Nos dias de hoje, toda a segurança do seu blog WordPress é pouca. O seu blog é seguro? Deixamos-lhe hoje uma dica muito simples de implementar, para prevenir o envio de mensagens particulares e importantes a hackers que pretendam de alguma foram forjar o sistema de segurança do seu blog.

Quando você tenta efectuar login no seu blog, e por ventura falha o acesso, o WordPress mostra-lhe uma mensagem de erro a explicar o que sucedeu. Na verdade essa mensagem até pode ser importante para si, é verdade, mas é também potencialmente interessante para hackers.

Para remover essas mensagens de erro, abra o seu ficheiro functions.php e cole lá dentro o seguinte código:

add_filter('login_errors',create_function('$a', "return null;"));

E é tudo! Acabaram-se as mensagens de erro!

Bons truques! Até Já!

Outros artigos de interesse:

• 10 novidades fantásticas do novo Wordpress 3.0
• Tutorial: Como criar um template Wordpress de raíz (parte 1)
• 10 coisas para fazer depois de instalar o Wordpress
• LinkWithin – Coloque artigos relacionados no seu blog com thumbnail automático
• 5 plugins para criar um site de e-commerce em Wordpress
• Template FREEmium traduzido para Português
• Fantástica Lista de ícons RSS para os seus blogs
• Novos temas Revolution Two disponíveis para download gratuito!
• Template Wordpress Maggo Magazine em Português
• Diversas opções para melhorar o interface de comentários do seu Wordpress

1- GUARDAR A BASE DE DADOS

O WordPress necessita de uma base de dados e não se preocupa se você partilha essa mesma base de dados com outras aplicações.

No entanto, existem algumas precauções que deverá ter quando cria as suas bases de dados para blogs em Wordpress:

• Crie uma base de dados para o WordPress. O WP utiliza apenas algumas tabelas de uma base de dados MySQL, mas é melhor que providencie uma base de dados somente para o seu blog, ao invés de a partilhar com outros aplicativos.
• Garanta acesso ilimitado à base de dados. Crie um utilizador com acesso à base de dados apenas e garanta acesso ilimitado aos comandos SQL dessa mesma base de dados (select, insert, delete, update, create, drop e alter).
• Utilize uma password forte. As melhores passwords são seguramente aquelas que são criadas aleatoriamente pelo sistema.

Para os menos conhecedores como nós, estas operações são executadas a partir do Painel de Controlo. No entanto, para os mais conhecedores sobre MySQL, ficam as seguintes queries que poderão utilizar para executar a segurança:

$ mysql -u root -p
mysql> CREATE DATABASE 'myblog';
mysql> GRANT SELECT, INSERT, DELETE, UPDATE, CREATE, DROP, ALTER on myblog.* to 'bloguser'@'localhost' identified BY 'mypassword';
mysql> flush PRIVILEGES;
mysql> exit;

2- NÃO UTILIZAR O LOGIN ‘ADMIN’

Se por ventura instala o WordPress manualmente, isso envolve modificar manualmente a base de dados. Os utilizadores do Fantastico conseguem definir um utilizador Admin e password como parte do processo de instalação. Existem mais campos para preencher mas pelo menos a sua segurança fica salvaguardada.

$ mysql -u bloguser -p
Password: mypassword
mysql> USE myblog;
mysql> UPDATE wp23jk1_users SET user_login='myadm' WHERE user_login='admin';
mysql> exit;

Poderá utilizar o interface do phpMyAdmin e utilizá-lo na base de dados correcta, que na verdade é a hdlee_blogbuild. Depois disso, o seu o seu login deixará de ser ‘admin’ para passar a ser ‘myadmin’.

3- UTILIZE UMA PASSWORD SEGURA

Alterar o seu username para um outro qualquer não significa que você esteja livre de problemas. Se por ventura utilizar uma página de perfil multi-autor no seu blog, é bem provável que exponha o seu username às massas, pelo que a sua segurança fica comprometida.

Assumindo esse problema, deverá seleccionar uma password segura para o seu blog Wordpress, que combine tanto letras grandes como pequenas, e ainda números.

4- UTILIZE UM LOGIN SEGURO ATRAVÉS DE UM CANAL SEGURO

Os utilizadores do WordPress que têm o SSL ligado para o seu domínio (Fale com o seu provedor de alojamento/hospedagem primeiro) deverão utilizar um canal seguro para acederem ao painel de controlo do seu blog WordPress. Poderá forçar sessões de administrador via HTTPS colocando a variável FORCE_SSL_ADMIN em TRUE no seu ficheiro wp-config.php.

Copie e cole o seguinte código no seu ficheiro wp-config.php.

define('FORCE_SSL_ADMIN', true);

5- ACTUALIZE SEMPRE QUE SAIR UMA NOVA VERSÃO

Quando a organização do WordPress lança uma nova versão, especialmente uma que inclui melhorias ao nível da segurança, é primordial que actualize de imediato o seu blog, ainda que inclua novidades que você não vai utilizar.

6- FAÇA BACKUP DOS SEUS FICHEIROS E BASE DE DADOS

Instale um plugin ou utilize um cronjob para criar uma base de dados e backups dos seus ficheiros todos os dias. Isto pode não estar directamente relacionado com segurança, mas no caso de intrusão, você irá ficar seguramente satisfeito de ter um backup.

Um dos plugins mais potentes para backup é o WP-Backup, que tem a possibilidade de enviar automaticamente os seus backups para a sua conta do Gmail, sem que você se tenha de preocupar com isso.

7- ESCONDA OS SEUS DIRETÓRIOS

Por defeito na grande maioria dos alojamentos/hospedagens, o index das diretorias aparece nos browsers de internet. Isso tem um propósito, mas também significa que você revela o conteúdo de qualquer diretório do seu blog que não contenha uma página index.html ou index.php.

Modificar este comportamento é simples com Apache, adicionando a seguinte linha de código ao ficheiro .htaccess que se encontra na raíz do seu servidor:

Options All -Indexes

8- PROTEJA OS FICHEIROS DE ADMINISTRAÇÃO DO SEU BLOG

Os ficheiros de administração do WordPress estão localizados na diretoria wp-admin da sua instalação Wordpress, exceptuando o wp-config.php.

Poderá definir uma acesso restrito via .htaccess ou especificar o acesso por endereço de IP a um diretório ou ficheiro específico. Se por ventura utiliza um endereço de IP único e está sempre a bloggar a partir do seu PC, esta poderá ser uma opção.

Tome nota de que poderá extender o acesso a uma gama de IPs.

Irá necessitar de criar e colocar um ficheiro .htaccess no seu diretório wp-admin.

Exemplo:

Order Deny,Allow
Allow from ww.xx.yy.zz
Deny from all

Protejendo a diretoria wp-admin com user e password adiciona também um outro nível de segurança. O Apache tem informação completa sobre autenticação, autorização e controlo de acessos.

Exemplo:

AuthType Basic
AuthName "WordPress Dashboard"
AuthUserFile /home/user/.htpasswds/blog/wp-admin/.htpasswd
Require user adminuser

e depois basta criar uma password encriptada utilizando o comando htpasswd.

$ htpasswd -cm .htpasswd adminuser

O cPanel tem uma opção intitulada Web Protect que permite executar precisamente estes passos.

9- ESCONDER A VERSÃO DO SEU BLOG WORDPRESS

Esconder a versão do seu blog Wordpress é um processo relativamente simples. Leia este artigo que escrevemos há poucos dias sobre como esconder a versão do seu blog Wordpress.

Outros artigos de interesse:

• 10 dicas para fazer o seu blog Wordpress sobressair da concorrência!
• Tutorial: Como alterar o aspecto do seu painel de administração WP2.7
• 20 plugins Wordpress incríveis e compatíveis com o Wordpress 2.7
• Como esconder a versão do seu Wordpress no código do seu blog?
• 5 plugins para modificar completamente o seu painel de administração Wordpress
• Protecção do seu blog Wordpress com password e .htaccess
• Como aumentar a segurança de seu blog? 10 plugins para ajudar!
• 9 plugins Wordpress para criar uma comunidade paga (membership)
• 10 novidades fantásticas do novo Wordpress 3.0
• 10 truques para Wordpress que lhe vão facilitar a vida

Ultimamente têm aparecido cada vez mais casos de utilizadores que descarregaram temas Wordpress que continham links internos e o utilizador na verdade sem sabia.
Há também aqueles que sofreram ataques à segurança do blog, e viram uma série de código malicioso injectado no tema, e também não o sabiam.
É importante então saber como confirmar que o template Wordpress que utiliza não foi hackeado, ou que pelo menos não sofreu nenhum ataque à sua segurança e integridade.

Como saber se o seu template foi hackeado?

Uma das formas mais práticas de verificar se o seu template foi hackeado, é abrindo o blog no seu browser e carregando no botão direito do rato para ver o Código Fonte (Source Code) do template.
Geralmente os links ilegais injectados, são colocados no header ou no footer do seu template, pelo que é importante analisar estes dois locais com cuidado.
Esses links são usualmente direccionados para farmácias, drogas, pilulas, cartões de crédito e sistemas afins.

Se utiliza o Firefox, você tem ainda uma outra possibilidade bem interessante.
Abra o separador Ferramentas (Tools), depois clique em Informação de Página (Page Info) e de seguida escolha Links.

Esta secção mostra-lhe uma listagem de todos os endereços URL externos que estão dentro da página que você está a ver, pelo que é extremamente simples encontrar algum link relacionado com farmácias, drogas ou afins.
É aconselhável também, que faça um scan exaustivo a diversos ficheiros do seu template e também aos ficheiros de instalação do Wordpress, na procura de qualquer link ou informação suspeita.

Como resolver o problema de links maliciosos?

Geralmente quando um blog sofre um ataque é porque estava a fazer uso de uma versão do Wordpress inferior. Neste momento o Wordpress está na versão 2.5.1, pelo que utilizar versões anteriores é perigoso do ponto de vista da segurança e integridade do seu blog.
Um dos grandes conselhos que lhe posso dar, é o de se manter actualizado quanto à sua versão do Wordpress. O plugin Automatic Upgrade é a forma mais simples e eficaz de actualizar a sua versão do Wordpress sem correr qualquer tipo de risco.

Outra opção,  será a criação de um ficheiro .htaccess, que apenas possibilite aceder ao painel de administração do seu blog, determinados IPs.
Crie um ficheiro com esse nome e aplique o código seguinte no seu interior:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Example Access Control”
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xx
allow from xx.xx.xxx.xx
</LIMIT>

Depois coloque esse ficheiro dentro da pasta /wp-admin/, para bloquear o acesso apenas aos seus IPs, sendo que terá de preencher o código com os IPs que pretende que acedam a essa informação.

Uma última opção poderá ser o desligar da navegação nas directorias, para que ninguém tenha acesso aos plugins que você utiliza, às suas pastas internas e toda a informação acerca do seu tema.
Para fazer isso, procure o ficheiro .htaccess que se encontra na raíz do seu servidor, e adicione a linha de código: Options -Indexes

Há também quem renove as passwords do painel de administração com alguma regularidade, para evitar problemas, e há também que remova o ficheiro theme-editor.php da pasta WP-Admin, embora estas duas acções sejam um pouco mais agressivas do que o recomendado.

Proteja-se e confirme se o seu template Wordpress não foi hackeado!

Até Já!

Outros artigos de interesse:

• Como alterar o seu Wordpress Inglês para Português
• 9 formas de aumentar a segurança do seu blog já!
• Como esconder a versão do seu Wordpress no código do seu blog?
• Wordpress 2.6.3 disponível para download
• Wordpress-Love v2.0 renasce com nova imagem!
• Como aumentar a segurança de seu blog? 10 plugins para ajudar!
• Links curtos com o Wordpress 3.0
• 10 novidades fantásticas do novo Wordpress 3.0
• 10 templates wordpress grátis para galerias
• Como criar uma página de arquivos eficiente e fantástica para o seu blog!