Como proteger seu site em WordPress com htaccess
- Segunda, 20th Abril, 2009
- 21:38pm
Para qualquer segmento de negócio, garantir a segurança do seu site é um ponto muito importante. No WordPress você dispõe de inúmeras opções para deixar seu site mais seguro e não perder seus conteúdos. vamos te ensinar a fortalecer as “muralhas” do seu blog por meio do arquivo .htaccess. Com WordPress htaccess, você pode bloquear o acesso a pastas e arquivos específicos, restringir o login por IP e até especificar injeções SQL que os hackers costumam utilizar.
Se você estudar e buscar sobre segurança no WordPress, vai encontrar inúmeros plugins e medidas de segurança via código.
Os plugins são muito úteis, muitas vezes mais fáceis de instalar e configurar. Todavia, são pacotes de código que você instala em seu site e podem influenciar em seu desempenho. É muito importante realizar medidas de segurança por meio de códigos e arquivos.
Dessa forma, seu site vai ficar vacinado de todas as formas possíveis.
Hoje vamos implementar medidas de segurança utilizando o arquivo .htaccess. Esse arquivo costuma estar presente na raiz do seu servidor, geralmente em modo oculto. Caso você constate que o mesmo não existe no servidor do seu site, você pode criar um arquivo .htaccess e fazer as implementações de segurança que vamos te ensinar aqui. Você pode editar e criar o arquivo pelo FTP ou por seu cPanel.
Bloqueie qualquer requisição direta ao wp-config.php
O código abaixo bloqueia qualquer tentativa de acesso direto ao arquivo wp-config.php. Nesse arquivo são armazenadas todas as configurações da sua instalação WordPress e de acesso ao seu Banco de Dados. Então, é muito importante garantir que ninguém além de você tenha acesso a ele.
Copie e cole o código:
<
files
wp-config.php>
order allow,deny
deny from all
</
files
>
Pessoas mal intencionadas, como hackers, utilizam algumas injeções de SQL já conhecidas. Sabendo disso, podemos especificar o bloqueio de algumas por meio do .htaccess.
<
IfModule
mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
RewriteRule ^(.*)$ - [F,L]
RewriteCond %{QUERY_STRING} ../ [NC,OR]
RewriteCond %{QUERY_STRING} boot.ini [NC,OR]
RewriteCond %{QUERY_STRING} tag= [NC,OR]
RewriteCond %{QUERY_STRING} ftp: [NC,OR]
RewriteCond %{QUERY_STRING} http: [NC,OR]
RewriteCond %{QUERY_STRING} https: [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|ê|"|;|?|*|=$).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*("|'|<|>|\|{||).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^(.*)$ - [F,L]
</
IfModule
>
Se você utiliza IP real, pode restringir o acesso a sua página de login e efetivamente ao processo de login. Especificando no arquivo .htaccess o seu IP, qualquer tentativa de login ou acesso a página wp-login.php por um IP diferente, será bloqueado.
order deny,allow
# Substitua o IP 117.168.1.10 com o seu IP, ideal apenas para ip estático #
allow from 117.168.1.10
deny from all
Se você tem percebido que os ataques ou tentativas de ataque ao seu site são provenientes de um mesmo IP, pode bloqueá-los manualmente pelo .htaccess.
Copie e cole no arquivo .htaccess do seu servidor o seguinte código, especificando um IP para bloqueio por linha:
## Malicious IP Blocking ##
order allow,deny
deny from 1.1.1.1
deny from 2.2.2.2
allow from all
Diversos outros métodos de segurança podem ser implementados utilizando o .htaccess. Aqui nós listamos apenas algumas das mais importantes, mas segurança nunca é demais. Mantenha seus plugins atualizados e especifique as permissões corretas para pastas e arquivos. Com WordPress htaccess você mantém seu site completamente blindado de possíveis tentativas de ataque.
Se você gostou desse artigo considere compartilhar nas redes sociais. Siga-nos nas redes sociais para acompanhar mais artigos como esse. Se de alguma forma este artigo lhe foi útil deixa seu comentário abaixo para podermos saber a sua opinião.