Whatsapp Instagram
Hash Consultoria | Web Design e Ciberseguranção

Fortalecendo a Segurança do WordPress: Medidas Essenciais e Como Implementá-las

A segurança de um site WordPress é um pilar fundamental para proteger dados sensíveis, evitar ataques e garantir a integridade da informação. Neste artigo, vamos apresentar boas práticas que você pode aplicar imediatamente ao seu site para reforçar sua proteção, especialmente contra ameaças comuns como injeção de scripts (XSS), sequestro de sessões e exploração de vulnerabilidades em diretórios.

1. Segurança no arquivo robots.txt

O robots.txt orienta os mecanismos de busca sobre o que pode ou não ser indexado. Um arquivo mal configurado pode expor páginas sensíveis.

Exemplo seguro:

User-agent: *
Disallow: /wp-admin/
Disallow: /wp-includes/
Disallow: /cgi-bin/
Disallow: /trackback/
Disallow: /comments/
Disallow: /?s=
Disallow: /search
Disallow: /author/
Disallow: /feed/
Disallow: /xmlrpc.php
Sitemap: https://www.seusite.com.br/sitemap.xml

Importância: Evita indexação de áreas críticas e ajuda a manter a estrutura interna fora do alcance de bots maliciosos.

2. Cabeçalhos HTTP de segurança via .htaccess

Adicione ao seu .htaccess as seguintes diretivas para melhorar a segurança de navegação:

apache
<IfModule mod_headers.c>
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options "nosniff"
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
</IfModule>

Importância:

  • X-Frame-Options: evita que seu site seja carregado em iframes (clickjacking).

  • X-Content-Type-Options: impede que o navegador adivinhe o tipo de conteúdo.

  • Strict-Transport-Security: obriga o uso de HTTPS, fortalecendo a criptografia.

3. Configuração de cookies seguros no wp-config.php

Adicione este trecho ao início do wp-config.php:

php
if (session_status() === PHP_SESSION_NONE) {
session_set_cookie_params([
'lifetime' => 0,
'path' => '/',
'domain' => $_SERVER['HTTP_HOST'],
'secure' => true,
'httponly' => true,
'samesite' => 'Strict'
]);
session_start();
}

Importância: Garante que os cookies de sessão sejam transmitidos apenas via HTTPS, inacessíveis por scripts e com controle de contexto de origem.

4. Desabilitar acesso ao phpMyAdmin

Caso você não utilize o phpMyAdmin, pode bloquear o acesso via .htaccess com:

apache
<Directory "/usr/share/phpmyadmin">
Order Deny,Allow
Deny from all
</Directory>

Ou, simplesmente remova o pacote se estiver instalado via apt:

bash
sudo apt remove phpmyadmin

5. Testes de vulnerabilidade com Nikto

Utilize a ferramenta Nikto no Kali Linux para descobrir falhas comuns no servidor:

bash
nikto -h https://www.seusite.com.br

Importância: Ajuda a identificar configurações inseguras, diretórios expostos, falhas em headers e muito mais.

Recomendações finais:

  • Mantenha plugins e temas sempre atualizados.

  • Faça backups regulares.

  • Ative autenticação em duas etapas para usuários administrativos.

Se quiser reforçar ainda mais a segurança, considere também utilizar Web Application Firewalls (WAF) como o Cloudflare.

Crie, proteja e mantenha sua presença na Web. Desde a criação e manutenção de sites até a garantia de sua segurança, temos tudo o que você precisa.
  • (61) 9.8514-4118
  • cleomarbrdias@gmail.com
Whatsapp Instagram

Serviços

  • Processos BPM
  • Criação de Sites e Páginas Web
  • Otimização de Desempenho
  • Segurança de Sites
  • Manutenção Contínua
  • SEO (Otimização para Motores de Busca):
  • Desenvolvimento de Aplicativos Web
  • Treinamento e Consultoria
  • Análise de Vulnerabilidade
  • Testes de Invasão (Penetration Testing)
  • Ethical Hacking (Hacker Ético)
Whatsapp