WordPress é um CMS open source, o que significa que todos, incluindo os hackers com más intenções, podem vasculhar o código fonte em busca de falhas de segurança.

A integridade do blog deve ser uma das primeiras preocupações de quem pretende ter um blog WordPress, pois isso poderá causar um enorme transtorno a você ou sua empresa caso o seu WordPress seja invadido.

A seguir você verá algumas dicas de segurança para WordPress contra ação de hackers, que eu recomendamos aos nossos clientes:

 
Dica de Segurança 1: Sempre mantenha a versão do WordPress atualizada.

Como disse anteriormente, o WordPress é um CMS open source, tornando-se um alvo fácil para hackers.
Quando a equipe de desenvolvimento do WordPress lança uma atualização, quanto mais cedo você atualizar o seu blog,  melhor. Isso porque quando eles lançam novas atualizações, eles divulgam quais foram a melhorias e falhas corrigidas na versão atual.

Atualizações são lançadas para melhorar a funcionalidade do site e corrigir falhas de segurança encontradas no código, seja o WordPress, Plugin, ou Tema.

 
Dica de Segurança 2: Remova a meta tag que revela a versão do seu WordPress.

Por padrão, o WordPress exibe a sua versão no cabeçalho do blog(header.php), é uma forma que equipe de desenvolvimento do WordPress tem para ver quantas pessoas estão usando a versão, etc …
No entanto, isto é um grande atrativo no seu site dizendo ao hacker o que ele tem que fazer, já que dessa forma ele saberá exatamente qual a versão do WordPress que você usa em seu blog.

Em alguns temas(poucos) as probabilidades são de que o desenvolvedor tomou a precaução de remover a meta tag
<meta name=”generator” content=”WordPress <?php bloginfo(‘version’); ?>” />  que fica dentro do arquivo header.php, mas é sempre melhor ter a certeza, então abra seu arquivo functions.php e adicione a linha abaixo:
<?php remove_action(‘wp_head’, ‘wp_generator’); ?>

 
Dica de Segurança 3: Não utilize o login padrão “admin” do WordPress.

Ao fazer uma nova instalação do WordPress em sua hospedagem, automaticamente é criado um usuário chamado “admin”, que passa a ser o usuário “master” do site e que tem permissão a tudo dentro do painel de controle do seu WordPress.

Se você utiliza esse usuário “admin”, provavelmente  você já fez metade do trabalho para o hacker, pois agora ele só precisa adivinhar a senha de acesso, que se for fraca, provavelmente ele irá descobrir fazendo várias tentativas de acessos por força bruta (robôs que tentam várias senhas aleatórias até descobrir).

Para evitar esse acesso não autorizado, altere o usuário “admin” para outro nome mais difícil de ser adivinhado, sugiro a não utilizar nada relacionado ao seu nome ou o domínio do site, também utilize letras maiúsculas e números para esse usuário.
Você pode fazer essa alteração de duas formas:

• Diretamente no banco de dados, acessando o seu mysql e alterando na mão o login admin pelo outro;
• Ou simplesmente criando um novo usuário com poderes máximos, logando com esse outro usuário e em seguida apagando o admin.

 
Dica de Segurança 4: Sempre utilize senhas “fortes”.

É recomendado o uso de senhas que contenham números (0-9), letras (A-Z) e caracteres especiais (#$&*@!) ao mesmo tempo e com no mínimo 12 caracteres.

Abaixo algumas dicas para você tomar alguns cuidados com suas senhas:

• Use sempre senhas seguras para o acesso ao banco de dados.
• Use sempre senhas seguras para os usuários do WordPress.
• Nunca salve a sua senha em lugares públicos, como lanhouses.
• Utilize  uma ferramenta de gerenciamento de senhas como Keppass, para salvar suas senhas de forma segura.

Você poderá adicionar uma camada extra de segurança para proteger o acesso ao admin do seu WordPress. Um plugin muito útil é Login LockDown, que registra o endereço IP e data e hora de todas as tentativas falhas de login no WordPress, além de bloquear o IP após um determinado número de logins que falharam. Este plugin é extremamente útil quando contra um ataque de força bruta, já que bloqueia o IP por um tempo determinado de quem executa o ataque de força bruta.

No vídeo abaixo um exemplo de Brute-force attack no Worpress:

Dica de Segurança 5: Cuidado com as permissões dos arquivos e  pastas.

Sempre mantenha a permissão dos arquivos definidos para 644 e pastas definidas para 755.
Após instalar o WordPress, defina as permissões seguras em suas pastas e arquivos, para impedir que usuários maliciosos injetem exploits em sua hospedagem.

A HostBits não permite o uso de permissões 777 em arquivos que são processados “server-side” (isto é, do lado do servidor, como scripts PHP). Sabemos que as documentações de alguns scripts, porém, requerem que você utilize permissões 777, mas garantimos que permissões 755 funcionarão tão bem quanto as 777.

Saiba mais sobre permissões de pastas e arquivos no Worpress:
http://codex.wordpress.org/Changing_File_Permissions

Dica de Segurança 6: Mantenha seu WordPress enxuto.

Existem dois arquivos dentro do diretório do WordPress que são desnecessários após a instalação, são eles o readme.html  e install.php.

O arquivo readme.html contém a versão do WordPress você está utilizando, conforme falamos aqui no item 2, isso pode ajudar um hacker a explorar falhas no seu WordPress. Este arquivo é desnecessário e pode ser excluído, ele está localizado na raiz do seu Worpress. (Lembre-se, esse arquivo reaparecerá sempre que você efetuar uma atualização da versão do WordPress).

O script de instalação install.php é usado quando você instala o WordPress, ele cria as tabelas e define as suas preferências. Você pode apagar esse arquivo sem problemas, ele está localizado no diretório /wp-admin.

Remova os plugins e temas que não estão sendo utilizados:
Se não está usando algum plugin ou tema,  não basta você desabilitá-los, preferencialmente delete-os do seu WordPress. Isso é importante porque, muitos hackers tem invadido blogs e sites WordPress através de vulnerabilidades conhecidas nos plugins e temas do WordPress.

Dica de Segurança 7: Desabilite o registro de novos usuários.

Desta forma, você impede o acesso ao seu painel administrativo por qualquer um. Para desabilitar, vá em Geral e desmarque a opção Qualquer pessoa pode se registrar, ou faça o backup do arquivo wp-register.php e delete-o do servidor.

Dica de Segurança 8:  Desabilite o WP_DEBUG.

WP_DEBUG é uma variável global que permite ao desenvolvedor, debugar a aplicação. Normalmente esquecemos de desabilitar essa variável e não é interessante deixar essas informações de depuração visível no seu site, uma vez que isso ajudaria bastante um hacker em potencial explorar alguma falha no código do seu WordPress. Para desabilitar a variável  WP_DEBUG, edite o arquivo  wp-config.php e altere de true para false.
define(‘WP_DEBUG’, false);

Dica de Segurança 9:  Regras de segurança para utilizar no arquivo .htaccess.

Adicione no seu arquivo .htaccess os comandos abaixo. Se esse arquivo não existir, você pode criá-lo, tomando cuidado para não sobrescrever um existente, ou sua instalação do WordPress pode não funcionar corretamente. O arquivo deve estar na pasta principal da instalação do WordPress (a mesma pasta em que está o wp-config.php).

//Bloqueia a listagem de arquivos em suas pastas
Options All -Indexes

//Protegendo o arquivo .htaccess,
//isso é feito por padrão com o arquivo de configuração do apache,
//mas nunca se sabe, então é melhor garantir.
<files .htaccess>
order allow,deny
deny from all
</files>

// protegendo o arquivo wpconfig.php.
<files wp-config.php>
order allow,deny
deny from all
</files>

Dica de Segurança 10:  Plugins para segurança no WordPress.

Recomendamos que instale o plugin WP-Security WebsiteDefender.   O plugin é gratuito, ele faz o monitoramento do seu site para falhas de segurança e informa como corrigir essas falhas.

Dica de Segurança 11:  Sempre faça backups.

Infelizmente alguns clientes só percebem a importancia de realizar backups do seu site quando é tarde demais e acabam tendo que gastar com a recuperação de algum backup disponível dentro dos servidores de backups da HostBits.

A HostBits não é responsável por arquivos e/ou dados que residam em sua conta. Você concorda em tomar toda a responsabilidade pelos arquivos e dados tranferidos e manter backups de todos os dados armazenados nos servidores da HostBits. A HostBits realiza backups diários e semanais em todos os servidores de hospedagem compartilhada e Revenda para garantir que os arquivos nunca serão perdidos. Os backups diários e semanais que mantemos são para fins de emergência. Entram nesta rotina contas de até 5GB de dados e que possuem até 100.000 arquivos. O conteúdo do backup diário é sobrescrito a cada dia e o conteúdo do backup semanal é sobrescrito a cada final de semana.

Existem vários plugins de backups que você poderá configurar no seu WordPress, para realizar seu próprio backup. É altamente aconselhável que você transfira esse backup para uma mídia fora do servidor onde esta hospedado o seu site.
Você também poderá solicitar um contato comercial, para saber mais informações sobre planos de backups disponíveis na HostBits.

Após abrir o Programa Windows Live Mail, clique na opção “Adicionar conta de email”

O próximo passo será preencher todas as informações da conta (Endereço de Email, Senha e Nome para Exibição)

Clique em avançar e preencha  as informações do servidor: Tipo do Protocolo a ser utilizado, servidor de entrada e  servidor de saída.

Obs: na maioria das vezes os servidores de saída requer autenticação, se o seu servidor solicitar marque a caixa de dialogo ” Meu Servidor  de saída  requer autenticação” e avance.

Clique em “Concluir” e aguarde as informações serem salvas.

A ferramenta WordPress esta com uma nova versão, e esta visa a correção de falhas graves presentes na versão anterior.
Nós estamos acompanhando uma série de problemas gerados (envio de SPAM é um deles) em nossos servidores, onde a causa é uma só:
Usuário negligenciando sua responsabilidade quanto atualização da ferramenta WordPress.

Destacamos a importância em atualizarem o WordPress para a nova versão o mais breve possível.

Caso seja identificado o envio de SPAM em seu site/blog devido ao problema relatado, o mesmo será bloqueado e será desbloqueado apenas mediante a atualização do WordPress.

Referências:

http://pcworld.uol.com.br/noticias/2012/04/23/nova-versao-do-wordpress-corrige-falhas-graves-de-seguranca/

http://imasters.com.br/noticia/24239/seguranca/malware-que-atacou-macs-teve-origem-no-wordpress

http://idgnow.uol.com.br/internet/2012/04/23/blogs-do-wordpress-foram-responsaveis-por-espalhar-flashback/pagina-impressao

http://under-linux.org/trojan-flashback-numero-de-infeccoes-chega-meio-milhao-4722/

Observação: Lembre-se de efetuar um Backup completo do seu WordPress antes de efetuar a atualização. Ele pode ser util no caso de uma restauração de dados. O próprio processo de atualização envolve uma etapa de criação dos Backups.

Via: SIERTI

Alguns usuários do CMS (Content Manager System) WordPress, após fazer atualização da versão mais recente, estão com um problema de acesso ao painel administrativo do wordpress.

Erro esse que quando o usuário tentar acessar o seu Painel de administração uma mensagem de erro é exibida(Sem permissões suficientes para acessar esta página), impedindo assim do usuário logar no painel administrativo.

Uma das soluções para esse problema é deletando o arquivo de linguagens ”pt_BR.php” dentro da pasta wp-content/languages.

Caso você não se sinta seguro em exclui o arquivo, salve o mesmo em seu computador antes de deletá-lo no do servidor.

A baixo segue um passo a passo de como efetuar essa “correção”:

Passo a Passo:

1. Acesse o FTP do site/blog que esta instalado o WordPress;
2. Vá até a pasta “wp-content/languages”;
3. Delete o arquivo “pt_BR.php” que está nessa pasta;
4. Tente acessar novamente o painel administrativo do wordpress(www.seusite.com.br/wp-admin)

Entre com o seu usuário  no WHM e após fazer o login;

Agora selecione as opções (nome do plano, tamanho em disco, largura de banda, contas de ftp e etc.)

1 – Package Name

Nome a ser atribuído ao Plano ex: plano_basico, plano_medio, plano_avancado.

Recursos

2 – Quota(MB)

Essa opção define o espaço em disco que será liberado para o cliente em megabytes(mb).
ex: 10gb, 100gb, ilimitado e etc.

3 - Bandwidth (MB)

Um padrão utilizado – mas não obrigatório – na definição do limite de banda, é defini-lo sendo 10x maior que a quota do pacote. Ou seja, se um pacote tem 1000mb de quota, pode-se definir o bandwidth em 10000mb.

4 - Max FTP Accounts

Define a quantidade de contas de FTP que eventualmente poderão ser criadas nas contas em que esse pacote será atribuído.

5 - Max Email Accounts

Nesta opção será estipulado uma quantidade de contas de Email que será permitida a criação.

ex: 10 contas de emails, 20 contas de emails, emails ilimitado.

6 - Max Email Lists

Limita a quantidade de listas de emails que podem ser criadas

7 - Max Databases

Define a quantidade de banco de dados que será liberado para cada Pacote de Hospedagem.

8 - Max Sub Domains

Define a quantidade máxima de sub-domínios que a conta poderá possuir.

9 – Max Parked Domains

Limita quantos domínios estacionados a conta poderá adicionar.

10 - Max Addon Domains

Esta opção definir a quantidade de domínios adicionais que podem ser inseridos no pacote.

Configurações

1 – Dedicated IP

Caso o domínio do cliente ao qual será atribuído esse Pacote de Hospedagem possua um IP fixo (Dedicado) marque esta opção e informe o IP.

2 – cPanel Theme

Defina aqui o tema do cPanel da conta.

3 - Language

Escolha qual será o idioma aplicado ao cPanel.

Entre com o seu usuário  no WHM e após fazer o login;

- Na tela inicial do seu iPad, acesse “Ajustes (Settings)”

Selecione “Mail, Contatos, Calendários (Mail, Contacts, Calendar)”

Na tela com várias opções de e-mail, escolha “Outra (Other)”

Depois, acesse “Adicionar Conta (Add Account)”

Em seguida, selecione “Conta do Mail (Add Mail Account)”

Preencha seus dados e salve:

• Nome (Name): [digite seu nome]
• Endereço (Address): [digite o endereço completo do nome@dominiodocliente.com.br ]
• Senha (Password): [digite sua senha]
• Descrição (Description): [digite seu e-mail ou a descrição que desejar]

Replique as informações mais uma vez, e clique em “seguinte”.

• Endereço : [digite o endereço completo do nome@dominiodocliente.com.br ]
• Nome do Host : [mail.dominiodocliente.com.br]
• Nome do Usuário : [nome@dominiodocliente.com.br
• Senha : [ digite sua senha ]

Clique em continuar e depois será solicitado novamente, clique mais uma vez em continuar e aguarde.

Clique em salvar e aguarde a sincronização dos seus e-mails.

Se tudo ocorrer bem agora você poderá visualizar os seus e-mails.

OBS: Substitua dominiodocliente.com.br, para o seu domínio.

Flush DNS no Windows:
Clique no “Menu Iniciar” > “Executar”, escreva “cmd.exe” e clique Ok.
Digite o seguinte comando: ipconfig /flushdns

Flush DNS no Mac OS X Leopard
Abra o Terminal (Procure no Spotlight por “Terminal”)
Execute o seguinte comando:  dnscacheutil-flushcache

Flush DNS no MacOSx 10.5.1
Abra o Terminal (Procure no Spotlight por “Terminal”)
Execute o seguinte comando:  lookup-flushcache

Logue-se no WHM > Restart Services > HTTP Server (Apache)