Arquivo de etiquetas: proteger wordpress

AntiVírus para WordPress.

Quando temos um blog temos de tomar uma série de medidas (manter a versão do wordpress actualizada, usar passwords seguras, etc) para estarmos seguros de ataques. Mas nem sempre isso chega. Mesmo com todas estas protecções pode sempre haver alguém que descobra uma nova forma de entrar no blog.

Para verificar isso foi criado o plugin Antivírus para WordPress. A página do plugin é em inglês mas isso não é problema.

A instalação é como todos os outros plugins. Basta fazer o download, descompactar para o directório wp-plugins, activar e configurar.

Depois de configurado existe a opção de o activar e ele de forma automática todos os dias fazer uma verificação ou então podermos optar por o fazer de forma manual sempre que quisermos.

Algumas das opções do plugin:

  • Avisa sempre que detecta algum parte de código que pode ser uma ameaça.
  • Possibilidade de enviar emails para avisar quando for detectado um vírus.
  • Sempre que ele detectar como perigoso determinada parte do código que na verdade sabemos que não o é podemos omitir para que nunca mais seja mostrado como perigoso.
  • Resultados por cores. Verde significa que não foi nada encontrado. Vermelho indica que foi detectado alguma coisa. A amarelo é realçado o código potencialmente perigoso.

Para já pelo plugin estou livre de ameaças. Decidi procurar por este plugin quando um leitor me informou que ao entrar no blog o anti vírus dava um aviso de vírus. Mesmo numa procura manual não detectei nada. Se mais alguém tiver o mesmo problema que deixe um comentário mas penso que tenho sido um vírus que o computador do visitante tinha e não do blog em si.

Proteger o nosso blog wordpress.

Tenho visto ultimamente algumas noticias de blogs que foram alterados ou eliminados por algum problema de segurança. Assim decidi dar algumas dicas para ajudar a proteger os vossos blogs.

Sinceramente acho o wordpress bastante seguro se se cumprir algumas regras. Como por exemplo ter sempre instalada a ultima versão do wordpress, não deixar a sessão aberta num computador publico etc. Mas aqui ficam mais algumas dicas tiradas do blog do Matt Cutts.

Proteger o directório /wp-admin/.

O seguinte código permite bloquear a pasta de modo que só certos endereços IP consigam aceder à mesma. Podem usar um ficheiro .htaccess que podemos colocar no directório /wp-admin/

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
# Lista de IP se aceder em casa
allow from 64.233.169.99
# Lista de IP se aceder no trabalho
allow from 69.147.114.210
allow from 199.239.136.200
# IP enquanto estiver em viagem, apago quando regressar
allow from 128.163.2.27

Traduzi algumas coisas para melhor compreenderem. Assim apenas os IP que introduzirem conseguem aceder a pasta todos os outros são bloqueados.

Criem um ficheiro html em branco na pasta de plugins.

Um dos exploits mais usados para entrar num blog de forma criminosa é através de algum plugin desactualizado. Assim ao criarem um ficheiro index.html em branco no endereço /wp-content/plugins/index.html. Assim quem entrar no directório vai ver uma página em branco e não uma lista dos plugins que usamos alguns dos quais podem estar desactualizados e alguém se aproveitar disso.

Subscrever o blog de desenvolvimento do WordPress.

Assim quando sair alguma actualização ou uma nova versão é anunciada no blog. Depois de sabermos quando sai as actualizações é so actualizar ou aplicar o patch.

Eliminar a possibilidade de ver a versão do wordpress.

Procurem no header.php do vosso theme a seguinte linha (ou parecida)

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please -->

Eliminem a parte “bloginfo(’version’)” assim impedem que quem visitar o blog possa ver a versão e assim descobrir se está ou não desactualizada.

Manter a segurança do blog é muito importante. Se não tomarmos precauções de um momento para o outro podemos ficar sem um blog em que já empenhamos muitas e muitas horas e temos de começar tudo de novo.