WordPress \u00e9 um CMS open source, o que significa que todos, incluindo os hackers com m\u00e1s inten\u00e7\u00f5es, podem vasculhar o c\u00f3digo fonte em busca de falhas de seguran\u00e7a.<\/p>\n
A integridade do blog deve ser uma das primeiras preocupa\u00e7\u00f5es de quem pretende ter um blog WordPress, pois isso poder\u00e1 causar um enorme transtorno a voc\u00ea ou sua empresa caso o seu WordPress seja invadido.<\/p>\n
A seguir voc\u00ea ver\u00e1 algumas dicas de seguran\u00e7a\u00a0para WordPress\u00a0contra a\u00e7\u00e3o de hackers, que eu recomendamos aos nossos clientes:<\/p>\n
Como disse anteriormente, o WordPress \u00e9 um CMS open source, tornando-se um alvo f\u00e1cil para hackers.
\nQuando a equipe de desenvolvimento do WordPress lan\u00e7a uma atualiza\u00e7\u00e3o, quanto mais cedo voc\u00ea atualizar o seu blog, \u00a0melhor.\u00a0Isso porque quando eles lan\u00e7am novas atualiza\u00e7\u00f5es, eles divulgam quais foram a melhorias e falhas corrigidas na vers\u00e3o atual.<\/p>\n
Atualiza\u00e7\u00f5es s\u00e3o lan\u00e7adas para melhorar a funcionalidade do site e corrigir falhas de seguran\u00e7a encontradas no c\u00f3digo, seja o WordPress, Plugin, ou Tema.<\/p>\n
Por padr\u00e3o, o WordPress exibe a sua vers\u00e3o no\u00a0cabe\u00e7alho do blog (header.php), \u00e9 uma forma que equipe de desenvolvimento do WordPress tem para ver quantas pessoas est\u00e3o usando a vers\u00e3o, etc …
\nNo entanto, isto \u00e9 um grande atrativo no seu site dizendo ao hacker o que ele tem que fazer, j\u00e1 que dessa forma ele saber\u00e1 exatamente qual a vers\u00e3o do WordPress\u00a0que voc\u00ea usa em seu blog.<\/p>\n
Em alguns temas(poucos) as probabilidades s\u00e3o de que o desenvolvedor tomou a\u00a0precau\u00e7\u00e3o de remover a meta tag.<\/p>\n
<meta name=\"generator\" content=\"WordPress <?php bloginfo('version'); ?>\" \/><\/pre>\nque fica dentro do arquivo header.php,\u00a0mas \u00e9 sempre melhor ter a certeza, ent\u00e3o\u00a0abra seu arquivo functions.php e adicione a linha abaixo:<\/p>\n
<?php remove_action('wp_head', 'wp_generator'); ?><\/pre>\nDica de Seguran\u00e7a 3:\u00a0N\u00e3o utilize o login padr\u00e3o “admin” do WordPress.<\/h2>\n
Ao fazer uma nova instala\u00e7\u00e3o do WordPress em sua hospedagem, geralmente \u00e9 criado um usu\u00e1rio “padr\u00e3o” chamado “admin”, que passa a ser o usu\u00e1rio “principal” do site e que tem permiss\u00e3o a tudo dentro do painel de controle(wp-admin) do seu WordPress.<\/p>\n
Se voc\u00ea utiliza esse usu\u00e1rio “admin”, provavelmente \u00a0voc\u00ea j\u00e1 fez metade do trabalho para o hacker, pois agora ele s\u00f3 precisa adivinhar a senha de acesso, que se for fraca, provavelmente ele ir\u00e1 descobrir fazendo v\u00e1rias tentativas de acessos por for\u00e7a bruta (rob\u00f4s que tentam v\u00e1rias senhas aleat\u00f3rias at\u00e9 descobrir).<\/p>\n
Para evitar esse acesso n\u00e3o autorizado, altere o usu\u00e1rio “admin” para outro nome mais dif\u00edcil de ser adivinhado, sugiro a n\u00e3o utilizar nada relacionado ao seu nome ou o dom\u00ednio do site, tamb\u00e9m utilize letras mai\u00fasculas e n\u00fameros para esse usu\u00e1rio.
\nVoc\u00ea pode fazer essa altera\u00e7\u00e3o de duas formas:<\/p>\n
\u00c9 recomendado o uso de senhas que contenham n\u00fameros (0-9), letras (A-Z) e caracteres especiais (#$&*@!) ao mesmo tempo e com no m\u00ednimo 12 caracteres.<\/p>\n
Abaixo algumas dicas para voc\u00ea tomar alguns cuidados com suas senhas:<\/p>\n
Voc\u00ea poder\u00e1 adicionar uma camada extra de seguran\u00e7a para proteger o acesso ao admin do seu WordPress. Um plugin muito \u00fatil \u00e9 Login LockDown<\/a>, que registra o endere\u00e7o IP e data e hora de todas as tentativas falhas de login no WordPress, al\u00e9m de bloquear o IP ap\u00f3s um determinado n\u00famero de logins que falharam. Este plugin \u00e9 extremamente \u00fatil quando contra um ataque de for\u00e7a bruta, j\u00e1 que bloqueia o IP por um tempo determinado\u00a0de quem executa o ataque de for\u00e7a bruta.<\/p>\n No v\u00eddeo abaixo um exemplo de\u00a0Brute-force attack no Worpress:
\n