WordPress Security Checklist

A maioria das vezes que um site feito com WordPress é invadido a culpa não é do WordPress, mas sim de alguma falha boba que poderia ter sido evitada durante a sua construção. Essa é a ideia desse projeto: Ser um checklist de ações que você deve tomar para aumentar a segurança do seu site.

wp-config

• Altere as chaves de segurança (Gerador disponibilizado pelo WordPress.org)

Página de login

• Bloqueie várias tentativas de login (Login Lockdown ou iThemes Security )
• Ative autenticação de 2 etapas (Google Authenticator)
• Use um e-mail para fazer login ao invés de um nome de usuário (Force Login With Email)
• Altere o endereço da sua página de login (iThemes Security ou diretamente pelo .htaccess)
• Remova links para sua página de login (caso exista algum em seu tema)
• Use senhas fortes com letras maiúsculas e minúsculas, números e caracteres especiais em todas as contas (gerador de senhas aleatório ou baseado em palavras)
• Altere sua senha periodicamente
• Faça com que a mensagem de erro de login seja genérica (user/pass) (tutorial)
• Desabilite a API REST do WP caso não esteja utilizando. (Disable REST API)

Painel Administrativo

• Proteja a pasta wp-admin com senha (desbloqueie apenas os arquivos necessários)
• Atualize o WordPress para sua versão mais recente
• Não utilize uma conta com nome de usuário admin. Caso exista, crie uma nova conta e apague a antiga
• Crie uma conta Editor e use-a somente para publicar seu conteúdo
• Implemente SSL em toda seção administrativa
• Instale algum plugin para verificar se algum arquivo foi editado (WP Security Scan, Wordfence ou iThemes Security)
• Escaneie o site a procura de vírus, malwares e falhas de segurança

Tema

• Atualize o tema ativo para sua versão mais recente
• Apague temas inativos
• Apenas instale temas de fontes confiáveis
• Remova a versão do WordPress no tema (tutorial)

Plugins

• Atualize todos os plugins para suas versões mais recentes
• Apague plugins inativos
• Apenas instale plugins de fontes confiáveis
• Substitua plugins desatualizados por versões alternativas atualizadas
• Pense bem antes de instalar uma centena de plugins

Banco de dados

• Altere o prefixo das tabelas (tutorial)
• Configure backups semanais do seu banco de dados (Backup WP, WP DB Backup, etc.)
• Use senhas fortes com letras maiúsculas e minúsculas, números e caracteres especiais no usuário do banco de dados (Gerador de Senhas ou or Password Meter))

Hospedagem

• Contrate uma hospedagem de confiança
• Acesse seu servidor apenas por SFTP ou SSH
• Configure as permissões das pastas para 755 e arquivos para 644 (conforme a documentação)
• Certifique-se que seu arquivo wp-config.php não possa ser acessado por outras pessoas
• Remova ou bloqueie via .htaccess os arquivos license.txt, wp-config-sample.php e readme.html
• Desabilite o editor pelo wp-config.php com o código: define('DISALLOW_FILE_EDIT',true);
• Previna a pesquisa de diretórios via .htaccess com o código: Options All -Indexes