Bem-vindos!
Teotónio Ricardo
Twitter: @cenourinha
 Blog pessoal: teotonio.pt
 E-mail: eu@teotonio.pt

WebTuga Hosting


Fornecedor de Alojamento Web
Nacional



http://www.webtuga.pt

Suporte Técnico @ WebTuga
(centenas ou...
Segurança, Performan
ce e Optimização


Saiba como preparar o seu WordPress
para a Internet
Segurança em WordPress
Proteja o seu site WordPress
1) Utilize um fornecedor de alojamento Web
seguro.
2) Proteja os seus dados de acesso FTP (e
...
1) Utilize um fornecedor de
alojamento Web seguro


Certifique-se que o seu fornecedor de serviço
de alojamento web prote...


O fornecedor de alojamento web deve
fornecer algumas camadas de segurança
que
previnam
os
ataques
mais
populares, prote...
Software de Servidor
- Apache, nginx, lighttpd, Litespeed, IIS - Manter um
filtro web a nível de software - Exemplo: mod_s...


Coloque algumas questões relativamente à
segurança dos servidores ao seu fornecedor
de alojamento web. Certifique-se qu...


Se o seu fornecedor de alojamento web não
proteger minimamente os serviços, estará a
colocar em risco os seus sites e d...
2) Proteja os seus dados de
acesso FTP (e cPanel, Plesk, etc)


Não defina passwords simples para o seu
acesso FTP;



N...
3) Instalação e Configuração
Segura do WordPress
Quando fizer a primeira instalação da sua
plataforma WordPress:
Não utili...


Não utilize o prefixo default das tabelas do
WordPress (wp_);
 Altere a pasta/url default da administração do
WordPres...
4) Gestão de Plugins e Themes


Apenas plug-ins e themes de fontes seguras;



Utilize apenas Themes e Plugins de fontes...
5) Mantenha a plataforma
actualizada


Para garantir que o seu site não é atacado
através de um ataque 0-day, deverá actu...


Para além da plataforma, deverá também
manter sempre os seus plugins actualizados
na ultima versão disponibilizada. Cer...
6) Faça os seus próprios
Backups


Existem várias formas de fazer backups do
WordPress (Plug-ins, Serviços Online, etc).
...
7) Instale Plug-ins de Segurança


Better WP Security



Limit Login Attemps



Wordfence



Login Lockdown



WordPr...
8) Utilize serviços de CDN



CloudFlare
 Incapsula
 CloudProxy
Optimização de Performance
do WordPress
Optimize o seu site WordPress para levar
com carga
1) Aloje o seu site num serviço de Alojamento
estável;

2) Limitar núme...
5) Evite ter demasiados Widgets JavaScript
externos
 Widgets de Tempo;
 Widgets de Contagem de Visitas;
 Animações Java...
9) Optimizar e juntar ficheiros
CSS, JavaScript e output HTML;
Pode ser feito recorrendo a estes plugins:
 WP Minify;
 W...
11) Optimize frequentemente a base de dados
pelo phpMyAdmin:
 Pode ser feito utilizando o plug-in Optimize
DB;
12) Reduzi...
14) Gzip e mod_deflate:
 Comprimir ficheiros ao nível do servidor;
15) Activar Plug-ins de Cache:
 WP Super Cache;
 W3 ...
Como verificar performance do seu site?


Google Page Speed
(http://developers.google.com/speed/pagespe
ed/insights/)


...
Obrigado pela
atenção!
Encontramo-nos no próximo
WordPress Braga Meetup


Próximos SlideShares
Carregando em…5
×

WordPress Braga Meetup - Segurança, Performance e Optimização

677 visualizações

Publicada em

Apresentação feita para o WordPress Braga Meetup sobre Segurança, Performance e Optimização na plataforma WordPress

Publicada em: Tecnologia
0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
677
No SlideShare
0
A partir de incorporações
0
Número de incorporações
131
Ações
Compartilhamentos
0
Downloads
12
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

WordPress Braga Meetup - Segurança, Performance e Optimização

  1. 1. Bem-vindos!
  2. 2. Teotónio Ricardo Twitter: @cenourinha  Blog pessoal: teotonio.pt  E-mail: eu@teotonio.pt 
  3. 3. WebTuga Hosting  Fornecedor de Alojamento Web Nacional  http://www.webtuga.pt Suporte Técnico @ WebTuga (centenas ou mesmo milhares de sites em WordPress) 
  4. 4. Segurança, Performan ce e Optimização  Saiba como preparar o seu WordPress para a Internet
  5. 5. Segurança em WordPress
  6. 6. Proteja o seu site WordPress 1) Utilize um fornecedor de alojamento Web seguro. 2) Proteja os seus dados de acesso FTP (e cPanel, Plesk, etc) 3) Instalação e Configuração Segura do WordPress 4) Gestão de Plugins e Themes 5) Mantenha a plataforma actualizada 6) Faça os seus próprios Backups 7) Instale Plug-ins de Segurança 8) Utilize serviços de CDN
  7. 7. 1) Utilize um fornecedor de alojamento Web seguro  Certifique-se que o seu fornecedor de serviço de alojamento web protege minimamente os seus servidores.  Existem várias camadas de segurança que necessitam de estar minimamente protegidas para além da sua plataforma WordPress.
  8. 8.  O fornecedor de alojamento web deve fornecer algumas camadas de segurança que previnam os ataques mais populares, protegendo a… Rede: - Redundância - Firewalls - Sistemas Anti-DDoS - CDN Sistema Operativo: - Kernel recente; - CloudLinux (cageFS) Serviços de Gestão Remota: - (Acessos Restritos - Apenas VPN) - SSH - RDP
  9. 9. Software de Servidor - Apache, nginx, lighttpd, Litespeed, IIS - Manter um filtro web a nível de software - Exemplo: mod_security - MySQL / MSSQL / postgresql - Limitar o acesso remoto - IMAP/POP3/Webmail - Bloquear acesso após x tentativas de autenticação falhadas Painel de Controlo WebHosting - (manter actualizados e bloquear acesso após x tentativas de autenticação falhadas) - cPanel - Plesk - Webmin - Atomia
  10. 10.  Coloque algumas questões relativamente à segurança dos servidores ao seu fornecedor de alojamento web. Certifique-se que este mantém um filtro que protege os seus sites contra os ataques mais conhecidos:  SQL Injection;  Malware Injection;  Spam-bots;  Ataques Bruteforce;  Simulações de pedidos HTTP;  Ataques Cross-Site Scripting (XSS)  Ataques de Negação (DoS/DDoS)
  11. 11.  Se o seu fornecedor de alojamento web não proteger minimamente os serviços, estará a colocar em risco os seus sites e dados, podendo todos os sites alojados num determinado servidor serem totalmente comprometidos (massive attack).  A segurança não é algo linear, existem várias camadas de segurança e vários tipos de ataque. Cabe a todos promover e adoptar medidas de seguranças, seja o fornecedor de alojamento web, seja o webmaster/blogger ou o visitante/utilizador do site.
  12. 12. 2) Proteja os seus dados de acesso FTP (e cPanel, Plesk, etc)  Não defina passwords simples para o seu acesso FTP;  Não guarde a sua password em plain-text (FileZilla).
  13. 13. 3) Instalação e Configuração Segura do WordPress Quando fizer a primeira instalação da sua plataforma WordPress: Não utilize o username default “admin”;  Defina uma password composta por caracteres alfanuméricos;  Certifique-se que a bases de dados e o username MySQL têm nomes aleatórios e seguros;  Certifique-se que a password do utilizador MySQL é complexa e segura; 
  14. 14.  Não utilize o prefixo default das tabelas do WordPress (wp_);  Altere a pasta/url default da administração do WordPress ( Plugin: Better WP Security);  Proteja o acesso ao ficheiro wp-login.php por dupla autenticação (.htpasswd);  Proteja o acesso ao ficheiro wp-config.php via .htaccess;  Não publique a versão do seu WordPress;  Desactive a edição dos themes pelo painel de administração: No ficheiro wp-config.php, adicione a seguinte linha: define(„DISALLOW_FILE_EDIT‟, true )
  15. 15. 4) Gestão de Plugins e Themes  Apenas plug-ins e themes de fontes seguras;  Utilize apenas Themes e Plugins de fontes seguras. Muitas das vezes quando não descarregados da fonte original, os plugins e themes têm código malicioso injectado de forma encriptada que poderá ser utilizado para comprometer o seu site ou distribuir malware pelas visitas do seu site.
  16. 16. 5) Mantenha a plataforma actualizada  Para garantir que o seu site não é atacado através de um ataque 0-day, deverá actualizar regularmente a sua plataforma WordPress. Neste momento as actualizações do core do WordPress são automáticas, pelo que deverá manter esta opção activa.  Se tem uma plataforma WordPress com uma versão antiga, deverá efectuar o upgrade o mais rapidamente possível.
  17. 17.  Para além da plataforma, deverá também manter sempre os seus plugins actualizados na ultima versão disponibilizada. Certifiquese também que apenas utiliza Plugins de fontes seguras e que os mesmos ainda são suportados.  Existem bastantes plugins que já não são actualizados/mantidos pelos seus desenvolvedores, pelo que deverá fazer uma pesquisa na Internet sempre que activar um plugin de forma a saber se não existem falhas de segurança conhecidas para a versão que vai utilizar.
  18. 18. 6) Faça os seus próprios Backups  Existem várias formas de fazer backups do WordPress (Plug-ins, Serviços Online, etc). Mantenha sempre uma cópia recente dos ficheiros e base de dados do WordPress.
  19. 19. 7) Instale Plug-ins de Segurança  Better WP Security  Limit Login Attemps  Wordfence  Login Lockdown  WordPress Firewall  All in one WordPress Firewall
  20. 20. 8) Utilize serviços de CDN  CloudFlare  Incapsula  CloudProxy
  21. 21. Optimização de Performance do WordPress
  22. 22. Optimize o seu site WordPress para levar com carga 1) Aloje o seu site num serviço de Alojamento estável; 2) Limitar número de Posts por página; 3) Manter o WordPress e Plug-ins (válido para a Segurança e Optimização); 4) Não utilize demasiados plug-ins;
  23. 23. 5) Evite ter demasiados Widgets JavaScript externos  Widgets de Tempo;  Widgets de Contagem de Visitas;  Animações JavaScript;  Facebook Share;  Botões Twitter;  etc... 6) Optmize as imagens do seu blog/site; 7) Carregar scripts javascript apenas no fundo do site; 8) Reduzir pedidos HTTP;
  24. 24. 9) Optimizar e juntar ficheiros CSS, JavaScript e output HTML; Pode ser feito recorrendo a estes plugins:  WP Minify;  W3 Total Cache; 10) Desactivar Post Revisions: Colocar as seguintes linhas no código do wpconfig.php: define(„AUTOSAVE_INTERVAL', 300); define('WP_POST_REVISIONS', false );
  25. 25. 11) Optimize frequentemente a base de dados pelo phpMyAdmin:  Pode ser feito utilizando o plug-in Optimize DB; 12) Reduzir queries MySQL; 13) Fazer Debug ao WordPress:  Poderá fazer debug colocando a seguinte linha no ficheiro wp-config.php: define('WP_DEBUG', true);
  26. 26. 14) Gzip e mod_deflate:  Comprimir ficheiros ao nível do servidor; 15) Activar Plug-ins de Cache:  WP Super Cache;  W3 Total Cache;  Hyper Cache;  WP Cache; 16) Utilizar rede CDN:  CloudFlare  Incapsula  CloudProxy
  27. 27. Como verificar performance do seu site?  Google Page Speed (http://developers.google.com/speed/pagespe ed/insights/)  Pingdom Tools (http://tools.pingdom.com/fpt/)  GTmetrix (http://www.gtmetrix.com)
  28. 28. Obrigado pela atenção! Encontramo-nos no próximo WordPress Braga Meetup 

×