Como proteger arquivos e pastas do WordPress

Confira algumas medidas de proteção para arquivos e pastas, que podem ser aplicados em sua Ferramenta WordPress:

Comandos para proteger o arquivo wp-config

Para proteger as informações de nome, usuário, senha e prefixos do banco de dados, é possível adicionar as seguintes linhas de comando no arquivo wp-config:

Para evitar que o código do arquivo seja modificado na administração do WordPress:

define ('DISALLOW_FILE_EDIT', true)

Para desativar as instalações de temas e modelos:

define ('DISALLOW_FILE_MODS', true)

Para evitar acessos indesejados:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

Comando de proteção ao arquivo .htaccess

Para proteger o arquivo .htaccess de acessos indesejados, inclua as seguintes linhas dentro da pasta do próprio arquivo:

<files .htaccess>
order allow,deny
deny from all
</files>

Comando de proteção à pasta wp-includes

Você pode adicionar mais uma camada de proteção em partes dos scripts que não podem ser acessíveis por outros usuários, através do mod_rewrite.

Para isso basta adicionar as seguintes linhas no arquivo .htaccess:

# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
# BEGIN WordPress

A linha em destaque “RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]” não será eficaz em instalações com inúmeros sites. Se necessário remova-a do comando, entretanto a segurança à pasta wp-includes será reduzida

Comando de proteção a pasta uploads

Por padrão, o WordPress não permite o upload de arquivos executáveis ​​para a pasta uploads, porém há técnicas usadas por hackers para burlar essa regra. Por conta disso, recomendamos uma  proteção extra , definindo quais extensões de arquivo podem ser enviadas para essa pasta.

Para isso, adicione as seguintes linhas de código no arquivo .htaccess:

<Files ~ ".*\..*">
Order Allow,Deny
Deny from all
</Files>
<FilesMatch "\.(jpg|jpeg|jpe|gif|png|bmp|tif|tiff)$">
Order Deny,Allow
Allow from all
</FilesMatch>

Para evitar que alguns códigos maliciosos tentem se esconder sob nomes como xxxxxx.php.jpg , adicione as linhas:

<FilesMatch "\.(php|php\.)(.+)(\w|\d)$">
Order Allow,Deny
Deny from all
</FilesMatch>

Permissões seguras de arquivos e pastas

Por padrão, o WordPress aplica permissões para ler e escrever arquivos e pastas, e em alguns casos essas permissões podem ser modicadas. Indicamos o uso das seguintes permissões:

  • Arquivos: 644
  • Pastas: 755

Junte-se a nós e esteja sempre atualizado com as últimas novidades e dicas