Uma grande falha de segurança é deixar que sejam exibidos os arquivos contidos em suas pastas de sistema. Isso se deve ao fato de que niguém precisa saber o que você tem ou deixa de ter instalado no seu wordpress e também porque podem ser exploradas vunerabilidades em alguns arquivos.

Podemos dar dois exmplos rápidos do perigo:

1. Qualquer “hacker” mixurca vai saber se a sua versão está atualizada ou não. bastando comparar os arquivos chaves, que podem ser baixados, ao da nova versão e assim explorar os bugs que foram corrigidos.
2. Ele terá acesso ao seus plugins instalados e com isso pode, também, se aproveitar de alguma vunerabilidade.

Viu como é perigoso?? Porém corrigir isso é simples demais. Vamos ver no passo a passo abaixo:

1. Você deve acessar o cpanel da sua hospedagem.
2. Vá até Ferramentas avançadas ou Avançadas e clique em Gerenciador de índice.
3. Escolha as pastas que você quer proteger e clique nela
4. Escolha a opção Não Indexes (caso não esteja escrito dessa forma procure a opção mais proxima)
5. Salve a opção e em outra janela teste. Deverá aparecer uma pagina 404 ou uma página em branco.
6. Repita o procedimento para as outras pastas.

É importante que se tenha essa regra para as pastas wp-content, wp-admin e wp-includes.

Obs: Esta dica serve para sites e forum também.

Veja como aumentar a segurança do seu blog com 5 dicas de implementação simples.

Segurança

Vamos abordar alguns metodos para aumentar a segurança do wordpress. A idéia é que possamos dificultar o máximo qualquer investida de um BOT ou uma pessoa indesejada.

Desabilite o registro de usuários

Se você não utiliza o registro de usuários para os comentários, então é melhor desabilitar o registro para não ser pego de surpresa. Para desabilitar o registro siga as seguintes instruções:

• Entre no painel de administração do seu blog
• Clique nas Configurações
• Desmarque a caixa de seleção “Qualquer pessoa pode se registrar”

• Salve as atualizações

Aproveite a oportunidade e apague o arquivo wp-register.php da raiz do seu blog, assim você terá mais proteção e evitará que curiosos tentem se registrar.

Coloque uma senha para a pasta wp-admin

Colocar a segurança em duas camadas, pasta wp-admin e wordpress, faz com que o blog fique menos vuneravel a ataques e invasões, pois além da senha normal para entrar no wordpress teremos a proteção de mais uma senha para a pasta. Quase todos os servidores de hospedagem oferecem o serviço de proteção de diretório com senha. Para faze-lo é bem simples ( o processo pode ser um pouco diferente, mas a essência é a mesma) :

• Entre no painel de controle da hospedagem
• Clique no icone de Proteger diretório com senha
• Selecione o local que deseja adicionar a proteção
• Marque a caixa de proteger com senha e salve
• Crie um usuario e senha para acessar a pasta e salve

Obs: Caso você não consiga colocar a senha, peça auxilio ao seu suporte da hospedagem.

Lembro que o usuário e senha para a pasta deve ser diferente do que é utilizado no wordpress a fim de aumentar a segurança.

Renomeie o usuário admin

O usuário admin é padrão para os blogs do wordpress e pode ser utilizado para invasões, por isso é muito importante que você edite-o. Para renomea-lo é necessário que seja feito pelo banco de dados, já que o wordpress não permite que você altere o nome dele na edição do profile, mas o processo tb é simples.

• Abra o painelde controle do seu serviço de hospedagem
• Clique no icone phpmyadmin
• Escolha o banco de dados do seu blog
• Clique na tabela wp-users
• Clique na guia visualização e edite o usuário admin, clicando no livrinho (Editar)
• Execute e feche o phpmyadmin
• confira no blog se está renomeado

Atualize sempre

As atualizações do wordpress ou dos plugins que você utiliza são de suma importância e não devem ser desconsideradas de forma alguma. Com elas você estará mais protegido contra vunerabilidades e problemas de falha de segurança.

Para atualizar o wordpress, você pode usar o plugin WordPress Automatic Upgrade que automatiza o processo de upgrade do wordpress. Já os plugins podem ser feitos pela página de plugins que temos dentro do painel de admnistração.

Só tenha plugins que você usa

Não mantenha arquivos de plugins que estão desativados ou que você não utilize mais. Eles podem conter problemas de segurança e deixa o caminho aberto para invasões.

O ideal é que você deixe somente os arquivos de plugins que utiliza, pois além de aumentar sua segurança economiza espaço também.