O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.
WordPress
Porto Meetup
Bem-vindos!
Teotónio Ricardo
 Twitter: @cenourinha
 Facebook: fb.me/cenourinha
 Blog: teotonio.pt
 E-mail: eu@teotonio.pt
WordPress 1.5
 Experiência em WordPress desde lançamento
do WordPress 1.5 com o clássico theme Kubrick
- 17 February 2005
Fornecedor de Soluções de Alojamento Web Nacional
http://www.webtuga.pt - http://wt.pt – http://webtu.ga
Suporte Técnico @...
Segurança, Optimização
e Performance
Saiba como preparar o seu WordPress para a Internet
Segurança em WordPress
Proteja o seu site WordPress
1) Utilize um fornecedor de alojamento Web
seguro.
2) Proteja os seus dados de acesso FTP (e ...
1) Utilize um fornecedor de
alojamento Web seguro
 Certifique-se que o seu fornecedor de serviço
de alojamento web proteg...
 O fornecedor de alojamento web deve fornecer
algumas camadas de segurança que previnam os
ataques mais populares, proteg...
Software de Servidor:
- Apache, nginx, lighttpd, Litespeed, IIS - Manter um
filtro web a nível de software - Exemplo:
mod_...
 Coloque algumas questões relativamente à
segurança dos servidores ao seu fornecedor de
alojamento web. Certifique-se que...
 Se o seu fornecedor de alojamento web não
proteger minimamente os serviços, estará a
colocar em risco os seus sites e da...
2) Proteja os seus dados de
acesso FTP (e cPanel, Plesk,
etc.)
 Não defina passwords simples para o seu
acesso FTP;
 Não...
3) Instalação e Configuração
Segura do WordPress
Quando fizer a primeira instalação da sua
plataforma WordPress:
 Não uti...
 Não utilize o prefixo default das tabelas do
WordPress (wp_);
 Altere a pasta/url default da administração do
WordPress...
4) Gestão de Plugins e
Themes
 Apenas plug-ins e themes de fontes seguras;
 Muitas das vezes quando não descarregados da...
5) Mantenha a plataforma
actualizada
 Para garantir que o seu site não é atacado
através de um ataque 0-day, deverá atual...
 Para além da plataforma, deverá também
manter sempre os seus plugins atualizados na
última versão disponibilizada. Certi...
6) Faça os seus próprios
Backups
 Existem várias formas de fazer backups do
WordPress (Plug-ins, Serviços Online, etc).
M...
7) Instale Plug-ins de
Segurança
 Better WP Security
 Limit Login Attemps
 Wordfence
 Login Lockdown
 WordPress Firew...
8) Utilize serviços de CDN
 CloudFlare
 Incapsula
 CloudProxy
Optimização de Performance
do WordPress
Optimize o seu site WordPress
para levar com carga
1) Aloje o seu site num serviço de
Alojamento estável;
2) Limitar númer...
5) Evite ter demasiados Widgets JavaScript
externos
 Widgets de Tempo;
 Widgets de Contagem de Visitas;
 Animações Java...
9) Optimizar e juntar ficheiros CSS,
JavaScript e output HTML;
Pode ser feito recorrendo a estes plugins:
 WP Minify;
 W...
11) Optimize frequentemente a base de
dados pelo phpMyAdmin:
 Pode ser feito utilizando o plug-in Optimize
DB;
12) Reduzi...
14) Gzip e mod_deflate:
 Comprimir ficheiros ao nível do servidor;
15) Ativar Plug-ins de Cache:
 WP Super Cache;
 W3 T...
Como verificar a performance do seu
site?
 Google Page Speed
(http://developers.google.com/speed/pagespe
ed/insights/)
 ...
Obrigado pela
atenção!
Encontramo-nos no próximo
WordPress Porto Meetup

Teotónio Ricardo
 Twitter: @cenourinha
 Facebook: fb.me/cenourinha
 Blog: teotonio.pt
 E-mail: eu@teotonio.pt
Próximos SlideShares
Carregando em…5
×

WordPress - Segurança, Performance e Optimização

389 visualizações

Publicada em

Workshop sobre Segurança, Performance e Optimização da plataforma WordPress

Publicada em: Tecnologia
  • Entre para ver os comentários

  • Seja a primeira pessoa a gostar disto

WordPress - Segurança, Performance e Optimização

  1. 1. WordPress Porto Meetup Bem-vindos!
  2. 2. Teotónio Ricardo  Twitter: @cenourinha  Facebook: fb.me/cenourinha  Blog: teotonio.pt  E-mail: eu@teotonio.pt
  3. 3. WordPress 1.5  Experiência em WordPress desde lançamento do WordPress 1.5 com o clássico theme Kubrick - 17 February 2005
  4. 4. Fornecedor de Soluções de Alojamento Web Nacional http://www.webtuga.pt - http://wt.pt – http://webtu.ga Suporte Técnico @ WebTuga (centenas ou mesmo milhares de sites em WordPress)
  5. 5. Segurança, Optimização e Performance Saiba como preparar o seu WordPress para a Internet
  6. 6. Segurança em WordPress
  7. 7. Proteja o seu site WordPress 1) Utilize um fornecedor de alojamento Web seguro. 2) Proteja os seus dados de acesso FTP (e cPanel, Plesk, etc) 3) Instalação e Configuração Segura do WordPress 4) Gestão de Plugins e Themes 5) Mantenha a plataforma atualizada 6) Faça os seus próprios Backups 7) Instale Plug-ins de Segurança 8) Utilize serviços de CDN
  8. 8. 1) Utilize um fornecedor de alojamento Web seguro  Certifique-se que o seu fornecedor de serviço de alojamento web protege minimamente os seus servidores.  Existem várias camadas de segurança que necessitam de estar minimamente protegidas para além da sua plataforma WordPress.
  9. 9.  O fornecedor de alojamento web deve fornecer algumas camadas de segurança que previnam os ataques mais populares, protegendo a… Rede: - Redundância - Firewalls - Sistemas Anti-DDoS - CDN Sistema Operativo: - Kernel recente; - CloudLinux (cageFS) Serviços de Gestão Remota: - (Acessos Restritos - Apenas VPN) - SSH - RDP
  10. 10. Software de Servidor: - Apache, nginx, lighttpd, Litespeed, IIS - Manter um filtro web a nível de software - Exemplo: mod_security - MySQL / MSSQL / postgresql - Limitar o acesso remoto - IMAP/POP3/Webmail - Bloquear acesso após x tentativas de autenticação falhadas Painel de Controlo WebHosting: - (manter atualizados e bloquear acesso após x tentativas de autenticação falhadas) - cPanel - Plesk - Webmin - Atomia
  11. 11.  Coloque algumas questões relativamente à segurança dos servidores ao seu fornecedor de alojamento web. Certifique-se que este mantém um filtro que protege os seus sites contra os ataques mais conhecidos:  SQL Injection;  Malware Injection;  Spam-bots;  Ataques Bruteforce;  Simulações de pedidos HTTP;  Ataques Cross-Site Scripting (XSS)  Ataques de Negação (DoS/DDoS)
  12. 12.  Se o seu fornecedor de alojamento web não proteger minimamente os serviços, estará a colocar em risco os seus sites e dados, podendo todos os sites alojados num determinado servidor serem totalmente comprometidos (massive attack).  A segurança não é algo linear, existem várias camadas de segurança e vários tipos de ataque. Cabe a todos promover e adotar medidas de segurança, seja o fornecedor de alojamento web, seja o webmaster/blogger ou o visitante/utilizador do site.
  13. 13. 2) Proteja os seus dados de acesso FTP (e cPanel, Plesk, etc.)  Não defina passwords simples para o seu acesso FTP;  Não guarde a sua password em plain-text (FileZilla).
  14. 14. 3) Instalação e Configuração Segura do WordPress Quando fizer a primeira instalação da sua plataforma WordPress:  Não utilize o username default “admin”;  Defina uma password composta por caracteres alfanuméricos;  Certifique-se que a base de dados e o username MySQL têm nomes aleatórios e seguros;  Certifique-se que a password do utilizador MySQL é complexa e segura;
  15. 15.  Não utilize o prefixo default das tabelas do WordPress (wp_);  Altere a pasta/url default da administração do WordPress ( Plugin: Better WP Security);  Proteja o acesso ao ficheiro wp-login.php por dupla autenticação (.htpasswd);  Proteja o acesso ao ficheiro wp-config.php via .htaccess;  Não publique a versão do seu WordPress;  Desative a edição dos themes pelo painel de administração: No ficheiro wp-config.php, adicione a seguinte linha: define(‘DISALLOW_FILE_EDIT’, true )
  16. 16. 4) Gestão de Plugins e Themes  Apenas plug-ins e themes de fontes seguras;  Muitas das vezes quando não descarregados da fonte original, os plugins e themes têm código malicioso injectado de forma encriptada que poderá ser utilizado para comprometer o seu site ou distribuir malware pelas visitas do seu site.
  17. 17. 5) Mantenha a plataforma actualizada  Para garantir que o seu site não é atacado através de um ataque 0-day, deverá atualizar regularmente a sua plataforma WordPress. Neste momento, as atualizações do core do WordPress são automáticas, pelo que deverá manter esta opção ativa.  Se tem uma plataforma WordPress com uma versão antiga, deverá efetuar o upgrade o mais rapidamente possível.
  18. 18.  Para além da plataforma, deverá também manter sempre os seus plugins atualizados na última versão disponibilizada. Certifique-se também que apenas utiliza Plugins de fontes seguras e que os mesmos ainda são suportados.  Existem bastantes plugins que já não são atualizados/mantidos pelos seus desenvolvedores, pelo que deverá fazer uma pesquisa na Internet sempre que ativar um plugin de forma a saber se não existem falhas de segurança conhecidas para a versão que vai utilizar.
  19. 19. 6) Faça os seus próprios Backups  Existem várias formas de fazer backups do WordPress (Plug-ins, Serviços Online, etc). Mantenha sempre uma cópia recente dos ficheiros e base de dados do WordPress.
  20. 20. 7) Instale Plug-ins de Segurança  Better WP Security  Limit Login Attemps  Wordfence  Login Lockdown  WordPress Firewall  All in one WordPress Firewall
  21. 21. 8) Utilize serviços de CDN  CloudFlare  Incapsula  CloudProxy
  22. 22. Optimização de Performance do WordPress
  23. 23. Optimize o seu site WordPress para levar com carga 1) Aloje o seu site num serviço de Alojamento estável; 2) Limitar número de Posts por página; 3) Manter o WordPress e Plug-ins (válido para a Segurança e Optimização); 4) Não utilize demasiados plug-ins;
  24. 24. 5) Evite ter demasiados Widgets JavaScript externos  Widgets de Tempo;  Widgets de Contagem de Visitas;  Animações JavaScript;  Facebook Share;  Botões Twitter;  etc... 6) Optimize as imagens do seu blog/site; 7) Carregar scripts javascript apenas no fundo do site; 8) Reduzir pedidos HTTP;
  25. 25. 9) Optimizar e juntar ficheiros CSS, JavaScript e output HTML; Pode ser feito recorrendo a estes plugins:  WP Minify;  W3 Total Cache; 10) Desativar Post Revisions: Colocar as seguintes linhas no código do wp- config.php: define(‘AUTOSAVE_INTERVAL', 300); define('WP_POST_REVISIONS', false );
  26. 26. 11) Optimize frequentemente a base de dados pelo phpMyAdmin:  Pode ser feito utilizando o plug-in Optimize DB; 12) Reduzir queries MySQL; 13) Fazer Debug ao WordPress:  Poderá fazer debug colocando a seguinte linha no ficheiro wp-config.php: define('WP_DEBUG', true);
  27. 27. 14) Gzip e mod_deflate:  Comprimir ficheiros ao nível do servidor; 15) Ativar Plug-ins de Cache:  WP Super Cache;  W3 Total Cache;  Hyper Cache;  WP Cache; 16) Utilizar rede CDN:  CloudFlare  Incapsula  CloudProxy
  28. 28. Como verificar a performance do seu site?  Google Page Speed (http://developers.google.com/speed/pagespe ed/insights/)  Pingdom Tools (http://tools.pingdom.com/fpt/)  GTmetrix (http://www.gtmetrix.com)
  29. 29. Obrigado pela atenção! Encontramo-nos no próximo WordPress Porto Meetup 
  30. 30. Teotónio Ricardo  Twitter: @cenourinha  Facebook: fb.me/cenourinha  Blog: teotonio.pt  E-mail: eu@teotonio.pt

×