#DIRETRIZES DE SEGURANÇA PARA WORDPRESS
###IMEDIATAS
- Criar senhas únicas de autenticação e salt: https://api.wordpress.org/secret-key/1.1/salt/
- Não usar 'admin' como usuário e senhas fáceis. De preferência senhas com caracteres minúsculos, maiúsculos e, quando possível, caracteres especiais.
- Permissões corretas em diretórios e arquivos
- todos os aquivos - 644
- diretórios 755
-
themes 555
-
Desabilitar registro de novos usuários, a menos que seja extremamente importante;
-
Copiar o robots.txt para a raiz do site
User-agent: * Allow: / Disallow: /cgi-bin Disallow: /wp-admin Disallow: /wp-includes Disallow: /wp-content Disallow: /e/ Disallow: /show-error-* Disallow: /xmlrpc.php Disallow: /trackback/ Disallow: /comment-page- Allow: /wp-content/uploads/
User-agent: Mediapartners-Google Allow: /
User-agent: Adsbot-Google Allow: /
User-agent: Googlebot-Image Allow: /
User-agent: Googlebot-Mobile Allow: /
-
Gerar o sitemaps do site - http://www.xml-sitemaps.com/ USAR PLUGIN É MAIS FÁCIL
-
Depois validar em: http://www.validome.org/google/validate
-
Mudar o prefixo de tabelas de "wp-" para outra qualquer (em wp-config.php)
-
Se estiver usando .htaccess colocar a regra "Options All -Indexes" para omitir os diretórios
-
Retirar em functions.php do tema a função que gera a versão do wordpress no cabeçalho (OS PLUGINS DE SEGURANÇA JÁ FAZEM ISSO) OU
-
Elimine o texto sobre a versão de WordPress nas Meta Tags (no arquivo header.php) (OS PLUGINS DE SEGURANÇA JÁ FAZEM ISSO)
- Plugins e WP sempre atualizados
- Fazer backups, sempre que possível: de todo o conteúdo e do banco de dados de dados;
-
WPDB-Manager - Faz backup do banco, otimiza a base e reapara possíveis tabelas corrompidas - http://wordpress.org/plugins/wp-dbmanager/
-
Sucuri Scanner - Escaneia atrás de vírus (usar depois de infetado) - http://wordpress.org/plugins/sucuri-scanner/
-
AntiVirus - http://wordpress.org/plugins/antivirus/
-
Bad Behavior - Analisa e verifica se exitem bots - http://wordpress.org/plugins/bad-behavior/
-
WP Better Security - Realiza várias mudanças de segurança - http://wordpress.org/plugins/better-wp-security/
-
Ask Apache Password Protect - Camada extra de segurança - http://wordpress.org/extend/plugins/askapache-password-protect/
COMBINAÇÕES 1 - Badbehavior + Better WP Security + Antivirus
- Cadastrar o site no webmaster tools do google, pedir revisão e aguardar. É bom par amonitorar ataques ou possíveis invasões
- https://www.google.com/webmasters/tools/home?hl=en