O WordPress necessita de uma base de dados e não se preocupa se você partilha essa mesma base de dados com outras aplicações.

No entanto, existem algumas precauções que deverá ter quando cria as suas bases de dados para blogs em WordPress:

• Crie uma base de dados para o WordPress. O WP utiliza apenas algumas tabelas de uma base de dados MySQL, mas é melhor que providencie uma base de dados somente para o seu blog, ao invés de a partilhar com outros aplicativos.
• Garanta acesso ilimitado à base de dados. Crie um utilizador com acesso à base de dados apenas e garanta acesso ilimitado aos comandos SQL dessa mesma base de dados (select, insert, delete, update, create, drop e alter).
• Utilize uma password forte. As melhores passwords são seguramente aquelas que são criadas aleatoriamente pelo sistema.

Para os menos conhecedores como nós, estas operações são executadas a partir do Painel de Controlo. No entanto, para os mais conhecedores sobre MySQL, ficam as seguintes queries que poderão utilizar para executar a segurança:

$ mysql -u root -p
mysql> CREATE DATABASE 'myblog';
mysql> GRANT SELECT, INSERT, DELETE, UPDATE, CREATE, DROP, ALTER on myblog.* to 'bloguser'@'localhost' identified BY 'mypassword';
mysql> flush PRIVILEGES;
mysql> exit;

2- NÃO UTILIZAR O LOGIN ‘ADMIN’

Se por ventura instala o WordPress manualmente, isso envolve modificar manualmente a base de dados. Os utilizadores do Fantastico conseguem definir um utilizador Admin e password como parte do processo de instalação. Existem mais campos para preencher mas pelo menos a sua segurança fica salva

$ mysql -u bloguser -p
Password: mypassword
mysql> USE myblog;
mysql> UPDATE wp23jk1_users SET user_login='myadm' WHERE user_login='admin';
mysql> exit;

Poderá utilizar o interface do phpMyAdmin e utilizá-lo na base de dados correcta, que na verdade é a hdlee_blogbuild. Depois disso, o seu o seu login deixará de ser ‘admin’ para passar a ser ‘myadmin’.

3- UTILIZE UMA PASSWORD SEGURA

Alterar o seu username para um outro qualquer não significa que você esteja livre de problemas. Se por ventura utilizar uma página de perfil multi-autor no seu blog, é bem provável que exponha o seu username às massas, pelo que a sua segurança fica comprometida.

Assumindo esse problema, deverá seleccionar uma password segura para o seu blog WordPress, que combine tanto letras grandes como pequenas, e ainda números.

4- UTILIZE UM LOGIN SEGURO ATRAVÉS DE UM CANAL SEGURO

Os utilizadores do WordPress que têm o SSL ligado para o seu domínio (Fale com o seu provedor de alojamento/hospedagem primeiro) deverão utilizar um canal seguro para acederem ao painel de controlo do seu blog WordPress. Poderá forçar sessões de administrador via HTTPS colocando a variável FORCE_SSL_ADMIN em TRUE no seu ficheiro wp-config.php.

Copie e cole o seguinte código no seu ficheiro wp-config.php.

define('FORCE_SSL_ADMIN', true);

5- ACTUALIZE SEMPRE QUE SAIR UMA NOVA VERSÃO

Quando a organização do WordPress lança uma nova versão, especialmente uma que inclui melhorias ao nível da segurança, é primordial que actualize de imediato o seu blog, ainda que inclua novidades que você não vai utilizar.

6- FAÇA BACKUP DOS SEUS FICHEIROS E BASE DE DADOS

Instale um plugin ou utilize um cronjob para criar uma base de dados e backups dos seus ficheiros todos os dias. Isto pode não estar directamente relacionado com segurança, mas no caso de intrusão, você irá ficar seguramente satisfeito de ter um backup.

Um dos plugins mais potentes para backup é o WP-Backup, que tem a possibilidade de enviar automaticamente os seus backups para a sua conta do Gmail, sem que você se tenha de preocupar com isso.

7- ESCONDA OS SEUS DIRETÓRIOS

Por defeito na grande maioria dos alojamentos/hospedagens, o index das diretorias aparece nos browsers de internet. Isso tem um propósito, mas também significa que você revela o conteúdo de qualquer diretório do seu blog que não contenha uma página index.html ou index.php.

Modificar este comportamento é simples com Apache, adicionando a seguinte linha de código ao ficheiro .htaccess que se encontra na raíz do seu servidor:

Options All -Indexes

8- PROTEJA OS FICHEIROS DE ADMINISTRAÇÃO DO SEU BLOG

Os ficheiros de administração do WordPress estão localizados na diretoria wp-admin da sua instalação WordPress, exceptuando o wp-config.php.

Poderá definir uma acesso restrito via .htaccess ou especificar o acesso por endereço de IP a um diretório ou ficheiro específico. Se por ventura utiliza um endereço de IP único e está sempre a bloggar a partir do seu PC, esta poderá ser uma opção.

Tome nota de que poderá extender o acesso a uma gama de IPs.

Irá necessitar de criar e colocar um ficheiro .htaccess no seu diretório wp-admin.

Exemplo:

Order Deny,Allow
Allow from ww.xx.yy.zz
Deny from all

Protejendo a diretoria wp-admin com user e password adiciona também um outro nível de segurança. O Apache tem informação completa sobre autenticação, autorização e controlo de acessos.

Exemplo:

AuthType Basic
AuthName "WordPress Dashboard"
AuthUserFile /home/user/.htpasswds/blog/wp-admin/.htpasswd
Require user adminuser

$ htpasswd -cm .htpasswd adminuser

O cPanel tem uma opção intitulada Web Protect que permite executar precisamente estes passos.

9- ESCONDER A VERSÃO DO SEU BLOG WORDPRESS

Esconder a versão do seu blog WordPress é um processo relativamente simples. Leia mais em como esconder a versão do seu blog WordPress.

Autor das dicas wordpress-love

NOTICIAS RELACIONADAS:

1. Como personalizar seu blog wordpress com query_posts()?
2. Dicas para melhorar o desempenho do seu site ou blog
3. Os melhores plugins para WordPress