Início » Segurança para WordPress » Proteções de segurança para o arquivo wp-config.php
Segurança para WordPress

Proteções de segurança para o arquivo wp-config.php

Proteger o arquivo wp-config.php é crucial para a segurança do Wordpress, uma vez que ele abriga informações sensíveis.
Escrito Por Leandro Vieira em março de 2020 /3 min de leitura
Conteúdo escrito por humano

No arquivo wp-config.php do WordPress definimos várias constantes e diretivas de segurança para a aplicação. Mas esse arquivo, em razão de sua grande importância e abrigo de informações sensíveis, precisa ter devida proteção.

Devemos considerar uma localização para o arquivo wp-config.php, a sua correta permissão e o bloqueio de sua execução direta.

Além disso, fazer uso de constantes para uma definição global de segurança na aplicação.

Localização segura para o arquivo wp-config.php

Por padrão, ele se localiza na raiz da pasta pública, em conjunto com os demais arquivos e diretórios do core do WP.

É aconselhável e suportado migrá-lo para um diretório acima.

A localização padrão é:

/public_html/wp-includes/
/public_html/wp-config.php

A localização sugerida.

/public_html/wp-includes/
/wp-config.php

O WordPress interpreta ambas localizações.

A correta permissão do arquivo wp-config.php

A permissão do arquivo define como o sistema operacional lidará com a leitura e escrita do seu conteúdo. Podemos considerar duas possibilidades de permissão para o wp-config.php

400. Mais restritiva e permitimos apenas a leitura.

600. Mais branda e além da leitura é permitido a escrita.

Você define o nível de segurança que deseja e como pretende lidar com plugins que requerem a escrita no arquivo.

Convenhamos que você não ativará recursos o tempo todo que escrevam no wp-config.php, portanto, considere a permissão 400.

Um arquivo para proteger o outro

Para quem usa Apache e por conseguinte o arquivo .htaccess pode considerar o uso da diretiva abaixo para proteger ainda mais o wp-config.php. Evitando a execução direta dele.

<files wp­-config.php>
 order allow,deny 
 deny from all 
</files>

Imagine o cenário de uma falha de configuração de servidor onde ao acessar um arquivo .php o download é realizado ao contrário de sua execução, o conteúdo será revelado e as informações de acesso ao banco de dados, por exemplo, estarão todas lá.

Indo além

Com os passos anteriores você protege o arquivo wp-config.php e, como dito, as constantes que regem e definem uma série de aspectos de segurança do WordPress como um todo são definidas nesse arquivo. Isso garantirá uma maior segurança para WordPress.

Em outros artigos citei a potencialidade de algumas delas e em artigos futuros abordarei com mais detalhes, por merecerem tratativas para o banco de dados, senhas e chaves secretas, debug, bloqueio de edição de arquivos e inúmeras outras possibilidades.

Também disponibilizamos um guia prático de segurança para WodPress para que você baixe gratuitamente e mantenha sua intalação sempre segura.

Tags:

Leandro Vieira

Uma das grandes referências de WordPress no Brasil, entusiasta e evangelista da plataforma. Fundador e CEO da Apiki, empresa especializada no desenvolvimento web com WordPress.
Qual nota você da para este artigo?
Ruim

O que você achou disso?

Clique nas estrelas

Média da classificação 0 / 5. Número de votos: 0

Nenhum voto até agora! Seja o primeiro a avaliar este post.

Excelente
Artigos Relacionados

  1. Michele Vieira
    Informação muito util!
    10 anos atás Responder
  2. Cristiano
    Para ativar o recurso de debug estou utilizando o código abaixo que consegui no site do Wordpress ( http://codex.wordpress.org/Debugging_in_WordPress ), vejam: // Enable WP_DEBUG mode define('WP_DEBUG', true); // Enable Debug logging to the /wp-content/debug.log file define('WP_DEBUG_LOG', true); // Disable display of errors and warnings define('WP_DEBUG_DISPLAY', false); @ini_set('display_errors',0); // Use dev versions of core JS and CSS files (only needed if you are modifying these core files) define('SCRIPT_DEBUG', true); É suficiente ou é necessário adicionar alguma linha de código? O que sugerem?
    10 anos atás Responder
    1. Leandro Vieira
      Oi Cristiano, De uma forma geral, esse é o código. Mas é preciso ficar atento há mais alguns detalhes como proteção e a permissão correta, por exemplo. O próximo artigo, coincidentemente, será sobre Debug.log, sugiro acompanhar. Abraço.
      10 anos atás Responder
      1. Leandro Vieira
        Cristiano, Te convido para a leitura do artigo A trilogia para um debug seguro e eficaz no WordPress em https://blog.apiki.com/2015/06/08/a-trilogia-para-um-debug-seguro-e-eficaz-no-wordpress/
        9 anos atás Responder
  3. João Victor
    Aconselho também utilizarem WordFace, um plugin muito bom para segurança de seus projetos em Wordpress, ele você consegue limitar quantidade de tentativas de login caso erre acima de uma certa quantidade ele bloqueia e toda monitoração de arquivos tentativas de invasão são notificadas via "Email" e até mesmo no painel, vale muito apena relatar um post explicando um pouco mais sobre esse plugin como utilizar e usufruir dele! Recomendo, e um excelente post! Vamos acompanhar #WordpressSeguro
    9 anos atás Responder
    1. Leandro Vieira
      Oi João, Obrigado por contribuir. Espero que em algum artigo futuro eu possa fazer uma review de vários plugins de segurança, dentre eles o WordFence. Abraço.
      9 anos atás Responder
  4. Guilherme Negreiros
    Excelente artigo, parabéns ! Estarei acompanhando. Porém o link de download do Guia Pratico nao funciona.
    9 anos atás Responder
    1. Daniel Antunes
      Guilherme, você pode baixar o Guia Prático através desse link: https://apiki.com/wordpress-seguro/ Grande abraço!
      9 anos atás Responder
  5. Rogerio Rossi
    Caros. Instalei meu WP em um diretório. Portanto, a pasta padrão para os arquivos core do WP ficou public_html/diretorio. Se eu seguir a dica acima, colocando o arquivo wp-config.php um diretório acima, ele ficará no diretório raiz do servidor. Como resolvo isso? Nessa configuração, posso colocar o arquivo wp-config.php no diretório acima do public_html sem nenhuma alteração no site??? Grato e parabéns pelo blog.
    9 anos atás Responder
    1. Daniel Antunes
      Rogério, no caso, o WordPress busca o arquivo até 1 diretório antes da pasta do WP. O recomendado é o WordPress estar instalado diretamente na pasta pública para que essa regra de segurança tenha efeito. Grande abraço e espero ter ajudado!
      9 anos atás Responder
  6. 13 passos para reforçar a segurança do WordPress
    […] Proteger o referido arquivo é essencial para a segurança do WordPress. Considere uma localização segura, permissão correta e o bloqueio do seu acesso direto. […]
    8 anos atás Responder
  7. WP_ALLOW_REPAIR para reparar e otimizar o banco de dados do WordPress
    […] constante deve ser colocada no arquivo wp-config.php. Seu valor deve ser um booleano true. […]
    7 anos atás Responder
  8. A segurança necessária para o banco de dados do WordPress | Soluções Inteligentes
    […] Em razão de sua grande importância e abrigo de informações sensíveis, é preciso considerar proteções de segurança para o arquivo wp-config.php. […]
    7 anos atás Responder
  9. A segurança necessária para o banco de dados do WordPress -
    […] Em razão de sua grande importância e abrigo de informações sensíveis, é preciso considerar proteções de segurança para o arquivo wp-config.php. […]
    7 anos atás Responder
  10. diih PC
    dentro do diretorio public_html fica se fazendo varias copias do meu arquivo Wp-config
    7 anos atás Responder

Construa seu site WordPress sob medida com os maiores especialistas em WordPress da America Latina
Conheça a Apiki

Faça um comentário
Cadastre-se rápido

Fazer Login