Um costume muito eficaz para afinar a segurança no WordPress é evitar que os arquivos do sistema, em especial os códigos PHP, sejam acessados e possam ser executados fora do escopo do WordPress.
Escapar o acesso direto aos arquivos do tipo PHP contribui na cautela de ataques possíveis de serem realizados mediante brechas nas permissões dos servidores, themes ou plugins, serviço WEB, Sistema Operacional desatualizados ou outra vulnerabilidade de segurança.
Agora vamos abordar como proteger diretório e arquivos de nosso WordPress.
Tópicos
- HTACCESS – WordPress
- HTACCESS – Impedindo Listagem do Diretório Uploads
- HTACCESS – Bloquear Subdiretório do Diretório WordPress
- HTACCESS – Protegendo o Acesso WP-CONFIG
- HTACCESS – Personalizando Página Erro HTML
- HTACCESS – Controlando Hotlink’s
- HTACCESS – Impedir Script Injection
- HTACCESS – Impedindo Cadastro e Postagem Não Autorizada SPAM
- HTACCESS – Impedindo Lista Usuários
Impedir a listagem de diretórios
O WordPress possui como boa prática de inserir, na maioria das vezes, na sua estrutura de diretórios um arquivo index.php vazio. Isso impede que o servidor faça a listagem dos arquivos do diretório.
Se você realizar um teste em seu WordPress, acesse https://seuwordpress/wp-content/. Você verá provavelmente uma tela em branco (resultado do arquivo index.php do WordPress inserido nessa pasta).
Agora tente acessar https://seuwordpress/wp-content/uploads/. O que aconteceu? Provavelmente a sua árvore de diretório foi exibia conforme a imagem abaixo.
Essa imagem é de um blog famoso, e pelo motivo óbvio, manteremos sigilo, e é claro que iremos alertar seu proprietário.
Se a tela acima foi exibida, você tem um grande problema a resolver. Isso porquê além de mostrar o seu conteúdo para as pessoas, isso pode representar que o servidor não possui tanto cuidado com a segurança, e na maioria das vezes os provedores não têm tal cuidado. Para relsover isso você pode simplesmente criar um arquivos index.php para cada diretório que não o tiver, ou….
Agora vamos resolver esse problema.
Vamos inserir, dentro do arquivo .htaccess (pode ser antes da instrução #BEGIN WordPress), a seguintes linhas:
# Linha inserida por “seu nome“ Options All –Indexes
Observem que eu coloquei um comentário antes para seguirmos essa é uma boa prática no mundo dos desenvolvedores, e pra ficar mais legal, você pode incrementar essa linha com sua responsabilidade no site mais a data de alteração.
Após salvar aperte a tecla “F5” para carregar a página. Se ocorreu tudo bem uma tela de erro 403 – Acesso Negado Será Exibida.
Impedindo Que Arquivos PHP Sejam Injetados No Diretório /uploads
Os arquivos PHP injetados nas pastas de uploads podem ser neutralizados e assim evitamos que os códigos dos backdoors em arquivos PHP sejam executados. Para isso, precisamos considerar o uso de uma diretiva no arquivo de configuração do Apache que bloqueia a execução de scritpts PHP nessa localização esse arquivo é o htaccess
As Seguintes linha vão impedir que arquivos de extensão .php seja introduzidos nesse diretório.
#Impedidno injeção de extensão php no diretório“ #Fábio Couto - Blog do Bidela #https://blog.bidel.com.br <Directory "/var/www/wp-content/uploads/"> <Files "*.php"> Order Deny,Allow Deny from All </Files> </Directory>
DICA: devido a sensibilidade desse arquivo, evite copiar e colar diretamente no editor de código do site. Caso não queira digitar o código, cole a linha de código em um bloco de notas e depois copie e cole para o editor de código. Com isso evitaremos que quaisquer sugeriras, como a formatação ou códigos html incorporados, contamina o arquivo .htaccess no seu WordPress evitando erros chatos de serem corrigidos.
Aqui concluímos a primeira etapa de nossa de segurança no nosso WordPress.
Se está gostando das postagens, se inscreva em nosso site para receber mais materiais de nosso blog, é grátis, você vai ser notificado quando novas postagens forem publicadas, recebendo assim mais conteúdos de qualidades e ainda vai dar aquela força pra nossa comunidade. E não esquece de compartilhar em suas redes sociais os botões estão no final desse página.
No final dessa página temos um campo onde você é bem vindo para deixar seus comentários. Pode ser uma opinião, elogios, críticas ou correções. Pode ficar a vontade para tirar suas dúvidas ou colaborar acrescentando algo que tenhamos deixado passar desapercebido.
Sua visita e feedback é muito importante para o nosso espaço.
Pingback: HTACCESS – Impedir Script Injection – Blog do Bidela
não funcionou
Olá Empreendimentos, bom vê-lo por aqui!
Essa postagem foi testada e validada por algumas agências parceiras e amigos que trabalham com WordPress, inclusive eu validei o procedimento antes de publicá-lo. Recomendo revisar minuciosamente todos os passos, mas se ainda assim não deu certo…
Para ajudá-lo vou precisar de mais informações:
Qual seu provedor de hospedagem;
O endereço do site que está tentando aplicar a solução;
Em que diretório encontra-se o arquivo .htaccess;
E se possível o código escrito no seu arquivo .htaccess.
No agurado…