Como proteger arquivos e pastas do WordPress

Confira algumas medidas de proteção para arquivos e pastas, que podem ser aplicados em sua Ferramenta WordPress:

Comandos para proteger o arquivo wp-config
Comando de proteção ao arquivo .htaccess
Comando de proteção a pasta wp-includes
Comando de proteção a pasta uploads
Permissões seguras de arquivos e pastas

Comandos para proteger o arquivo wp-config

Para proteger as informações de nome, usuário, senha e prefixos do banco de dados, é possível adicionar as seguintes linhas de comando no arquivo wp-config:

Para evitar que o código do arquivo seja modificado na administração do WordPress:

define ('DISALLOW_FILE_EDIT', true);

Para desativar as instalações de temas e modelos:

define ('DISALLOW_FILE_MODS', true);

Para evitar acessos indesejados:

<Files wp-config.php> order allow,deny deny from all </Files>

No material Gerenciador de arquivos do cPanel, na seção Editar, aprenda como como editar um arquivo

Comando de proteção ao arquivo .htaccess

Para proteger o arquivo .htaccess de acessos indesejados, inclua as seguintes linhas dentro da pasta do próprio arquivo:

<files .htaccess> order allow,deny deny from all </files>

Saiba como editar e adicionar linhas no arquivo .htaccess através do material "Como editar o arquivo .htaccess através do cPanel?"

Comando de proteção à pasta wp-includes

Você pode adicionar mais uma camada de proteção em partes dos scripts que não podem ser acessíveis por outros usuários, através do mod_rewrite.

Para isso basta adicionar as seguintes linhas no arquivo .htaccess:

# Block the include-only files. RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] # BEGIN WordPress

A linha em destaque "RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]" não será eficaz em instalações com inúmeros sites. Se necessário remova-a do comando, entretanto a segurança à pasta wp-includes será reduzida

Saiba como editar e adicionar linhas no arquivo .htaccess através do material "Como editar o arquivo .htaccess através do cPanel?"

Comando de proteção a pasta uploads

Por padrão, o WordPress não permite o upload de arquivos executáveis para a pasta uploads, porém há técnicas usadas por hackers para burlar essa regra. Por conta disso, recomendamos uma proteção extra , definindo quais extensões de arquivo podem ser enviadas para essa pasta.

Para isso, adicione as seguintes linhas de código no arquivo .htaccess:

<Files ~ ".*\..*"> Order Allow,Deny Deny from all </Files> <FilesMatch "\.(jpg|jpeg|jpe|gif|png|bmp|tif|tiff)$"> Order Deny,Allow Allow from all </FilesMatch>

Para evitar que alguns códigos maliciosos tentem se esconder sob nomes como xxxxxx.php.jpg , adicione as linhas:

<FilesMatch "\.(php|php\.)(.+)(\w|\d)$"> Order Allow,Deny Deny from all </FilesMatch>

Saiba como editar e adicionar linhas no arquivo .htaccess através do material "Como editar o arquivo .htaccess através do cPanel?"

Permissões seguras de arquivos e pastas

Por padrão, o WordPress aplica permissões para ler e escrever arquivos e pastas, e em alguns casos essas permissões podem ser modicadas. Indicamos o uso das seguintes permissões:

Arquivos: 644
Pastas: 755

Arquivos e pastas com mais permissões são possíveis fontes de vulnerabilidades, é possível alterá-los para o padrão do cPanel ou do seu cliente FTP favorito. Para saber como, confira o material "Como alterar a permissão de um arquivo ou pasta?"

Artigos nessa seção