Proteger seu CMS Wordpress

Dezembro 2016

Fácil para carregar, o sistema de gerenciamento de conteúdo generalizado (CMS/) Wordpress também tem seus limites. Algumas falhas de segurança foram atualizadas: estes podem ser explorados por ambos os robôs web maliciosos por hackers. Como proteger essas lacunas e adotar bons reflexos protetores?


Os principais pontos para garantir Wordpress

Acesso seguro na administração do site


Quando o CMS está habilitado, ele é acessível com um nome de usuário "admin" por padrão. O identificador tem que ser mudado. Para tanto, crie uma nova ID de usuário administrativo e exclua o nome de usuário "admin", conectando-se com o novo perfil de administração.
Painel => Usuários => todos os usuários, selecione "admin" e exclua. Confirme a eliminação.



Se os itens são atribuídos ao identificador "admin" , é possível, nesta fase, atribuir a outro autor.
É bom saber : escolher um ID administrativo que difere a partir da assinatura dos artigos, por exemplo, com uma letra mais ou menos .

A senha também deve ser segura. Escolha uma senha forte, com números, letras, símbolos e letras maiúsculas. Fornecer senhas diferentes se o site for acessível para vários administradores.

Restringir os direitos dos usuários


Se vários redatores são encorajados a trabalhar no site, verifique as funções de administração. Wordpress CMS propõe várias funções: administrador, editor, autor, contribuinte, subscritor.
Limitar a função de administrador a um mínimo, para evitar uso indevido ou que extensões e novos temas não protegidos sejam instalados.

Também é possível limitar aos editores a instalação de extensões e temas manualmente:
Acesse o arquivo wp-config.php à la racine du FTP,
Adicione a linha define ('DISALLOW_FILE_EDIT', true );

Desative o acesso à administração a partir do site


Alguns temas oferecem acesso à administração diretamente ao site. Neste caso, cada usuário registrado pode, na medida das permissões definidas, acessar os conteúdos do CMS.
É melhor desabilitar essa opção para evitar tentativas de intrusão e de registro por robôs (veja abaixo: verificar se há novos assinantes).

Renomear o acesso ao painel de administração


Por padrão, o painel de controle está disponível a partir do endereço www.monsite.fr/wp- login.php ou wp -admin. É neste endereço que os hackers podem tentar se conectar ao corromper o banco de dados.

É possível alterar o link para personalizar o endereço do painel de acesso e torná-lo menos visível. Esta manipulação é possível a partir da base MySQL .

Algumas extensões , como WP -login Rename propõem mudar o link. Tenha o cuidado de anotar o novo URL, já que o primeiro não está mais acessível.

Boas práticas diárias

Realizar backup regular do site


Se o site for atacado, ou que seja objeto de uma tentativa de ataque e uma vulnerabilidade for detetada, será mais fácil usar um backup limpo para reconstruir o local.
Esses backups podem ser automatizados usando extensões no painel Wordpress.

Alguns exemplos:
  • BackWPup permite o backup automático para um determinado local, seja em um computador ou em um armazenamento externo, por exemplo, Dropbox,
  • BackUp Wordpress também fornece um backup automatizado de arquivos , incluindo os arquivos de banco de dados e a instalação Wordpress.

Nota: é possível fazer-se um backup regular, copiando os arquivos a partir do ftp.

Mantenha-se atualizado Wordpress


Instalar atualizações quando eles estão disponíveis no painel de controle. Isso se aplica à versão do CMS, por várias extensões instaladas.
Quando CMS ou extensões são atualizadas, as falhas que foram detectadas em uma versão anterior estão corrigidas. Sem atualizar a falha ainda continuará presente.

Verifique a proteção das extensões


Antes de baixar uma nova extensão no CMS, verificar o número de notas, bem como os conselhos dados em Wordpress.org/plugins.

Pareceres negativos, ou um número muito baixo de boas notas pode ser um indicativo da falta de segurança de uma extensão. Também pode ser extensões sensíveis contendo um cavalo de Troia que abrem uma porta para os hackers.

Excluir temas e extensões inutilizadas


Porque eles também podem ter falhas, é necessário excluir temas e extensões que não são mais usados no CMS.

Temas não utilizados podem ser retirados a partir do Dashboard => Aparência => Temas. Selecione um tema inútil e exclua.

Extensões estão disponíveis para extensões => extensões instaladas. Quando não estiver ativa, as extensões podem ser desinstaladas, clicando em "delete". Se elas não são usadas, mas continuam ativadas, você deve desativá-las antes de apagar.

Confira os novos assinantes


Uma tentativa de ataque também pode começar com um simples registro no site. Para verificar os usuários registrados no [/ wordpress download/telecharger-34055460-wordpress], acesse o Painel de Controle => todos os usuários.

Um papel é dado a cada usuário registrado no site: administrador, redator, autor, colaborador, assinante. O papel do assinante não tem nenhum direito, no entanto, este pode ser um primeiro gateway de tentativas de ataques.

Selecione os perfis desconhecidos => excluir => aplicar.
Verifique que os assinantes não postaram artigos, escondido ou registrado links com palavras-chave que podem ser visíveis aos motores de busca e provocar prejuízo de referenciamento do site.


Monitorar e limpar os comentários


Os comentários também podem ser limpos regularmente , especialmente para evitar os links maliciosos no [ / blog download/telecharger-34076471-blog].

Algumas extensões oferecem tal seleção automática. Este é o caso de Akismet Plugin, que pode ser ativado a partir do painel de controle, com a condição de informar uma chave API acessível gratuitamente.
Este tipo de extensão classifica automaticamente os comentários indesejados na categoria de "indesejável".

Veja também

Artigo original publicado por . Tradução feita por ninha25. Última modificação: 28 de março de 2014 às 10:21 por ninha25.
Este documento, intitulado 'Proteger seu CMS Wordpress', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.