Protegendo seu Wordpress

Como proteger seu site em WordPress com htaccess

Para qualquer segmento de negócio, garantir a segurança do seu site é um ponto muito importante. No WordPress você dispõe de inúmeras opções para deixar seu site mais seguro e não perder seus conteúdos. vamos te ensinar a fortalecer as “muralhas” do seu blog por meio do arquivo .htaccess. Com WordPress htaccess, você pode bloquear o acesso a pastas e arquivos específicos, restringir o login por IP e até especificar injeções SQL que os hackers costumam utilizar.

Se você estudar e buscar sobre segurança no WordPress, vai encontrar inúmeros plugins e medidas de segurança via código.

Os plugins são muito úteis, muitas vezes mais fáceis de instalar e configurar. Todavia, são pacotes de código que você instala em seu site e podem influenciar em seu desempenho. É muito importante realizar medidas de segurança por meio de códigos e arquivos.
Dessa forma, seu site vai ficar vacinado de todas as formas possíveis.

WordPress htaccess

Protegendo seu WordPress

Hoje vamos implementar medidas de segurança utilizando o arquivo .htaccess. Esse arquivo costuma estar presente na raiz do seu servidor, geralmente em modo oculto. Caso você constate que o mesmo não existe no servidor do seu site, você pode criar um arquivo .htaccess e fazer as implementações de segurança que vamos te ensinar aqui. Você pode editar e criar o arquivo pelo FTP ou por seu cPanel.

Bloqueie qualquer requisição direta ao wp-config.php
O código abaixo bloqueia qualquer tentativa de acesso direto ao arquivo wp-config.php. Nesse arquivo são armazenadas todas as configurações da sua instalação WordPress e de acesso ao seu Banco de Dados. Então, é muito importante garantir que ninguém além de você tenha acesso a ele.

Copie e cole o código:

<files wp-config.php>
order allow,deny
deny from all
</files>
Para garantir que o WordPress não vai sobrepor as regras que você está passando aqui, é necessário inclui-las antes da marcação #Begin WordPress como no exemplo acima.
Injeção de SQL
Pessoas mal intencionadas, como hackers, utilizam algumas injeções de SQL já conhecidas. Sabendo disso, podemos especificar o bloqueio de algumas por meio do .htaccess.
Veja como fazer com o código abaixo:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
RewriteRule ^(.*)$ - [F,L]
RewriteCond %{QUERY_STRING} ../ [NC,OR]
RewriteCond %{QUERY_STRING} boot.ini [NC,OR]
RewriteCond %{QUERY_STRING} tag= [NC,OR]
RewriteCond %{QUERY_STRING} ftp:  [NC,OR]
RewriteCond %{QUERY_STRING} http:  [NC,OR]
RewriteCond %{QUERY_STRING} https:  [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|ê|"|;|?|*|=$).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(&#x22;|&#x27;|&#x3C;|&#x3E;|&#x5C;|&#x7B;|&#x7C;).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^(.*)$ - [F,L]
</IfModule>
Restrinja o Login por IP
Se você utiliza IP real, pode restringir o acesso a sua página de login e efetivamente ao processo de login. Especificando no arquivo .htaccess o seu IP, qualquer tentativa de login ou acesso a página wp-login.php por um IP diferente, será bloqueado.
Basta colar o trecho de código abaixo:
order deny,allow
# Substitua o IP 117.168.1.10 com o seu IP, ideal apenas para ip estático #
allow from 117.168.1.10
deny from all
Bloqueie IP’s específicos
Se você tem percebido que os ataques ou tentativas de ataque ao seu site são provenientes de um mesmo IP, pode bloqueá-los manualmente pelo .htaccess.
Copie e cole no arquivo .htaccess do seu servidor o seguinte código, especificando um IP para bloqueio por linha:
## Malicious IP Blocking ##
order allow,deny
deny from 1.1.1.1
deny from 2.2.2.2
allow from all

Diversos outros métodos de segurança podem ser implementados utilizando o .htaccess. Aqui nós listamos apenas algumas das mais importantes, mas segurança nunca é demais. Mantenha seus plugins atualizados e especifique as permissões corretas para pastas e arquivos. Com WordPress htaccess você mantém seu site completamente blindado de possíveis tentativas de ataque.

Se você gostou desse artigo considere compartilhar nas redes sociais. Siga-nos nas redes sociais para acompanhar mais artigos como esse. Se de alguma forma este artigo lhe foi útil deixa seu comentário abaixo para podermos saber a sua opinião.

 

 

Protegendo seu WordPress

hostcuritiba

A HOSTCURITIBA é uma empresa de Hospedagem de Sites, Registro de domínios e especializada em apoio técnico e proteção de servidores para hospedagem em nuvem. Apoio 24x7 e monitoramento grátis para seu site. Central de vendas (41) 3014-8891 - contato@hostcuritiba.net.br



Deixe uma resposta

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.