Como proteger seu site WordPress com WP-Config?
· Время на чтение: 6mínimo · por · Publicados · AtualizadaTodo site WordPress contém um arquivo chamado "wp-config.php". Este arquivo de configuração específico do WordPress é um dos arquivos mais importantes do WordPress. O arquivo contém muitas definições de configuração que você pode alterar para melhorar a segurança do site. Neste post, mostrarei como proteger seu site WordPress com um arquivo de configuração do WordPress.
O conteúdo do artigo:
- 1. Alterar o prefixo do banco de dados
- 2. Desative a edição de arquivos de tema/plugin
- 3. Impedir que os usuários instalem ou atualizem plugins e temas
- 4. Aplicar FTP para segurança
- 5. Altere suas chaves de segurança
- 6. Esconda "wp-config.php"
- 7. Proteja seu arquivo wp-config.php
Como proteger um site WordPress com arquivo wp-config?
1. Alterar o prefixo do banco de dados
Você já viu suas tabelas de banco de dados do WordPress? (Você pode acessá-los através de sua conta de hospedagem na web) Por padrão, o banco de dados possui onze tabelas. Cada mesa tem uma função específica. Por exemplo, wp_posts armazena informações de postagens, páginas e menus de navegação. Como as funções de cada tabela são predefinidas, o hacker sabe onde os dados do seu site estão armazenados. Por exemplo, se eles quiserem usar os usuários do seu site, eles podem segmentar a tabela "wp_users".
O WordPress usa o prefixo "wp_" para todas as tabelas por padrão. Alterar esse prefixo para exclusivo pode ajudar a ocultar nomes de tabelas e proteger seu site WordPress. Para fazer isso, abra o arquivo "wp-config".
Passo 1: Para acessar wp-config.php, abra sua conta de hospedagem na web e vá para o painel de controle de hospedagem. Selecione "Gerenciador de arquivos" e você será direcionado para uma página semelhante a esta:
Passo 2. No lado esquerdo há uma pasta public_html. Nesta pasta você encontrará o arquivo wp-config.
No arquivo wp-config, altere a seguinte linha:
$table_prefix = 'wp_';
Você precisa alterá-lo para algo aleatório como:
$table_prefix = 'híbrido_';
Isso mudará o nome das tabelas no banco de dados de "wp_users" para "hybrid_users", "wp_posts" para "hybrid_posts", etc.
2. Desative a edição de arquivos de tema/plugin
O painel de controle do WordPress tem a capacidade de editar o arquivo de plugin/tema. Isso significa que, com acesso à barra de ferramentas e permissões suficientes, qualquer pessoa pode editar seus temas ou plugins.
Embora esta seja uma ferramenta útil, se você quiser reconfigurar qualquer plugin, torna-se perigoso nas mãos de um hacker. Por exemplo, digamos que um hacker conseguiu invadir seu site com um exploit. É fácil para eles adicionar malware a um plugin ou tema existente. Eles podem ocultar um backdoor que podem usar posteriormente para obter acesso ao seu site sempre que quiserem. Você pode evitar isso e proteger seu site WordPress desativando a capacidade de editar esses arquivos. Basta colocar o seguinte código no seu arquivo de configuração do WordPress:
define('DISALLOW_FILE_EDIT',true);
3. Impedir que os usuários instalem ou atualizem plugins e temas
Impedir que os usuários editem esses arquivos oferece apenas um nível de segurança. Isso não impede que hackers instalem um plug-in malicioso que eles podem usar para sequestrar seu site. Ao obter acesso ao painel de administração junto com os direitos do usuário, eles podem instalar um tema ou plug-in desonesto. Se você não instala plug-ins com frequência, pode desativar essa opção adicionando o seguinte código ao seu arquivo de configuração do WordPress:
define('DISALLOW_FILE_MODS',true);
4. Uso forçado de "FTP"
Impedir que os usuários instalem e atualizem plugins e temas pode ser restritivo e até impraticável para sites que instalam plugins com bastante frequência. Além disso, atualizar temas e plugins é muito importante para a segurança do site. Um método alternativo para garantir que os plug-ins sejam instalados por um usuário válido é forçar os usuários a fornecer dados "FTP". Mesmo que seu painel de administração seja comprometido, os hackers não poderão instalar um plug-in desonesto se não tiverem suas credenciais de FTP.
Basta adicionar as seguintes linhas ao seu "wp-config.php":
define('FS_METHOD', 'ftpext');
Se o seu host ou servidor da Web oferecer suporte a FTPS, adicione as seguintes linhas ao arquivo de configuração:
define('FTP_SSL', verdadeiro);
Se o seu host ou servidor da web for compatível com "SFTP", adicione as seguintes linhas:
define('FS_METHOD', 'ssh2');
5. Alterar chaves de segurança
Você não precisa inserir suas credenciais toda vez que precisar fazer login no seu site. Você já se perguntou como seu navegador armazena essas credenciais? Depois de fazer login em sua conta, suas informações de login são armazenadas criptografadas em um cookie do navegador. As chaves de segurança são variáveis aleatórias que ajudam a melhorar essa criptografia. Se o seu site for invadido, alterar as chaves secretas invalidará os cookies e forçará todos os usuários ativos a serem desconectados automaticamente. Após a redefinição, o hacker perde o acesso ao seu administrador do WordPress. Você pode gerar um novo conjunto de chaves de segurança e colocá-las no arquivo "wp-config". Isso ajudará a proteger seu site WordPress.
6. Esconda "wp-config.php"
Em qualquer site WordPress, o arquivo wp-config tem um local padrão. Portanto, alterar a localização do arquivo pode evitar que ele caia nas mãos de hackers. Felizmente, o WordPress permite que a pasta "wp-config" resida fora da instalação do WordPress. Por exemplo, se o seu WordPress estiver instalado na pasta public_html, o arquivo de configuração estará presente na pasta public_html por padrão. Mas você pode mover o wp-config para fora da pasta public_html e ele ainda funcionará.
7. Proteja o arquivo wp-config.php
A configuração é vulnerável a ataques, tornando obrigatório protegê-la. Uma maneira de fazer isso é alterar sua localização para que os hackers não possam encontrá-lo no local padrão. Embora alguns desenvolvedores possam se opor a isso, muitas pessoas acham que é uma boa ideia.
Outra medida de segurança que você pode tomar é restringir as permissões de arquivo. Defina as permissões do arquivo para 600 para que apenas os proprietários originais possam editar o arquivo wp-config. Para alterar a permissão do arquivo wp-config, selecione o arquivo e selecione a opção Permissão.
Você então precisa incluir as seguintes linhas em seu arquivo .htaccess para evitar que hackers carreguem o arquivo wp-config diretamente do navegador.
# proteger wpconfig.php ordem permitir, negar negar de todos
Finalmente
Foi aqui que expliquei como proteger seu site WordPress com um arquivo wp-config, mas essa é apenas uma das muitas maneiras de aumentar a segurança do seu site. Algumas outras medidas de segurança que você pode tomar incluem usar um plug-in de segurança, usar um certificado SSL, usar um nome de usuário e senha exclusivos e fortes, implementar autenticação HTTP e autenticação de dois fatores, entre outros. Mas antes de aplicar qualquer um desses métodos, você deve fazer backup do seu site. Se algo der errado, você pode simplesmente restaurar seu backup e colocar nosso site em funcionamento rapidamente.
Lendo este artigo:
Obrigado por ler: AJUDANTE DE SEO | NICOLA.TOP