WordPress é Seguro.
Inseguro é você.
Leandro Vieira / Fundador e CEO da Apiki
leandro@apiki.com
O WordPress é seguro. Inse...
O WordPress não é
seguro …
Ouço isso muito. Várias e repetidas vezes.
Movimento de
mudança
iMasters Developer Week Edição Vitória / ES
O WordPress é seguro.
Inseguro é você.
A iniciativa.
Guia e educação
apiki.com/wordpress-seguro
Conteúdo semanal
blog.apiki.com/category/wordpressseguro
2. Os problemas da
popularidade
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
3. Nem tudo são flores
Full Path Disclosure
(FPD)
Senhas
Plugins
4. Você não está
fazendo isso certo.
Mas deveria.
• functions.php.bkp
• functions.php.old
• algum-arquivo.php.qualquercoisa
• medo.php.maismedo
• DISALLOW_FILE_EDIT x
DISALLOW_FILE_MODS
5. Você deveria usar
mais vezes
6. Você deveria fazer
isso sempre …
@Atualizações
Core. Temas. Plugins. Sistema Operacional. Bibliotecas.
Tudo.
O WordPress é seguro. Inseguro é você.O WordPr...
@Usuário e senhas
“admin”. Senhas. Ataques. Desconexão.
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Insegu...
@Usuário e senhas
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
@Usuário e senhas
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-segur...
@Autenticação de dois fatores
Quem é você. O que você tem. O que você sabe.
O WordPress é seguro. Inseguro é você.O WordPr...
@Autenticação de dois fatores
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wor...
@wp-config.php
Localização. Permissão. .htaccess.
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é vo...
@wp-config.php
• Manter o arquivo um nível acima do diretório público;
• Usar a permissão 400 (readonly) ou 600;
• No arqui...
@Debug
O que os olhos não veem …
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/...
@Debug
/wp-content/debug.log
define( 'WP_DEBUG', true );
define( 'WP_DEBUG_LOG', true );
@ini_set( 'log_errors', 'On' );
d...
@Exclusão de arquivos
Hã?
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpre...
@Exclusão de arquivos
1./wp-config-sample.php
2./readme.html
3./license.txt
4./wp-admin/install.php
5./wp-admin/upgrade.ph...
@Verificações
Manual. Automática. Prevenção. Correção.
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro...
@Permissões
400. 600. 644. 755.
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/w...
@Permissões
O WordPress é seguro. Inseguro é você.
• 400/600 para o wp-config.php;
• 600 para o debug.log;
• 644 para os a...
@robots.txt
Diga não ao Google.
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/w...
@robots.txt
User-agent: *
Disallow: /feed/
Disallow: /trackback/
Disallow: /wp-admin/
Disallow: /wp-content/
Disallow: /wp...
@Fornecedores
Desenvolvimento. Conteúdo. Hospedagem.
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro ...
@Banco de Dados
Prefixo.
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress...
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
@Banco de Dados
wp_
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seg...
@.htaccess
Mágico. Indexes. Debug. wp-config. wp-includes. Spam.
O WordPress é seguro. Inseguro é você.O WordPress é seguro...
@.htaccess
#1
Options -Indexes
#2
<Files debug.log>
Order allow,deny
Deny from all
</Files>
#3
<files wp-config.php>
order...
@.htaccess / Spam
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} ...
@.htaccess
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
Full ...
@Backups
Banco de dados. Arquivos. Redundância.
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é voc...
@Guia prático
apiki.com/wordpress-seguro
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / ap...
Muito obrigado o/
O WordPress é seguro. E você também.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
...
O WordPress é seguro. Inseguro é você.
O WordPress é seguro. Inseguro é você.
Próximos SlideShares
Carregando em…5
×

O WordPress é seguro. Inseguro é você.

297 visualizações

Publicada em

Apresentação de Leandro Vieira, Apiki, no Expo Fórum de Marketing Digital 2015. Palestra falou sobre: O WordPress é seguro. Inseguro é você.

Publicada em: Marketing
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

O WordPress é seguro. Inseguro é você.

  1. 1. WordPress é Seguro. Inseguro é você. Leandro Vieira / Fundador e CEO da Apiki leandro@apiki.com O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  2. 2. O WordPress não é seguro … Ouço isso muito. Várias e repetidas vezes.
  3. 3. Movimento de mudança iMasters Developer Week Edição Vitória / ES
  4. 4. O WordPress é seguro. Inseguro é você. A iniciativa.
  5. 5. Guia e educação apiki.com/wordpress-seguro
  6. 6. Conteúdo semanal blog.apiki.com/category/wordpressseguro
  7. 7. 2. Os problemas da popularidade
  8. 8. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  9. 9. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  10. 10. 3. Nem tudo são flores
  11. 11. Full Path Disclosure (FPD)
  12. 12. Senhas
  13. 13. Plugins
  14. 14. 4. Você não está fazendo isso certo. Mas deveria.
  15. 15. • functions.php.bkp • functions.php.old • algum-arquivo.php.qualquercoisa • medo.php.maismedo
  16. 16. • DISALLOW_FILE_EDIT x DISALLOW_FILE_MODS
  17. 17. 5. Você deveria usar mais vezes
  18. 18. 6. Você deveria fazer isso sempre …
  19. 19. @Atualizações Core. Temas. Plugins. Sistema Operacional. Bibliotecas. Tudo. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  20. 20. @Usuário e senhas “admin”. Senhas. Ataques. Desconexão. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  21. 21. @Usuário e senhas O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  22. 22. @Usuário e senhas O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro https://api.wordpress.org/secret-key/1.1/salt/
  23. 23. @Autenticação de dois fatores Quem é você. O que você tem. O que você sabe. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  24. 24. @Autenticação de dois fatores O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  25. 25. @wp-config.php Localização. Permissão. .htaccess. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  26. 26. @wp-config.php • Manter o arquivo um nível acima do diretório público; • Usar a permissão 400 (readonly) ou 600; • No arquivo .htaccess fazer uso de diretiva para proteção do arquivo. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  27. 27. @Debug O que os olhos não veem … O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  28. 28. @Debug /wp-content/debug.log define( 'WP_DEBUG', true ); define( 'WP_DEBUG_LOG', true ); @ini_set( 'log_errors', 'On' ); define( 'WP_DEBUG_DISPLAY', false ); @ini_set( 'display_errors', 'Off' ); O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  29. 29. @Exclusão de arquivos Hã? O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  30. 30. @Exclusão de arquivos 1./wp-config-sample.php 2./readme.html 3./license.txt 4./wp-admin/install.php 5./wp-admin/upgrade.php O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  31. 31. @Verificações Manual. Automática. Prevenção. Correção. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  32. 32. @Permissões 400. 600. 644. 755. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  33. 33. @Permissões O WordPress é seguro. Inseguro é você. • 400/600 para o wp-config.php; • 600 para o debug.log; • 644 para os arquivos; • 755 para os diretórios. O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  34. 34. @robots.txt Diga não ao Google. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  35. 35. @robots.txt User-agent: * Disallow: /feed/ Disallow: /trackback/ Disallow: /wp-admin/ Disallow: /wp-content/ Disallow: /wp-includes/ Disallow: /xmlrpc.php Disallow: /wp- O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  36. 36. @Fornecedores Desenvolvimento. Conteúdo. Hospedagem. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  37. 37. @Banco de Dados Prefixo. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  38. 38. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  39. 39. @Banco de Dados wp_ O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  40. 40. @.htaccess Mágico. Indexes. Debug. wp-config. wp-includes. Spam. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  41. 41. @.htaccess #1 Options -Indexes #2 <Files debug.log> Order allow,deny Deny from all </Files> #3 <files wp-config.php> order allow,deny deny from all </files> #4 <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] </IfModule> O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  42. 42. @.htaccess / Spam <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{REQUEST_METHOD} POST RewriteCond %{REQUEST_URI} .(wp-comments-post|wp-login).php* RewriteCond %{HTTP_REFERER} !.*example.com.* [OR] RewriteCond %{HTTP_USER_AGENT} ^$ RewriteRule (.*) http://%{REMOTE_ADDR}/$ [R=301,L] </ifModule> O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  43. 43. @.htaccess O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro Full Path Disclosure (FPD). site-em-wp.com.br/wp-includes/rss-functions.php
  44. 44. @Backups Banco de dados. Arquivos. Redundância. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  45. 45. @Guia prático apiki.com/wordpress-seguro O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
  46. 46. Muito obrigado o/ O WordPress é seguro. E você também.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro Leandro Vieira / Fundador e CEO da Apiki leandro@apiki.com

×