rodrigocnascimento/gist:9072703

## gistfile1.md

      
    Raw
  

              gistfile1.md
            
          
    #DIRETRIZES DE SEGURANÇA PARA WORDPRESS
###IMEDIATAS

Criar senhas únicas de autenticação e salt: https://api.wordpress.org/secret-key/1.1/salt/
Não usar 'admin' como usuário e senhas fáceis. De preferência senhas com caracteres minúsculos, maiúsculos e, quando possível, caracteres especiais.
Permissões corretas em diretórios e arquivos


todos os aquivos - 644
diretórios 755


themes 555


Desabilitar registro de novos usuários, a menos que seja extremamente importante;


Copiar o robots.txt para a raiz do site


ROBOTS.TXT

User-agent: *
Allow: /
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content
Disallow: /e/
Disallow: /show-error-*
Disallow: /xmlrpc.php
Disallow: /trackback/
Disallow: /comment-page-
Allow: /wp-content/uploads/
User-agent: Mediapartners-Google
Allow: /
User-agent: Adsbot-Google
Allow: /
User-agent: Googlebot-Image
Allow: /
User-agent: Googlebot-Mobile
Allow: /


Gerar o sitemaps do site - http://www.xml-sitemaps.com/ USAR PLUGIN É MAIS FÁCIL


Depois validar em: http://www.validome.org/google/validate


Mudar o prefixo de tabelas de "wp-" para outra qualquer (em wp-config.php)


Se estiver usando .htaccess colocar a regra "Options All -Indexes" para omitir os diretórios


Retirar em functions.php do tema a função que gera a versão do wordpress no cabeçalho (OS PLUGINS DE SEGURANÇA JÁ FAZEM ISSO)
OU


Elimine o texto sobre a versão de WordPress nas Meta Tags (no arquivo header.php) (OS PLUGINS DE SEGURANÇA JÁ FAZEM ISSO)


SEMPRE QUE POSSÍVEL


Plugins e WP sempre atualizados
Fazer backups, sempre que possível: de todo o conteúdo e do banco de dados de dados;

PLUGINS


WPDB-Manager - Faz backup do banco, otimiza a base e reapara possíveis tabelas corrompidas - http://wordpress.org/plugins/wp-dbmanager/


Sucuri Scanner - Escaneia atrás de vírus (usar depois de infetado) - http://wordpress.org/plugins/sucuri-scanner/


AntiVirus - http://wordpress.org/plugins/antivirus/


Bad Behavior - Analisa e verifica se exitem bots - http://wordpress.org/plugins/bad-behavior/


WP Better Security - Realiza várias mudanças de segurança - http://wordpress.org/plugins/better-wp-security/


Ask Apache Password Protect - Camada extra de segurança - http://wordpress.org/extend/plugins/askapache-password-protect/


COMBINAÇÕES
1 - Badbehavior + Better WP Security + Antivirus
SUPER IMPORTANTE


Cadastrar o site no webmaster tools do google, pedir revisão e aguardar. É bom par amonitorar ataques ou possíveis invasões
https://www.google.com/webmasters/tools/home?hl=en