Encerrado

Especialista em Wordpress

Tenho um site em Wordpress que está precisando de algumas configurações de segurança de acordo com regras do meu servidor.

O site foi feito por mim, mas essas questões de permissões e segurança não tenho muita experiencia e prefiro contratar um profissional que saiba fazer. 

Aparentemente estão conseguindo acessar o site e colocar trojans dentro dele. O acesso não acontece via FTP, pois eu mantenho bloqueado. Estão entrando pelo WP mesmo...

Algumas das alterações de segurnaça são:

Permissões

As permissões dos diretórios e arquivos são, muitas vezes, negligenciadas pelos administradores de diversos sites. Permissões definidas incorretamente podem abrir um leque de oportunidades para as ações dos invasores. Abaixo, as permissões que devem ser definidas no conteúdo de sua ferramenta:

– Permissão 755 para diretórios;

– Permissão 644 para arquivos;

– Permissão 400 ou 600 (para caso algum plugin necessite de permissão de escrita) no arquivo [url removed, login to view];

– Permissão 600 no arquivo [url removed, login to view];

 

[url removed, login to view]

Este é o arquivo de principal de configuração do WordPress, e possui informações essenciais para o funcionamento do CMS, protegê-lo é extremamente importante.

– Usar permissão 400 ou 600 quando algum plugin ou tema necessitar permissões de escrita no [url removed, login to view];

– Proteger o conteúdo através do .htaccess inserindo o seguinte conteúdo:

order allow,deny

deny from all

– Fazer o uso das seguintes constantes do WordPress:

define ( ‘DISALLOW FILE EDIT’, true );

Utilizando esta constante, não será possibilitado ao usuário editar os arquivos de plugins e temas através da área de administração do WordPress.

define ( ‘DISALLOW FILE MODS’, true );

Esta constante tem a mesma funcionalidade da anterior, porém, também evita a instalação e atualização do core, plugins e temas.

– Atualize das chaves únicas de autenticação e salts, um novo salt pode ser gerado no seguinte link:[url removed, login to view]

Banco de dados

– Não utilize o prefixo padrão (wp_) nas tabelas do seu banco de dados, opte por um prefixo personalizado;

– Renomeie o usuário “admin” caso ele ainda seja utilizado;

Exclusão de arquivos

Alguns arquivos disponibilizam informações sobre o CMS instalado, ao qual podem servir de munição para os invasores. Estes arquivos não são utilizados após a ferramenta instalada, sendo assim, é recomendada a exclusão destes arquivos.

/[url removed, login to view]

/wp-admin/[url removed, login to view]

/[url removed, login to view]

/[url removed, login to view]

[url removed, login to view]

Alguns conteúdos importantes do seu site não devem ser indexados pelos buscadores, sendo assim insira o conteúdo abaixo no arquivo [url removed, login to view] para evitar a indexação destes conteúdos:

User-agent: *

Disallow: /feed/

Disallow: /trackback/

Disallow: /wp-admin/

Disallow: /wp-content/

Disallow: /wp-includes/

Disallow: /[url removed, login to view]

Disallow: /wp-

Você faze esse tipo de serviço? Podemos conversar?

Obrigado.

Att.

Ricardo

Habilidades: DOS, Drupal, Joomla, Squarespace, WordPress

Veja mais:

Acerca do Empregador:
( 1 comentário ) Brazil

ID do Projeto: #12404414