O WordPress se tornou o CMS mais popular do mundo. Porque é tão popular, isso é ainda mais um motivo para melhorar a segurança do WordPress, se você estiver usando para o seu site. A maioria das pessoas entende como tornar a própria página segura, mas se você não estiver se concentrando na segurança do seu site WordPress limitando o acesso a arquivos e pastas importantes, ainda estará em risco. Para fazer isso, você não estará fazendo nenhuma alteração no próprio WordPress, mas alterando como o WordPress é executado em um servidor e quanto acesso os usuários têm aos seus arquivos.
Os sites do WordPress são compostos de uma série de arquivos e pastas, cada um com suas próprias URLs exclusivas, o que significa que, se alguém digitar o URL correto, poderá acessar ou alterar arquivos confidenciais que executam seu site. Um dos alvos mais comuns para esse tipo de invasão é a pasta wp-includes, então vamos adicionar algum código adicional ao arquivo de configuração do servidor para reforçar a segurança e evitar esses tipos de ameaças. Quando terminarmos com isso, qualquer um que tentar acessar esses arquivos será redirecionado novamente.
Para começar, você vai querer abrir o arquivo .htaccess para o seu site. Você pode fazer isso através de qualquer editor de texto, não importa qual, porque tudo o que estamos fazendo é adicionar um pequeno trecho de código ao arquivo. Você notará que o arquivo já possui código gerado pelo WordPress. Em uma das primeiras linhas de código, você encontrará uma linha que diz # BEGIN WordPress
. Diretamente acima deste código, adicionaremos as linhas adicionais de código, que fortalecerão as defesas do site restringindo o acesso à pasta wp-includes.
# Blocking web access to the wp-includes folderRewriteEngine OnRewriteBase /RewriteRule ^wp-admin/includes/ - [F,L]RewriteRule !^wp-includes/ - [S=3]RewriteRule ^wp-includes/[^/]+.php$ - [F,L]RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]RewriteRule ^wp-includes/theme-compat/ - [F,L]
Depois disso, basta carregar novamente o arquivo para o servidor e pronto. Embora as alterações aqui pareçam pequenas, elas podem ter um grande impacto nas defesas do seu site. Como muitas das funções avançadas do WordPress estão localizadas na pasta wp-includes, elas são um alvo importante para os hackers perseguirem. Com essas alterações implementadas, quando os usuários tentarem acessar essa pasta, eles serão redirecionados automaticamente para a página inicial de seu site.
Nosso próximo passo para fortalecer a segurança do WordPress é limitar o acesso ao arquivo wp-config.php. Quando você criou seu site WordPress, você tinha que criar um nome de banco de dados, nome de usuário, senha e prefixo de tabela, que está contido no arquivo wp-config.php. O motivo pelo qual você deseja proteger este arquivo é porque contém as informações que o WordPress precisa para conversar com o banco de dados e, a longo prazo, controlar seu site.
Para proteger seu arquivo wp-config.php, você precisará apenas de alguns passos simples. Primeiro, vamos querer abrir o arquivo .htaccess novamente. Em seguida, vamos querer copiar o trecho de código abaixo e colá-lo em nosso arquivo .htaccess, assim como fizemos no passo 1.
# Blocking web access to the wp-config.php fileorder allow,denydeny from all
Por fim, salve e recarregue o arquivo.
Como você pode ver nas etapas 1 e 2, o arquivo .htaccess pode ser intrínseco à defesa do seu site WordPress contra ameaças externas mal-intencionadas. É por isso que nesta etapa vamos proteger o arquivo .htaccess, impedindo que os hackers removam as proteções que já implementamos.
Para fazer isso, abriremos novamente o arquivo .htaccess. Em seguida, insira o código abaixo no código existente.
# Securing .htaccess fileorder allow,denydeny from allsatisfy all
E com essa simples adição, seu arquivo .htaccess está protegido contra ameaças externas.
Para a etapa final, estaremos negando aos hackers acesso a uma das ferramentas mais destrutivas que eles poderiam ter em mãos: o Editor dentro do painel do WordPress. Ele permite que você edite seus arquivos de tema, o que é útil, mas pode ser perigoso. Se uma pessoa, além de você, tiver acesso a ela, poderá alterar seu código e invadir seu site.
Com este projeto, estaremos removendo o Editor do painel do WordPress. Ao invés de acessar o arquivo através do WordPress, eu recomendo que você o acesse através de um cliente FTP como o FileZilla, que é melhor para a integridade do site.
Então, para fazer este projeto, primeiro queremos abrir o arquivo wp-config.php. Assim que tivermos essa abertura, vamos para o final do código, aqui você encontrará o texto “Isso é tudo, pare de editar! Blogging feliz ” . Logo antes deste texto, vamos adicionar o código abaixo para remover a edição de arquivos inteiramente do WordPress.
define('DISALLOW_FILE_EDIT', true);
Depois de adicionar o código, salve o arquivo e faça o upload novamente no servidor. Agora o seu site WordPress está protegido contra qualquer acesso do seu site e tentar manipular o código.
Se você seguir todas essas etapas, seu site será muito mais seguro. Ao reduzir a quantidade de acesso dos hackers aos arquivos importantes para a execução do seu site, você aumentou a segurança geral do seu site WordPress.