Desenvolvimento Do jQuery Light Box Plugin ao vivo
Como manter seu WordPress seguro
1. O WordPress é seguro.
Inseguro é você.
Leandro Vieira / Fundador e CEO da Apiki
leandro@apiki.com
O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
2. #WordPressSeguro
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
3. O que veremos hoje?
• Atualizações;
• Usuários e senhas;
• Autenticação de dois fatores;
• wp-config.php;
• Debug;
• Exclusão de arquivos;
• Rotina de verificações;
• Permissões;
• Robots.txt;
• Fornecedores;
• Banco de dados;
• .htaccess;
• Backups;
• Guia prático.
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
4. @Atualizações
Core. Temas. Plugins. Sistema Operacional. Bibliotecas.
Tudo.
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
5. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
6. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
7. @Atualizações
Core. Temas. Plugins. Sistema Operacional. Bibliotecas.
Tudo.
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
9. @Usuário e senhas
“admin”. Senhas. Ataques. Desconexão.
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
10. @Usuário e senhas
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
11. @Usuário e senhas
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
https://api.wordpress.org/secret-key/1.1/salt/
12. @Usuário e senhas
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
13. @Autenticação de dois fatores
Quem é você. O que você tem. O que você sabe.
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
14. @Autenticação de dois fatores
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
16. @wp-config.php
• Manter o arquivo um nível acima do diretório público;
• Usar a permissão 400 (readonly) ou 600;
• No arquivo .htaccess fazer uso de diretiva para proteção do arquivo.
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
17. @Debug
O que os olhos não veem …
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
18. @Debug
/wp-content/debug.log
define( 'WP_DEBUG', true );
define( 'WP_DEBUG_LOG', true );
@ini_set( 'log_errors', 'On' );
define( 'WP_DEBUG_DISPLAY', false );
@ini_set( 'display_errors', 'Off' );
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
19. @Exclusão de arquivos
Hã?
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
22. @Permissões
400. 600. 644. 755.
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
23. @Permissões
O WordPress é seguro. Inseguro é você.
• 400/600 para o wp-config.php;
• 600 para o debug.log;
• 644 para os arquivos;
• 755 para os diretórios.
O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
24. @robots.txt
Diga não ao Google.
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
25. @robots.txt
User-agent: *
Disallow: /feed/
Disallow: /trackback/
Disallow: /wp-admin/
Disallow: /wp-content/
Disallow: /wp-includes/
Disallow: /xmlrpc.php
Disallow: /wp-
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
27. @Banco de Dados
Prefixo.
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
28. O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
29. @Banco de Dados
wp_
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
30. @.htaccess
Mágico. Indexes. Debug. wp-config. wp-includes. Spam.
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
31. @.htaccess
#1
Options -Indexes
#2
<Files debug.log>
Order allow,deny
Deny from all
</Files>
#3
<files wp-config.php>
order allow,deny
deny from all
</files>
#4
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
32. @.htaccess / Spam
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .(wp-comments-post|wp-login).php*
RewriteCond %{HTTP_REFERER} !.*example.com.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) http://%{REMOTE_ADDR}/$ [R=301,L]
</ifModule>
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
33. @.htaccess
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
Full Path Disclosure (FPD). site-em-wp.com.br/wp-includes/rss-functions.php
34. @Backups
Banco de dados. Arquivos. Redundância.
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
35. Sugestão de plugin
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
37. O WordPress é
seguro…
O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
38. E você também.
Muito obrigado o/.
O WordPress é seguro. E você também.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro
Leandro Vieira / Fundador e CEO da Apiki
leandro@apiki.com