, livre-se do lixo:<\/p>\nN\u00e3o utilize o login “admin”<\/h2>\n
\n
Senhas fracas e senhas fortes (123voc\u00ea-n\u00e3o-mudou-n\u00e9?)<\/h2>\n
<\/a><\/p>\nControle o n\u00famero e o poder dos usu\u00e1rios<\/h2>\n
\n
Permiss\u00f5es de diret\u00f3rios<\/h2>\n
\n
<\/a><\/div>\n<\/a><\/div>\nPlugin Login LockDown<\/h2>\n
<\/a><\/p>\nAltere o prefixo das tabelas no banco de dados<\/h2>\n
Deixe o seu WordPress enxuto<\/h2>\n
\n
Fa\u00e7a backup regularmente<\/h2>\n
Senhas, conex\u00f5es e pr\u00e1ticas<\/h2>\n
\n
Limpe a sujeira restante<\/h2>\n