|
Audio
|
No arquivo wp-config.php do WordPress definimos várias constantes e diretivas de segurança para a aplicação. Mas esse arquivo, em razão de sua grande importância e abrigo de informações sensíveis, precisa ter devida proteção.
Devemos considerar uma localização para o arquivo wp-config.php, a sua correta permissão e o bloqueio de sua execução direta.
Além disso, fazer uso de constantes para uma definição global de segurança na aplicação.
Localização segura para o arquivo wp-config.php
Por padrão, ele se localiza na raiz da pasta pública, em conjunto com os demais arquivos e diretórios do core do WP.
É aconselhável e suportado migrá-lo para um diretório acima.
A localização padrão é:
/public_html/wp-includes/ /public_html/wp-config.php
A localização sugerida.
/public_html/wp-includes/ /wp-config.php
O WordPress interpreta ambas localizações.
A correta permissão do arquivo wp-config.php
A permissão do arquivo define como o sistema operacional lidará com a leitura e escrita do seu conteúdo. Podemos considerar duas possibilidades de permissão para o wp-config.php
400. Mais restritiva e permitimos apenas a leitura.
600. Mais branda e além da leitura é permitido a escrita.
Você define o nível de segurança que deseja e como pretende lidar com plugins que requerem a escrita no arquivo.
Convenhamos que você não ativará recursos o tempo todo que escrevam no wp-config.php, portanto, considere a permissão 400.
Um arquivo para proteger o outro
Para quem usa Apache e por conseguinte o arquivo .htaccess pode considerar o uso da diretiva abaixo para proteger ainda mais o wp-config.php. Evitando a execução direta dele.
<files wp-config.php>
order allow,deny
deny from all
</files>Imagine o cenário de uma falha de configuração de servidor onde ao acessar um arquivo .php o download é realizado ao contrário de sua execução, o conteúdo será revelado e as informações de acesso ao banco de dados, por exemplo, estarão todas lá.
Indo além
Com os passos anteriores você protege o arquivo wp-config.php e, como dito, as constantes que regem e definem uma série de aspectos de segurança do WordPress como um todo são definidas nesse arquivo. Isso garantirá uma maior segurança para WordPress.
Em outros artigos citei a potencialidade de algumas delas e em artigos futuros abordarei com mais detalhes, por merecerem tratativas para o banco de dados, senhas e chaves secretas, debug, bloqueio de edição de arquivos e inúmeras outras possibilidades.
Também disponibilizamos um guia prático de segurança para WodPress para que você baixe gratuitamente e mantenha sua intalação sempre segura.
Informação muito util!
Para ativar o recurso de debug estou utilizando o código abaixo que consegui no site do WordPress ( http://codex.wordpress.org/Debugging_in_WordPress ), vejam:
// Enable WP_DEBUG mode
define('WP_DEBUG', true);
// Enable Debug logging to the /wp-content/debug.log file
define('WP_DEBUG_LOG', true);
// Disable display of errors and warnings
define('WP_DEBUG_DISPLAY', false);
@ini_set('display_errors',0);
// Use dev versions of core JS and CSS files (only needed if you are modifying these core files)
define('SCRIPT_DEBUG', true);
É suficiente ou é necessário adicionar alguma linha de código? O que sugerem?
Oi Cristiano,
De uma forma geral, esse é o código. Mas é preciso ficar atento há mais alguns detalhes como proteção e a permissão correta, por exemplo.
O próximo artigo, coincidentemente, será sobre Debug.log, sugiro acompanhar.
Abraço.
Cristiano,
Te convido para a leitura do artigo A trilogia para um debug seguro e eficaz no WordPress em https://blog.apiki.com/2015/06/08/a-trilogia-para-um-debug-seguro-e-eficaz-no-wordpress/
Aconselho também utilizarem WordFace, um plugin muito bom para segurança de seus projetos em WordPress, ele você consegue limitar quantidade de tentativas de login caso erre acima de uma certa quantidade ele bloqueia e toda monitoração de arquivos tentativas de invasão são notificadas via “Email” e até mesmo no painel, vale muito apena relatar um post explicando um pouco mais sobre esse plugin como utilizar e usufruir dele!
Recomendo, e um excelente post!
Vamos acompanhar #WordpressSeguro
Oi João,
Obrigado por contribuir. Espero que em algum artigo futuro eu possa fazer uma review de vários plugins de segurança, dentre eles o WordFence.
Abraço.
Excelente artigo, parabéns ! Estarei acompanhando.
Porém o link de download do Guia Pratico nao funciona.
Guilherme, você pode baixar o Guia Prático através desse link: https://apiki.com/wordpress-seguro/
Grande abraço!
Caros.
Instalei meu WP em um diretório. Portanto, a pasta padrão para os arquivos core do WP ficou public_html/diretorio. Se eu seguir a dica acima, colocando o arquivo wp-config.php um diretório acima, ele ficará no diretório raiz do servidor. Como resolvo isso? Nessa configuração, posso colocar o arquivo wp-config.php no diretório acima do public_html sem nenhuma alteração no site???
Grato e parabéns pelo blog.
Rogério, no caso, o WordPress busca o arquivo até 1 diretório antes da pasta do WP. O recomendado é o WordPress estar instalado diretamente na pasta pública para que essa regra de segurança tenha efeito.
Grande abraço e espero ter ajudado!
dentro do diretorio public_html fica se fazendo varias copias do meu arquivo Wp-config