Protegendo a instalação do Blog do WordPress

Navegue suas respostas
7

Além de ter senhas seguras para minhas conexões de usuário e banco de dados do meu blog, o que devo fazer para garantir que minha instalação do WordPress seja segura em meu servidor compartilhado Linux?

    
por Mike Grace 20.07.2009 / 22:09

7 respostas

6

Acho que as melhores sugestões estão bem explicadas no documento oficial "Hardening Wordpress":

link

No final, essas são as mesmas sugestões para todas as aplicações disponíveis:

  • Mantenha-o atualizado.
  • Use boas senhas
  • Reduza as informações que você está apresentando (versões, informações do servidor, etc.).

Se você quiser melhorar a segurança com a obscuridade (não apenas o pensamento, mas como uma medida adicional), este documento fornece algumas ideias:

link

    
por 21.07.2009 / 23:24
8

Verifique se você não definiu as permissões de arquivo para o 'chmod 777', como alguns guias farão com você. Analise tudo o que a sua conta ou grupo de servidor da Web possa gravar e garanta que são apenas áreas que você espera que sejam atualizadas dinamicamente (imagens, anexos, etc.).

    
por 20.07.2009 / 22:41
5

Faça login somente em uma conexão SSL.

Se você for a um café e fizer login no link , sua senha será enviada em texto não criptografado e ficará facilmente visível para alguém farejando a rede no café e todos os roteadores entre você e o servidor.

Se você mover a página de login do seu blog para um servidor seguro e forçar os usuários a fazer login usando SSL no link , a senha será criptografado à medida que é enviado ao servidor.

Você pode adicionar algum código PHP ao wordpress como este 

if(strpos(strtolower($_SERVER['REQUEST_URL']),'wp-admin')===true 
      && $_SERVER['HTTPS']!='ON')
{
    Header("Location: https://www.yourblog.com/wp-admin/")
}

ou use um arquivo .htaccess para impor o login SSL, que seria algo como isto: 

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
    
por 24.07.2009 / 15:16
4

Algumas pessoas renomear páginas como wp-admin.php para reduzir o rastreamento.

    
por 21.07.2009 / 01:47
4

Proteja seu diretório / wp-admin /. Bloqueie / wp-admin / para que apenas determinados endereços IP possam acessar esse diretório. Você pode usar um arquivo .htaccess, que pode ser colocado diretamente em /wp-admin/.htaccess. É assim que se pode parecer: 

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
# whitelist home IP address
allow from 69.148.58.93
# whitelist work IP address
allow from 69.148.59.6
allow from 69.148.58.92
# IP while in Kentucky; delete when back
allow from 63.144.53.91

Josh

    
por 24.07.2009 / 14:01
3

Certifique-se de que sua instalação do WordPress esteja atualizada. Acompanhe o RSS e verifique as atualizações pelo menos uma vez por semana.

Se houver uma atualização, comece o processo de instalação o mais cedo possível, obviamente sem interromper os negócios, se é isso que você está usando o WP.

    
por 20.07.2009 / 22:39
2

Use um nome de usuário / senha exclusivos para sua conexão com o banco de dados.

    
por 21.07.2009 / 00:24

Tags

Se você pudesse voltar no tempo, ainda escolheria a TI? [fechadas] o que fazer com o hardware antigo