WordPress Segurança

Repita 7 vezes:  
o WordPress é Seguro.
Leandro Vieira / Fundador e CEO da Apiki
leandro@apiki.com
O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

1. O WordPress não é
seguro …
Ouço isso muito. Várias e repetidas vezes.

O WordPress é seguro.
Inseguro é você.
Sobre a iniciativa

Movimento de
mudança
iMasters Developer Week Edição Vitória / ES

Guia e educação
apiki.com/wordpress-seguro

Conteúdo semanal
blog.apiki.com/category/wordpressseguro/

2. Os problemas da
popularidade

3. Nem tudo são ﬂores

Full Path Disclosure
(FPD)
/wp-includes/rss-functions.php
/wp-content/plugins/hello.php

Senhas

Diretório de Plugins

4. Você não está
fazendo isso certo.
Mas deveria.

• functions.php.bkp
• functions.php.old
• algum-arquivo.php.qualquercoisa
• medo.php.maismedo

DISALLOW_FILE_EDIT
X
DISALLOW_FILE_MODS

5. Você deveria usar
mais vezes

6. Você deveria fazer
isso sempre …

@Atualizações
Core. Temas. Plugins. Sistema Operacional. Bibliotecas.
Tudo.

@Usuário e senhas

@Usuário e senhas
https://api.wordpress.org/secret-key/1.1/salt/

@Autenticação de dois
fatores
Quem é você. O que você tem. O que você sabe.

@Autenticação de dois fatores

@wp-conﬁg.php
• Manter o arquivo um nível acima do diretório público;
• Usar a permissão 400 (readonly) ou 600;
• No arquivo .htaccess fazer uso de diretiva para proteção do arquivo.

@Debug
/wp-content/debug.log
define( 'WP_DEBUG', true );
define( 'WP_DEBUG_LOG', true );
@ini_set( 'log_errors', 'On' );
define( 'WP_DEBUG_DISPLAY', false );
@ini_set( 'display_errors', 'Off' );

@Exclusão de arquivos
1./wp-config-sample.php
2./readme.html
3./license.txt
4./wp-admin/install.php
5./wp-admin/upgrade.php

@Permissões
• 400/600 para o wp-config.php;
• 600 para o debug.log;
• 644 para os arquivos;
• 755 para os diretórios.

@robots.txt
User-agent: *
Disallow: /feed/
Disallow: /trackback/
Disallow: /wp-admin/
Disallow: /wp-content/
Disallow: /wp-includes/
Disallow: /xmlrpc.php
Disallow: /wp-

@Fornecedores
Desenvolvimento. Conteúdo. Hospedagem.

@Banco de Dados
Preﬁxo.

@Banco de Dados
wp_

@.htaccess
Mágico. Indexes. Debug. wp-conﬁg. wp-includes. Spam.

@.htaccess
#1
Options -Indexes

@.htaccess
#2
<Files debug.log>
Order allow,deny
Deny from all
</Files>
#3
<files wp-config.php>
order allow,deny
deny from all
</files>

@.htaccess
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .(wp-comments-post|wp-login).php*
RewriteCond %{HTTP_REFERER} !.*example.com.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) http://%{REMOTE_ADDR}/$ [R=301,L]
</ifModule>

@.htaccess
Full Path Disclosure (FPD). site-em-wp.com.br/wp-includes/rss-functions.php

@.htaccess  
-Full Path Disclosure (FPD)
#4
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

-Full Path Disclosure (FPD)
<?php if ( ! function_exists( 'add_action' ) ) exit; ?>
Considere o uso em seus arquivos de plugins e temas.

@Backups
Banco de dados. Arquivos. Redundância.
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

7. Vamos nos ajudar?
Muito obrigado o/.
O WordPress é seguro. E você também.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
Leandro Vieira / Fundador e CEO da Apiki
leandro@apiki.com

WordPress Segurança

Recomendados

Recomendados

Mais conteúdo relacionado

Mais de Leandrinho Vieira

Mais de Leandrinho Vieira (11)

WordPress Segurança