|
Audio
|
Segurança para o banco de dados do WordPress se faz necessária antes, durante e depois da conclusão do desenvolvimento do projeto.
As informações mais importantes e o resultado de horas, muitas das vezes anos, estarão armazenadas em tabelas do banco.
O WP é um software de código aberto e seu esquema de banco de dados é conhecido.
É preciso definir políticas de segurança para o banco de dados do WordPress que englobe a escolha de um nome de usuário não usual (combinado com uma senha forte), controlar os privilégios de acesso, não fazer uso do prefixo “wp_” e proteger o arquivo wp-config.php.
De uma forma geral, você deve se atentar a seis tópicos para proteger o banco de dados do WordPress.
- O esquema do banco de dados;
- O prefixo das tabelas;
- Políticas de acesso: nomes de usuários, senhas e permissões;
- Proteção para o arquivo wp-config.php;
- Reparo e otimizações;
- Backup.
O esquema e prefixo das tabelas
Como o esquema do banco de dados do WordPress é conhecido, o mínimo a se fazer é utilizar um prefixo de tabela diferente de “wp_”. Por exemplo “wp_Pr0jXx_”.
Fazer uso do prefixo “wp_” é garantir que todos conheçam as tabelas do seu banco e mediante um ataque de SQL Injection, por exemplo, as informações serão mais facilmente roubadas.
Se a sua instalação está considerando o prefixo “wp_”, aprenda como alterá-lo.
Qual sua política de acesso?
Na sua casa entra qualquer pessoa? Até um desconhecido? Todo mundo tem a chave ou sabe a localização dela?
Assim como definimos política de acesso as nossas residências e empresas, é preciso fazer o mesmo para o repositório das suas informações mais relevantes.
Considere o uso de privilégios controlados para os usuários que se conectam ao banco de dados do WordPress.
Os privilégios de SELECT, INSERT, UPDATE e DELETE concedidos aos usuários de banco de dados, são suficientes para o dia-a-dia de um site em WordPress, como publicação de posts, comentários, upload de arquivos, criação de usuários, instalação e ativação de plugins e temas, por exemplo.
Como você protege o wp-config.php?
As informações de conexão ao banco de dados do WordPress são armazenadas no arquivo wp-config.php.
Em razão de sua grande importância e abrigo de informações sensíveis é preciso considerar proteções de segurança para o arquivo wp-config.php.
Seguem três dicas essenciais:
- Armazenar o arquivo wp-config.php um diretório acima do diretório público do servidor web;
- Utilizar a permissão 400, ou 600, para o arquivo;
- Configurar o servidor web, ou através de .htaccess se usar Apache, para proteger o arquivo.
Como você mantém o banco de dados?
Além de se preocupar com a segurança, leia-se invasões, acessos não autorizados, roubo de informações e coisas do gênero é preciso manter a saúde também.
Otimizar o banco de dados de forma regular e repará-lo quando necessário, é essencial para manter a aplicação em perfeita execução.
Considere conhecer a constante WP_ALLOW_REPAIR que ativa recursos nativos no WordPress para reparar ou otimizar o banco de dados.
Backup?
Considere, ainda, uma política constante e consistente de backup. Com redundância e armazenamento em servidores diferentes.
Falhas acontecem e poder recorrer a um backup é garantia que tudo poderá voltar ao normal e seguir adiante.
Conclusão
Segurança para o banco de dados do WordPress é necessária. Na verdade é garantir segurança para o seu negócio.
Existem ações simples, outras nem tanto, que ajudam a proteger as informações.
Conheça e revise a política adotada em seu projeto e garanta uma operação tranquila e sem sustos.
Parabéns pelo artigo, uma excelente introdução.
Eu tenho 2 perguntas:
1- Mudando o prefixo das tabelas da BD mas deixando o inicio “wp_” ( mudando “wp_”. por “wp_Pr0jXx_”) é suficiente? As tabelas continuam começando por “wp_”
2- Ja ouvi alguns experts em segurança WP ( Julio Potier de SecurePress – https://www.youtube.com/watch?v=lI06mH2aZpE ) dizerem que mover o arquivo wp-config.php é inutil.
O que vcs acham?