Proteja o seu CMS WordPress

Julho 2017





Devido à sua facilidade de uso e variedade de opções, o WordPress CMS (Content Management System) é propenso a alguns problemas de segurança. Enquanto a maioria dos problemas de segurança já foi resolvida, Wordpress ainda é vulnerável a robôs web maliciosos e hackers. Como garantir que essas falhas de segurança não aconteçam e adotar as melhores práticas?


Assegurar o acesso ao painel de controle do WordPress


Depois que o CMS estiver ativo, ele pode ser acessado pelo usuário Administrador. Mas este nome de usuário deve ser alterado para a segurança.
  • Criar um novo ID de usuário administrativo e remover o nome de usuário admin
    • desktop => Usuários => Convidar usuários

  • Use o novo ID de usuário administrativo para se conectar ao painel de controle do WordPress. Neste ponto, todas as publicações, utilizando o identificador Administrador, podem ser atribuídas a outro autor

Você também deve escolher uma senha forte (uma combinação de números, letras, símbolos e letras maiúsculas). Cada um dos administradores devem ter senha de suas contas.

Conjuntos dos direitos de usuário

  • O CMS Wordpress permite que você defina o papel de cada usuário (colaborador, autor, editor, administrador, apoiador)

  • Limite o papel de administrador em um mínimo, para evitar a má gestão ou a instalação inadequada de extensões e temas inseguros
  • Você também pode desabilitar a instalação de extensões e temas
  • Acesse o arquivo wp-config.php localizado no diretório raiz do FTP
  • Adicione a seguinte linha: 'DISALLOW_FILE_EDIT', true

Desative o acesso ao painel de controle a partir de um website


Alguns tópicos proporcionam o acesso ao painel de controle diretamente do site, de modo que cada certificado de usuário (até certo ponto) pode acessar o conteúdo do CMS. Mas o melhor é desativar essa opção para impedir tentativas de invasão.

Renomeie o acesso ao painel de controle


Por padrão, você pode acessar o painel de controle a partir deste endereço: www.mywebsite.com/wp-login.php o wp-admin.
  • Os hackers podem usar esse endereço para corromper o site do banco de dados
  • Você pode personalizar este URL usando o banco de dados MySQL ou usar a extensão Renomear WP-login para editar

Adotar as melhores práticas

Realizar cópias de segurança de seu Website


Facilmente você pode reconstruir seu site a partir de um backup no caso de um ataque ou tentativa de hacking.

Esses backups podem ser automatizados usando extensões do WordPress:
  • BackWPup permite realizar um backup automático em uma pasta ou local específico, em um computador ou um serviço de armazenamento na nuvem (Dropbox)
  • BackUp Wordpress também fornece backup automático de arquivos (incluindo arquivos de banco de dados e instalação do Wordpress)


Nota: Você pode fazer um backup manual copiando os arquivos do diretório FTP.

Mantenha Wordpress atualizado

  • Instalar atualizações quando disponíveis e corrigir vulnerabilidades. Isto se aplica a versão do WordPress CMS e extensões instaladas

Verifique se as extensões são seguras

  • Antes de instalar uma nova extensão, verifique a sua classificação e seus comentários. Algumas extensões podem conter cavalos de Troia, a criação de um backdoor em seu site que pode ser explorado por hackers

Excluir temas e extensões não utilizados


Você precisa excluir temas e extensões que não são mais utilizados no CMS, pois podem conter falhas ou vulnerabilidades.
  • Vá para o Desktop => Aspecto => Tópicos

  • Escolha um tema não usado e apague-o

Novos seguidores


A maioria dos ataques cibernéticos começam com um simples registro no site. Para verificar os usuários registrados, acesse Desk => Usuários => Todos os usuários

  • Definir o papel de cada usuário. O papel de seguidor não tem direitos, isso pode ser uma primeira tentativa de ataques de hackers
  • Remova qualquer seguidor não identificado
  • Verifique se os assinantes não têm publicado artigos que contenham palavras-chave e links que podem afetar o posicionamento do seu site

Revisar os comentários

  • Os comentários devem ser revistos regularmente (spam, links para sites maliciosos, etc.)
  • O plugin Akismet pode gerenciar automaticamente a publicação de comentários

Veja também

Artigo original publicado por . Tradução feita por ninha25. Última modificação: 2 de julho de 2014 às 08:59 por ninha25.
Este documento, intitulado 'Proteja o seu CMS WordPress ', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.