|
Audio
|
O banco de dados do WordPress armazena as informações mais importantes e sensíveis do seu negócio. Você precisa considerar políticas de segurança e proteger seus dados.
Como usuário final, ou desenvolvedor pouco experiente, você acaba não se preocupando com detalhes relevantes sobre a instalação e configuração deste.
Como desenvolvedor de plugin, profissional de segurança ou usuário cauteloso com sua reputação, é imprescindível seguir, e conhecer, as boas práticas de segurança.
O esquema de banco de dados do WordPress
O WP é um software de código aberto e seu esquema de banco de dados é conhecido.
É preciso definir políticas de segurança que englobe a escolha de um nome de usuário não usual combinado com uma senha forte, controlar os privilégios de acesso, não fazer uso do prefixo “wp_” e proteger o arquivo wp-config.php.
Nome de usuário não usual e senha forte
A conexão ao banco de dados do WordPress deve ser feita por um nome de usuário não usual e uma senha forte. Esta combinação é regra básica para uma maior segurança.
Aprenda com o Edward Snowden como criar senhas fortes e considere a aplicação delas em tudo.
Privilégios controlados para os usuários que se conectam ao banco de dados do WordPress
Considere o uso de privilégios controlados para os usuários que se conectam ao banco de dados do WordPress.
Os privilégios de SELECT, INSERT, UPDATE e DELETE, concedidos aos usuários, são suficientes para o dia-a-dia de um site em WordPress, como publicação de posts, comentários, upload de arquivos, criação de usuários, instalação e ativação de plugins e temas, por exemplo.
Os privilégios de DROP, ALTER e GRANT são necessários apenas em alguns momentos, quando plugins, temas e o core requerem modificações estruturais ao banco de dados, como a criação de novas tabelas e mudança no esquema do banco de dados do WordPress.
Neste cenário, você tem dois caminhos: um mais restritivo e outro mais brando.
Seguindo uma linha mais limitante será preciso conceder os privilégios de DROP, ALTER e GRANT quando requerido por plugin, tema ou o core. Seguindo uma linha mais flexível isso não é preciso, mas a segurança é amena.
Prefixo da tabela do banco de dados do WordPress
Utilize um prefixo para as tabelas ao contrário de “wp_”, optando, por exemplo, por “wp_HaSSeH_”.
Fazer uso do prefixo “wp_” é garantir que todos conheçam as tabelas do seu banco e mediante, um ataque de SQL Injection, por exemplo, as informações serão mais facilmente roubadas.
Proteção para o arquivo wp-config.php
As informações de conexão ao banco de dados do WordPress são armazenadas no arquivo wp-config.php. Em razão de sua grande importância e abrigo de informações sensíveis é preciso considerar proteções de segurança para o arquivo wp-config.php.
Backup
Seguir todos esses processos garante uma maior segurança para sua base de dados.
Considere ainda uma política constante e consistente de backup. Falhas acontecem e poder recorrer a um backup é garantia que tudo poderá voltar a normal e seguir adiante.
Comments 4