A segurança necessária para o banco de dados do WordPress

É preciso definir políticas de segurança para o banco de dados do WordPress. Conheça mais sobre o assunto e saiba o que fazer.

A segurança necessária para o banco de dados do WordPress

Segurança para o banco de dados do WordPress se faz necessária antes, durante e depois da conclusão do desenvolvimento do projeto.

As informações mais importantes e o resultado de horas, muitas das vezes anos, estarão armazenadas em tabelas do banco.

O WP é um software de código aberto e seu esquema de banco de dados é conhecido.

É preciso definir políticas de segurança para o banco de dados do WordPress que englobe a escolha de um nome de usuário não usual (combinado com uma senha forte), controlar os privilégios de acesso, não fazer uso do prefixo “wp_” e proteger o arquivo wp-config.php.

De uma forma geral, você deve se atentar a seis tópicos para proteger o banco de dados do WordPress.

  1. O esquema do banco de dados;
  2. O prefixo das tabelas;
  3. Políticas de acesso: nomes de usuários, senhas e permissões;
  4. Proteção para o arquivo wp-config.php;
  5. Reparo e otimizações;
  6. Backup.

O esquema e prefixo das tabelas

Como o esquema do banco de dados do WordPress é conhecido, o mínimo a se fazer é utilizar um prefixo de tabela diferente de “wp_”. Por exemplo “wp_Pr0jXx_”.

Fazer uso do prefixo “wp_” é garantir que todos conheçam as tabelas do seu banco e mediante um ataque de SQL Injection, por exemplo, as informações serão mais facilmente roubadas.

Se a sua instalação está considerando o prefixo “wp_”, aprenda como alterá-lo.

Qual sua política de acesso?

Na sua casa entra qualquer pessoa? Até um desconhecido? Todo mundo tem a chave ou sabe a localização dela?

Assim como definimos política de acesso as nossas residências e empresas, é preciso fazer o mesmo para o repositório das suas informações mais relevantes.

Considere o uso de privilégios controlados para os usuários que se conectam ao banco de dados do WordPress.

Os privilégios de SELECT, INSERT, UPDATE e DELETE concedidos aos usuários de banco de dados, são suficientes para o dia-a-dia de um site em WordPress, como publicação de posts, comentários, upload de arquivos, criação de usuários, instalação e ativação de plugins e temas, por exemplo.

Política de acesso para o banco de dados

Como você protege o wp-config.php?

As informações de conexão ao banco de dados do WordPress são armazenadas no arquivo wp-config.php.

Em razão de sua grande importância e abrigo de informações sensíveis é preciso considerar proteções de segurança para o arquivo wp-config.php.

Seguem três dicas essenciais:

  1. Armazenar o arquivo wp-config.php um diretório acima do diretório público do servidor web;
  2. Utilizar a permissão 400, ou 600, para o arquivo;
  3. Configurar o servidor web, ou através de .htaccess se usar Apache, para proteger o arquivo.

Como você mantém o banco de dados?

Além de se preocupar com a segurança, leia-se invasões, acessos não autorizados, roubo de informações e coisas do gênero é preciso manter a saúde também.

Otimizar o banco de dados de forma regular e repará-lo quando necessário, é essencial para manter a aplicação em perfeita execução.

Considere conhecer a constante WP_ALLOW_REPAIR que ativa recursos nativos no WordPress para reparar ou otimizar o banco de dados.

Backup?

Considere, ainda, uma política constante e consistente de backup. Com redundância e armazenamento em servidores diferentes.

Falhas acontecem e poder recorrer a um backup é garantia que tudo poderá voltar ao normal e seguir adiante.

Conclusão

Segurança para o banco de dados do WordPress é necessária. Na verdade é garantir segurança para o seu negócio.

Existem ações simples, outras nem tanto, que ajudam a proteger as informações.

Conheça e revise a política adotada em seu projeto e garanta uma operação tranquila e sem sustos.

  • Parabéns pelo artigo, uma excelente introdução.

    Eu tenho 2 perguntas:
    1- Mudando o prefixo das tabelas da BD mas deixando o inicio “wp_” ( mudando “wp_”. por “wp_Pr0jXx_”) é suficiente? As tabelas continuam começando por “wp_”

    2- Ja ouvi alguns experts em segurança WP ( Julio Potier de SecurePress – https://www.youtube.com/watch?v=lI06mH2aZpE ) dizerem que mover o arquivo wp-config.php é inutil.
    O que vcs acham?