Se você acha que seu site é seguro porque não é do interesse dos hackers, você está errado, porque a grande maioria das violações de segurança não tem como objetivo roubar seus dados ou desfigurar seu site.

Os hackers geralmente desejam usar seu servidor como retransmissor para e-mails de spam ou para configurar um servidor web temporário, geralmente para servir arquivos ilegais. Se você for hackeado, esteja preparado para desembolsar algum dinheiro para custos relacionados ao servidor.

Existem várias maneiras de aumentar a segurança do seu site ou de uma rede multisite, mas uma das mais fáceis é editar o arquivo. wp-config.php. Atualizar este arquivo de configuração, embora não haja uma solução única para todos, é uma política que deve ser seguida para a segurança geral.

Com isso em mente, vamos explorar as várias modificações que você pode fazer para proteger seu blog WordPress.

Configurar constantes WordPress

No seu arquivo de configuração do WordPress, também chamado wp-config.php , você pode definir o que são chamadas de constantes PHP para realizar certas tarefas. O WordPress tem muitas constantes que você pode usar.

Constantes também são agrupadas na função define() como mostrado neste exemplo de sintaxe:

define ( 'NOM_DE_LA_CONSTANTE', valor);

No WordPress, o arquivo wp-config.php é carregado antes do resto dos arquivos que constituem o kernel. Isso significa que se você alterar o valor de uma constante em wp-config.php, você pode alterar a maneira como o WordPress reage e funciona. Você pode desativar alguns recursos ou ativá-los alterando o valor. Em muitos casos, isso pode ser feito alterando true para falso, e vice-versa, por exemplo.

Abaixo você encontrará as diferentes constantes, bem como outros tipos de código PHP que você pode usar em seu arquivo wp-config.php  para aumentar a sua segurança. Coloque-os todos acima da próxima linha em seu arquivo wp-config.php:

/ * Isso é tudo, parar a edição! blogging feliz. * /

Atenção: tenha cuidado

Como as mudanças que você está prestes a fazer podem mudar drasticamente o seu site, este é um bom idéia de fazer backup. Se ocorrer um erro, você pode restaurar rapidamente seu site para um ponto anterior a essas alterações e, quando o site estiver funcionando normalmente, você pode tentar novamente.

1. Alterar suas chaves de segurança

Você já deve estar ciente das diferentes chaves de segurança e pode já ter adicionado chaves exclusivas, o que é muito bom.

As chaves de segurança da informação criptografam os dados armazenados em cookies e pode ser útil alterá-los, especialmente depois que seu site foi invadido. Isso encerraria todas as sessões abertas de usuários conectados em seu site, o que significa que os hackers também estão desconectados.

Quando você redefine as senhas e se certifica de que seu site está livre de exploits de backdoor e similares.

Você pode gerar um novo conjunto de chaves de segurança usando o WordPress Gerador de chave de segurança. Copie todo o conteúdo e cole-o para substituir a seção que se parece com o seguinte:

define( 'AUTH_KEY', 't`DK%X:>xy|eZ(BXb/f(Ur`8#~UzUQG-^_Cs_GHs5U-&Wb?pgn^p8(2@}IcnCa|' ); define( 'SECURE_AUTH_KEY ', 'D&ovlU#|CvJ##uNq}bel+^MFtT&.b9{UvR]g%ixsXhGlRJ7q!h}XWdEC[BOKXssj' ); define( 'LOGGED_IN_KEY', 'MGKi8Br(&{H*~&0s;{k0  (hdXW|5M=X={we4;Mpvtg+Vo<$|#_}qG(GaVDEsn,~*2i' ); define( 'NONCE_SALT', 'a|#h{c7|P &xWs0IZ2c8&%883!c( /uG}W:mAvy

2. Forçar o uso de SSL

Um certificado SSL criptografa a conexão entre o seu site e o navegador do visitante, para que os hackers não possam interceptar e roubar informações pessoais. Se você já tem um certificado SSL instalado, você precisa forçar o WordPress a usá-lo, pois isso pode aumentar sua segurança.

Para forçar o uso do seu certificado SSL durante a conexão, adicione esta linha:

define ( 'FORCE_SSL_LOGIN', true);

Você também pode forçar seu certificado SSL no painel do administrador com esta linha:

define ( 'FORCE_SSL_ADMIN', true);

Esses são pontos muito bons para começar, embora o ideal seja usar o certificado SSL em todos os seus site.

3. Modifique o prefixo do banco de dados

O prefixo é colocado na frente dos nomes de todas as tabelas em seu banco de dados. Por padrão, a tabela usa o prefixo " wp_" e adicioná-lo ao seu banco de dados adicionará uma tarefa adicional para o hacker realizar. Quanto mais obstáculos você adicionar, mais seu blog será difícil de hackear.

Mudar o prefixo padrão ajuda e tudo que você precisa fazer é mudar a constante no arquivo " wp-config.php ", mas também seria necessário que as tabelas de banco de dados em sua instalação tivessem o mesmo novo prefixo. Você pode mudar wp_ para algo como g628_. Você deve escolher algo que realmente não seja fácil de adivinhar.

4. Desative a edição de temas e plug-ins

Em cada instalação do WordPress, você pode editar diretamente plug-ins e temas por meio do painel. Se um hacker conseguiu obter acesso ao seu painel, ele tem acesso a este editor especial, onde pode fazer o que quiser no seu plugin e arquivos de tema, como adicionar malware, vírus ou Spam.

5. Desativar depuração

Se você já ativou a depuração em seu site ou em uma rede, provavelmente o faz porque é uma ótima ferramenta para solução de problemas, mas não se esqueça de desativá-la quando terminar. Deixar essa opção habilitada pode revelar informações importantes sobre seu site e a localização de seus arquivos para hackers para qualquer pessoa que visite seu site.

Para desligar o modo de depuração, você pode alterar a constante WP_DEBUG de true para false da seguinte maneira:

define ( 'WP_DEBUG', falso);

6. Desative o registro de erros no WordPress

 Se você não pode fazer a alteração anterior porque ainda precisa depurar ativamente o seu site, você ainda pode proteger as informações vitais do seu site desativando os erros de front-end e desativando o registro de erros.

Para desativar o relatório de erros de front-end, adicione esta linha enquanto mantém sua depuração (WP_DEBUG) definida como verdadeira:

define ( 'WP_DEBUG_DISPLAY', falso);

7. Ativar atualizações automáticas

Manter seu site atualizado com as versões mais recentes do WordPress, bem como seus plug-ins e temas, deve ser uma parte importante no desenvolvimento de uma estratégia de segurança. Desde oAs atualizações fornecem correções de segurança para vulnerabilidades conhecidas, não atualizando exposições seu blog a estes riscos potenciais.

A partir da versão 3.7 do WordPress, pequenas correções de segurança são aplicadas automaticamente aos sites do WordPress, mas as versões básicas não. No entanto, você pode ativar as atualizações automáticas para todas as novas versões alterando o valor da constante para atualizações automáticas:

define ( 'WP_AUTO_UPDATE_CORE', true);

Da mesma forma, você pode adicionar a seguinte linha abaixo da anterior para habilitar atualizações automáticas para plug-ins:

add_filter ( 'auto_update_plugin', '__return_true');

Você também pode seguir esta linha para permitir atualizações automáticas de temas:

add_filter ( 'auto_update_theme', '__return_true');

É isso para este tutorial. Espero que lhe permita proteger melhor o seu blog WordPress.