Hacking de computador: esse é o novo flagelo que ameaça milhões de blogs cada. Todos os dias, dezenas de milhares de blogs são invadidos, forçando seus proprietários a abandonar tudo ou começar tudo de novo. E não é porque nunca tenha acontecido que você deve pensar que está seguro. Além disso, não são apenas os famosos blogueiros que são invadidos.
Basta um concurso de hackers no Paquistão (como aconteceu há alguns meses) para ver mais blogs franceses do 125.000 sendo invadidos. Para alguns piratas, é um jogo, para outros, é treinamento e, para outra categoria, também pode ser uma ótima maneira de phishing.
1. Mover o arquivo wp-config de um nível superior
o arquivo wp-config é um arquivo que contém todas as informações de configuração do seu blog bem como todas as configurações do WordPress. Um pirata (hacker) que acesse esse arquivo é capaz de injetar códigos maliciosos em suas páginas, ou pior ainda, deletar todo o conteúdo de suas páginas. blog WordPress. Deixo você imaginar o resto...
Como esse arquivo é o mais importante, acho que você deve protegê-lo, protegê-lo contra hackers.
Existe um recurso do WordPress que é pouco conhecido pelos blogueiros e instaladores de blog do WordPress, mas que pode salvar suas vidas. De fato, o WordPress permite que você mova seu arquivo wp-config um nível acima da raiz do seu blog WordPress.
Na maioria dos servidores Linux, o arquivo wp-config está localizado no seguinte local:
~ / Home / user / public_html / wp-config.php
Para subir um nível acima, eis o que você precisa fazer:
- Conecte-se ao seu servidor (espaço em disco) através do seu software FTP
- Vá para o seguinte local: ~ / Home / user / public_html /
- Corte o arquivo wp-config.php (lembre-se de baixá-lo para o seu disco rígido antes ... você nunca sabe)
- Suba um nível acima, ou seja, para este local: ~ / Casa / usuário /
- Cole seu arquivo wp-config para que o endereço seja o seguinte:
~ / Home / user / wp-config.php
Fique tranquilo… você não tem nada a temer. seu blog continuará funcionando corretamente. Ao fazer isso você está colocando seu arquivo fora da raiz do seu espaço.alojamento, agora não estará mais acessível a scripts e bots que os hackers usam frequentemente para atacar seu blog.
Você não tem configurações para configurar porque o WordPress (que permite essa manipulação) sabe exatamente onde procurar esse arquivo. Fácil né?
Observação: Este truque não funciona para blogs instalados no subdomínio (exemplo: public_html / blog) ou para domínios adicionais criados a partir do seu cPanel (exemplo: public_html / votreblog.com).
Faz sentido na minha opinião. Nesse caso, corremos o risco de acabar com vários arquivos wp-config. Mas como todos eles têm o mesmo nome e há apenas um lugar para escolher por local ... você entende por que apenas o blog instalado na raiz é permitido.
2. Exclua sua conta "admin"
A conta padrão ao instalar um blog WordPress tem “admin” como nome de usuário. Acontece que a grande maioria dos blogueiros usa esse nome de usuário por padrão... mas o que eles não sabem é que, ao fazer essa escolha, aumentam automaticamente suas chances de serem hackeados.
A maioria dos hackers sabe muito bem que muitos blogs usam admin como um nome de usuário WordPress, que fornece um nome de usuário ... tudo o que eles precisam fazer é encontrar a senha, que também é fácil de adivinhar. Para complicar um pouco mais, escolha um nome de usuário diferente ao instalar o seu blog WordPress.
Se já estiver instalado, acho que você deve seguir o seguinte procedimento:
- Faça login em seu painel do WordPress
- Na barra lateral à esquerda, clique em " Utilisateurs »E depois« adicionar »
- Crie um novo usuário e atribua a ele a função de administrador
- Não se esqueça de escolher uma senha que seja difícil de adivinhar (exemplo: ALAIN2vidal?)
- Saia e faça login novamente com as credenciais do novo usuário
Em seguida, ir para a página >> Usuários >> Todos os usuários >> e exclua o usuário " admin ". Se desejar, você poderá atribuir todo o conteúdo desse usuário ao novo usuário antes da exclusão final da sua conta anterior.
3. Faça atualizações regularess
Seja WordPress, seus plugins ou tema, faça atualizações sempre que uma notificação aparecer no seu painel.
Ao configurar muitos blogs pertencentes aos nossos clientes (blogpascher.com), Fiquei surpreso ao ver que mais de 90% deles estavam negligenciando todas as notificações de atualização.
Saiba que uma atualização do WordPress, um tema ou um plug-in não apenas traz novos recursos, como também muitas vezes contém novas medidas de segurança. Quanto mais o tempo passa, mais um tema ou plug-in apresenta falhas visíveis que um hacker pode usar para atacar seu blog e usá-lo como achar melhor.
Portanto, lembre-se de fazer atualizações sempre que receber uma notificação. O WordPress tornou esse processo tão fácil que pode ser feito em dois cliques no máximo. Além disso, você não leva nem segundos de 30 e economiza horas, dias ou até meses de frustração e dores de cabeça se algum dia seu blog for invadido.
Pergunte às vítimas de hack ... todos eles dirão que não há nada pior para um blogueiro do que ser hackeado e perder todos os seus dados.
4. Instale o WP Security Scan e proteja o WordPress
O uso de determinados plug-ins de segurança reduz as chances de seu blog ser invadido. Eu aconselho você a instalar os seguintes plugins: Security Scan WordPress et seguro WordPress.
Esses dois plugins trazem muitos recursos que tornarão seu blog mais seguro.
- Le Scanner verifica as permissões dos arquivos do WordPress e destaca todos aqueles cujas permissões estão incorretas.
- Le password Tool informa a força da sua senha e também gera senhas aleatórias e super fortes que você pode usar, se desejar.
- Le banco de dados é uma ferramenta que permite fazer backup do seu banco de dados WordPress. Também permite alterar o prefixo deste último. Use-o para alterar o prefixo do seu banco de dados. Mova algo assim: '' wp_ '' para algo assim: ''8bvn9_''. Isso tornará difícil para os hackers tentarem adivinhar os nomes das tabelas do banco de dados.
Mantenha-se alerta
As dicas e truques acima melhorarão bastante a segurança do seu blog e reduzirão suas chances de ser alvo de hackers. No entanto, lembre-se sempre de que a segurança de um blog é um processo contínuo. Você deve permanecer vigilante e se informar sobre as mais recentes técnicas de proteção de um blog WordPress, especialmente se você o usar para gerar dinheiro na internet.
E se você quiser confiar o trabalho a profissionais, eu recomendo fortemente que você entre em contato com o site BlogPasCher.com quem mudará para proteger seu blog para você.
Para saber mais sobre o assunto, recomendo o seguinte artigo: Mitos 8 sobre a segurança de blogs / sites WordPress
Thierry Olá!
Então, eu, apenas uma amiga que estou ajudando, tem seu blog no subdomínio http://www.exemple.com/wordpress na verdade, pode introduzi-lo em casos 2 (e www.exemple.com http://www.exemple.com/wordpress) ela gostaria de excluir o subdomínio e tê-lo na raiz. Indo para ftp, podemos simplesmente mudar tudo para a raiz sem risco de perder dados ???
Obrigado por qualquer ajuda
Sam
Olá Sam,
Eu acredito que você precisa fazer as mudanças no nível do PhpMyadmin. Mas primeiro, você deve primeiro remover o multisite.
Espero ter ajudado.
Bonjour Thierry,
Parece qu`il é um erro no novo caminho que você indicou para config.php após l`avoir mais alto nível de volta d`un. Não?
Amicalement,
Laurent.O
Olá Laurent,
Não existem erros. Você move o arquivo wp-config.php um nível acima da pasta pública html (wwww). E vai funcionar.
Bonjour Thierry,
Sim, c`est direita.
Assim, o novo caminho será home / user / config.php e não home / user / public_html / config.php como você l`indiques
Atenciosamente,
Laurent.O
Bonsoir,
Quando você se conecta ao seu ftp, você tem uma pasta / public_html, é neste diretório que você coloca o arquivo de configuração. e não na pasta public_html onde os outros arquivos wordpress estão localizados.
Bom Dia,
Muito obrigado para o seu artigo, ele não ajuda.
Eu tenho uma pergunta, para o método de remontagem do arquivo wp-config.php pode impedir a atualização automática do wordpress?
Muito obrigado e bom fim de semana.
Olá Vinh
Não, isso não impede nada. O WordPress sabe que também deve procurar o arquivo nesta pasta.
Bonjour Thierry,
Seu artigo é muito valioso para iniciantes - comunidade empolgante e bem representada
ao qual claramente pertenço 😉
Uma de suas recomendações chamou minha atenção:
"Corte o arquivo wp-config.php (lembre-se de baixá-lo para o seu disco rígido antes ... você nunca sabe)"
Isso significa que ainda é um procedimento que pode ser sistematizado para evitar os desafios dos hackers?
Tal possibilidade de apoio réglière, redundante com outros sistemas de protecção
existente, seria calmante.
In-the possibilidade de confirmar?
Merci pour ta réponse.
Bom dia para você,
Carole
Olá Carole,
Em primeiro lugar, quero agradecer seu comentário. É muito apreciado.
Então, e para responder à sua pergunta, quero esclarecer que este não é um método milagroso que permitirá que você proteja seu blog de hackers. Esta é apenas uma ação que reduz suas chances de ter seu blog hackeado.
Como costumo dizer, se até mesmo sites do governo dos EUA forem hackeados, não é um site de blogueiro que não seja. 🙂
Portanto, este método parede despreocupada.
Amicalement,
Thierry