Blog sobre WordPress
No Result
View All Result
  • Web Stories
  • Desenvolvimento
  • Infra
  • Mobile
  • Performance
  • Segurança
  • SEO
  • E-commerce
Cadastrar e-mail
  • Web Stories
  • Desenvolvimento
  • Infra
  • Mobile
  • Performance
  • Segurança
  • SEO
  • E-commerce
No Result
View All Result
Blog sobre WordPress
No Result
View All Result

Início » Segurança para WordPress » Proteções de segurança para o arquivo wp-config.php

Proteções de segurança para o arquivo wp-config.php

Proteger o arquivo wp-config.php é crucial para a segurança do Wordpress, uma vez que ele abriga informações sensíveis.

Leandro Vieira by Leandro Vieira
3 anos ago
Reading Time: 3 min
15
Proteções de segurança para o arquivo wp-config.php
Compartilhe no FacebookCompartilhe no LinkedIn
Audio

No arquivo wp-config.php do WordPress definimos várias constantes e diretivas de segurança para a aplicação. Mas esse arquivo, em razão de sua grande importância e abrigo de informações sensíveis, precisa ter devida proteção.

Conteúdo relacionado

Segurança e LGPD: comece a implementação pelo básico

ModSecurity como Web Application Firewall no WordPress

O plugin para implementar 2FA – autenticação de dois fatores

Devemos considerar uma localização para o arquivo wp-config.php, a sua correta permissão e o bloqueio de sua execução direta.

Além disso, fazer uso de constantes para uma definição global de segurança na aplicação.

Localização segura para o arquivo wp-config.php

Por padrão, ele se localiza na raiz da pasta pública, em conjunto com os demais arquivos e diretórios do core do WP.

É aconselhável e suportado migrá-lo para um diretório acima.

A localização padrão é:

/public_html/wp-includes/
/public_html/wp-config.php

A localização sugerida.

/public_html/wp-includes/
/wp-config.php

O WordPress interpreta ambas localizações.

A correta permissão do arquivo wp-config.php

A permissão do arquivo define como o sistema operacional lidará com a leitura e escrita do seu conteúdo. Podemos considerar duas possibilidades de permissão para o wp-config.php

400. Mais restritiva e permitimos apenas a leitura.

600. Mais branda e além da leitura é permitido a escrita.

Você define o nível de segurança que deseja e como pretende lidar com plugins que requerem a escrita no arquivo.

Convenhamos que você não ativará recursos o tempo todo que escrevam no wp-config.php, portanto, considere a permissão 400.

Um arquivo para proteger o outro

Para quem usa Apache e por conseguinte o arquivo .htaccess pode considerar o uso da diretiva abaixo para proteger ainda mais o wp-config.php. Evitando a execução direta dele.

<files wp­-config.php>
 order allow,deny 
 deny from all 
</files>

Imagine o cenário de uma falha de configuração de servidor onde ao acessar um arquivo .php o download é realizado ao contrário de sua execução, o conteúdo será revelado e as informações de acesso ao banco de dados, por exemplo, estarão todas lá.

Indo além

Com os passos anteriores você protege o arquivo wp-config.php e, como dito, as constantes que regem e definem uma série de aspectos de segurança do WordPress como um todo são definidas nesse arquivo. Isso garantirá uma maior segurança para WordPress.

Em outros artigos citei a potencialidade de algumas delas e em artigos futuros abordarei com mais detalhes, por merecerem tratativas para o banco de dados, senhas e chaves secretas, debug, bloqueio de edição de arquivos e inúmeras outras possibilidades.

Também disponibilizamos um guia prático de segurança para WodPress para que você baixe gratuitamente e mantenha sua intalação sempre segura.

Tags: .htaccesschmodSegurançawordpress segurowp-config.php
Share8Share1SendShare
Previous Post

A trilogia para um debug seguro e eficaz no WordPress

Next Post

Como implementar a autenticação de dois fatores no WordPress

Leandro Vieira

Leandro Vieira

Uma das grandes referências de WordPress no Brasil, entusiasta e evangelista da plataforma. Fundador e CEO da Apiki, empresa especializada no desenvolvimento web com WordPress.

Related Posts

Rate Limiting
Segurança para WordPress

Como ferramentas de Rate Limiting ajudam em segurança e performance

4 de agosto de 2020
Usuários e senhas fortes para melhorar a segurança no WordPress
Segurança para WordPress

Usuários e senhas fortes para melhorar a segurança no WordPress

28 de julho de 2020
Tipos e benefícios dos certificados de segurança TLS/SSL.
Segurança para WordPress

Tipos e benefícios dos certificados de segurança TLS/SSL.

19 de agosto de 2020
Como remover o nome de usuário “admin” do WordPress
Segurança para WordPress

Como remover o nome de usuário “admin” do WordPress

19 de agosto de 2020
Next Post
autenticação de dois fatores

Como implementar a autenticação de dois fatores no WordPress

atualizações do WordPress

As atualizações do WordPress e seus componentes de segurança

Comments 15

  1. Michele Vieira says:
    8 anos ago

    Informação muito util!

    Responder
  2. Cristiano says:
    8 anos ago

    Para ativar o recurso de debug estou utilizando o código abaixo que consegui no site do WordPress ( http://codex.wordpress.org/Debugging_in_WordPress ), vejam:


    // Enable WP_DEBUG mode
    define('WP_DEBUG', true);

    // Enable Debug logging to the /wp-content/debug.log file
    define('WP_DEBUG_LOG', true);

    // Disable display of errors and warnings
    define('WP_DEBUG_DISPLAY', false);
    @ini_set('display_errors',0);

    // Use dev versions of core JS and CSS files (only needed if you are modifying these core files)
    define('SCRIPT_DEBUG', true);

    É suficiente ou é necessário adicionar alguma linha de código? O que sugerem?

    Responder
    • Leandro Vieira says:
      8 anos ago

      Oi Cristiano,

      De uma forma geral, esse é o código. Mas é preciso ficar atento há mais alguns detalhes como proteção e a permissão correta, por exemplo.

      O próximo artigo, coincidentemente, será sobre Debug.log, sugiro acompanhar.

      Abraço.

      Responder
      • Leandro Vieira says:
        8 anos ago

        Cristiano,

        Te convido para a leitura do artigo A trilogia para um debug seguro e eficaz no WordPress em https://blog.apiki.com/2015/06/08/a-trilogia-para-um-debug-seguro-e-eficaz-no-wordpress/

        Responder
  3. João Victor says:
    8 anos ago

    Aconselho também utilizarem WordFace, um plugin muito bom para segurança de seus projetos em WordPress, ele você consegue limitar quantidade de tentativas de login caso erre acima de uma certa quantidade ele bloqueia e toda monitoração de arquivos tentativas de invasão são notificadas via “Email” e até mesmo no painel, vale muito apena relatar um post explicando um pouco mais sobre esse plugin como utilizar e usufruir dele!

    Recomendo, e um excelente post!

    Vamos acompanhar #WordpressSeguro

    Responder
    • Leandro Vieira says:
      8 anos ago

      Oi João,

      Obrigado por contribuir. Espero que em algum artigo futuro eu possa fazer uma review de vários plugins de segurança, dentre eles o WordFence.

      Abraço.

      Responder
  4. Guilherme Negreiros says:
    8 anos ago

    Excelente artigo, parabéns ! Estarei acompanhando.

    Porém o link de download do Guia Pratico nao funciona.

    Responder
    • Daniel Antunes says:
      8 anos ago

      Guilherme, você pode baixar o Guia Prático através desse link: https://apiki.com/wordpress-seguro/

      Grande abraço!

      Responder
  5. Rogerio Rossi says:
    8 anos ago

    Caros.

    Instalei meu WP em um diretório. Portanto, a pasta padrão para os arquivos core do WP ficou public_html/diretorio. Se eu seguir a dica acima, colocando o arquivo wp-config.php um diretório acima, ele ficará no diretório raiz do servidor. Como resolvo isso? Nessa configuração, posso colocar o arquivo wp-config.php no diretório acima do public_html sem nenhuma alteração no site???
    Grato e parabéns pelo blog.

    Responder
    • Daniel Antunes says:
      8 anos ago

      Rogério, no caso, o WordPress busca o arquivo até 1 diretório antes da pasta do WP. O recomendado é o WordPress estar instalado diretamente na pasta pública para que essa regra de segurança tenha efeito.

      Grande abraço e espero ter ajudado!

      Responder
  6. Pingback: 13 passos para reforçar a segurança do WordPress
  7. Pingback: WP_ALLOW_REPAIR para reparar e otimizar o banco de dados do WordPress
  8. Pingback: A segurança necessária para o banco de dados do WordPress | Soluções Inteligentes
  9. Pingback: A segurança necessária para o banco de dados do WordPress -
  10. diih PC says:
    5 anos ago

    dentro do diretorio public_html fica se fazendo varias copias do meu arquivo Wp-config

    Responder

Deixe um comentário Cancelar resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Receba no seu e-mail uma série de conteúdos sobre Infra para WordPress.

  • Este campo é para fins de validação e não deve ser alterado.

Facebook LinkedIn Instagram Twitter Youtube Github RSS

Sobre a Apiki

Empresa especializada em WordPress com três unidades de negócios.

  1. Design e Desenvolvimento;
  2. Infra e Hospedagem;
  3. Suporte e manutenção.

Em resumo, só fazemos uma coisa em WordPress: tudo.

Páginas do Apiki.com

  • Apiki.com
  • Sobre a Apiki
  • Hospedagem
  • Desenvolvimento
  • UX & UI para WordPress
  • Growth em WordPress
  • Suporte
  • Atendimento

Páginas do Blog

  • Sobre
  • Newsletter
  • Desenvolvimento WordPress
  • Segurança para WordPress
  • WordPress Mobile
  • Infra para WordPress
  • WordPress SEO
  • WordPress Performance
  • E-commerce

© 2020 Apiki - Empresa especializada em WordPress.

No Result
View All Result
  • Web Stories
  • Desenvolvimento
  • Infra
  • Mobile
  • Performance
  • Segurança
  • SEO
  • E-commerce

© 2020 Apiki - Empresa especializada em WordPress.