Aprenda como proteger o banco de dados do WordPress

O banco de dados do WordPress armazena as informações mais importantes e sensíveis do seu negócio. Você precisa considerar políticas de segurança e proteger seus dados.

Como usuário final, ou desenvolvedor pouco experiente, você acaba não se preocupando com detalhes relevantes sobre a instalação e configuração deste.

Como desenvolvedor de plugin, profissional de segurança ou usuário cauteloso com sua reputação, é imprescindível seguir, e conhecer, as boas práticas de segurança.

O esquema de banco de dados do WordPress

O WP é um software de código aberto e seu esquema de banco de dados é conhecido.

É preciso definir políticas de segurança que englobe a escolha de um nome de usuário não usual combinado com uma senha forte, controlar os privilégios de acesso, não fazer uso do prefixo “wp_” e proteger o arquivo wp-config.php.

Nome de usuário não usual e senha forte

A conexão ao banco de dados do WordPress deve ser feita por um nome de usuário não usual e uma senha forte. Esta combinação é regra básica para uma maior segurança.

Aprenda com o Edward Snowden como criar senhas fortes e considere a aplicação delas em tudo.

Privilégios controlados para os usuários que se conectam ao banco de dados do WordPress

Considere o uso de privilégios controlados para os usuários que se conectam ao banco de dados do WordPress.

Os privilégios de SELECT, INSERT, UPDATE e DELETE, concedidos aos usuários, são suficientes para o dia-a-dia de um site em WordPress, como publicação de posts, comentários, upload de arquivos, criação de usuários, instalação e ativação de plugins e temas, por exemplo.

Os privilégios de DROP, ALTER e GRANT são necessários apenas em alguns momentos, quando plugins, temas e o core requerem modificações estruturais ao banco de dados, como a criação de novas tabelas e mudança no esquema do banco de dados do WordPress.

Neste cenário, você tem dois caminhos: um mais restritivo e outro mais brando.

Seguindo uma linha mais limitante será preciso conceder os privilégios de DROP, ALTER e GRANT quando requerido por plugin, tema ou o core. Seguindo uma linha mais flexível isso não é preciso, mas a segurança é amena.

Prefixo da tabela do banco de dados do WordPress

Utilize um prefixo para as tabelas ao contrário de “wp_”, optando, por exemplo, por “wp_HaSSeH_”.

Fazer uso do prefixo “wp_” é garantir que todos conheçam as tabelas do seu banco e mediante, um ataque de SQL Injection, por exemplo, as informações serão mais facilmente roubadas.

Proteção para o arquivo wp-config.php

As informações de conexão ao banco de dados do WordPress são armazenadas no arquivo wp-config.php. Em razão de sua grande importância e abrigo de informações sensíveis é preciso considerar proteções de segurança para o arquivo wp-config.php.

Backup

Seguir todos esses processos garante uma maior segurança para sua base de dados.

Considere ainda uma política constante e consistente de backup. Falhas acontecem e poder recorrer a um backup é garantia que tudo poderá voltar a normal e seguir adiante.