Segurança para WordPress

A maioria das vezes que um site feito com WordPress é invadido a culpa não é do WordPress, mas sim de alguma falha boba que poderia ter sido evitada durante a sua construção.
Essa é a ideia desse projeto: Ser um checklist de ações que você deve tomar para aumentar a segurança do seu site.

wp-config

Altere as chaves de segurança (Gerador disponibilizado pelo WordPress.org)

 

Página de login

Bloqueie várias tentativas de login (Login Lockdown ou iThemes Security )

Ative autenticação de 2 etapas (Google Authenticator for WordPress)

Use um email para fazer login ao invés de um nome de usuário (WP Email Login)

Altere o endereço da sua página de login (iThemes Security ou diretamente pelo .htaccess)

Remova links para sua página de login (caso exista algum em seu tema)

Use senhas fortes com letras maiúsculas e minúsculas, números e caractéres especiais em todas as contas (gerador de senhas)

Altere sua senha periodicamente

Faça com que a mensagem de erro de login seja genérica (user/pass) (tutorial)

 

Painel Administrativo

Proteja a pasta wp-admin com senha (desbloqueie apenas os arquivos necessários)

Atualize o WordPress para sua versão mais recente

Não utilize uma conta com nome de usuário admin. Caso exista, crie uma nova conta e apague a antiga

Crie uma conta Editor e use-a somente para publicar seu conteúdo

Implemente SSL em toda seção administrativa

Instale algum plugin para verificar se algum arquivo foi editado (WP Security Scan, Wordfence ouiThemes Security)

Scaneie o site a procura de vírus, malwares e falhas de segurança

 

Tema

Atualize o tema ativo para sua versão mais recente

Apague temas inativos

Apenas instale temas de fontes confiáveis

Remova a versão do WordPress no tema (tutorial)

 

Plugins

Atualize todos os plugins para suas versões mais recentes

Apague plugins inativos

Apenas instale plugins de fontes confiáveis

Substitua plugins desatualizados por versões alternativas atualizadas

Pense bem antes de instalar uma centena de plugins

 

Banco de dados

Altere o prefixo das tabelas (tutorial)

Configure backups semanais do seu banco de dados (Backup WP, WP DB Backup etc. )

Use senhas fortes com letras maiúsculas e minúsculas, números e caractéres especiais no usuário do banco de dados (gerador de senhas)

 

Hospedagem

Contrate uma hospedagem de confiança

Acesse seu servidor apenas por SFTP ou SSH

Configure as permissões das pastas para 755 e arquivos para 644 (conforme a documentação)

Certifique-se que seu arquivo wp-config.php não possa ser acessado por outras pessoas

Remova ou bloqueie via .htaccess os arquivos license.txt, wp-config-sample.php e readme.html

Desabilite o editor pelo wp-config.php com o código: define('DISALLOW_FILE_EDIT',true);

Previna a pesquisa de diretórios via .htaccess com o código: Options All -Indexes

 

 

fonte: Rafael Funchal