Segurança WordPress

As medidas recomendas neste artigo foram testadas na versão 2.9.2 do WordPress. Mas, faça um backup ANTES de efectuar qualquer alteração ao seu WordPress.

Quer Jogar Roleta Russa Com O Seu Blog?

Você já fez um backup do seu blog? E quando é que foi a última vez que você fez um backup? Amanhã, se você acordar, visitar o seu blog e aparecer a mensagem:

Mensagem de Hacked

  • Você tem 1 backup recente ou vai perder o trabalho, tempo e dinheiro que você investiu no seu blog?
  • Você tem a consciência tranquila porque leu sobre segurança do WordPress e seguiu as melhores recomendações para prevenir este tipo de problema ou vai passar os próximos dias a sentir-se culpado?
  • Você vai perder rendimento durante o downtime? E, sem 1 backup recente, vai perder quantas páginas indexadas no Google? Vai perder quantas posições que traziam tráfego para o seu blog?

Quanto vale o seu blog para si? O suficiente para você perder algumas horas a configurá-lo de modo a desfrutar da Máxima Segurança possível?

Cópia De Segurança / Backup Do WordPress

Se você precisar do backup, já aconteceu… Você já viu a imagem. Vai ter pesadelos durante vários dias. Mas, você tem um tesouro: o seu BACKUP. Vai remediar a situação. Já não há como prevenir. Mas, tem como remediar.

E o backup também é necessário se o hardware do servidor web falhar, se a empresa de hosting / hospedagem web for de férias e desligar os servidores. Incidentes desta natureza podem prejudicá-lo MUITO, caso você não tenha a prudência de fazer backup do seu WordPress.

Existem vários plugins para fazer backup do seu WordPress. Recomendo estes dois plugins:

  • WP-DB Manager: Permite optimar, reparar, fazer um backup, agendar um backup da base de dados, restaurar um backup da base de dados;
  • WordPress Backup WordPress Permite agendar backups periódicas the diretoria dos themes, dos uploads, que inclui todas as imagens, vídeos, áudio e outros ficheiros mídia do WordPress e da diretoria plugins. Os backups podem ser enviadas para uma conta de email a configurar.

Pode ainda copiar os ficheiros do seu WordPress através de FTP para uma diretoria no seu pc e até para um DVD ou CD-ROM, sempre que houver uma alteração: upgrade, modificação do theme, instalação de plugins, upload de imagens ou outros mídias.

E copiar a sua base de dados através do gestor de MySQL, normalmente o phpmyadmin, disponibilizado pela empresa de hosting / hospedagem web. A base de dados deve ser copiada com uma frequência adequada à periodicidade com que você adiciona novos posts ao seu blog.

Atualizações / Upgrades E Alterações Do WordPress

O WordPress está constantemente a lançar novas versões do WordPress e algumas dessas versões incluem a resolução de problemas de segurança detectados em versões anteriores. Na versão 2.8.x, tivemos 6 versões:

Se clicarem em qualquer um destes links, poderão verificar as alterações relacionadas com segurança que foram efectuadas em cada uma destas versões. Cada nova versão é uma actualização de segurança.

Ora, se cada nova versão do WordPress resolve vulnerabilidades de segurança detectadas em versões anteriores, é essencial que você actualize o seu WordPress sempre que tomar conhecimento que foi lançada um nova versão do WordPress.

Essa informação consta na zona de administração do seu WordPress e desde a versão 2.7.x (inclusive) o upgrade é automático. Você só precisa de clicar para efectuar o upgrade e o WordPress trata do resto. Mas, antes, faça um backup completo do seu WordPress: ficheiros e base de dados.

Plugins Do WordPress

Se você não conhece o suficiente de PHP para verificar a segurança dum plugin, então utilize apenas plugins conhecidos e populares. Não corra o risco de utilizar um plugin obscuro, só porque aprecia as funcionalidades oferecidas. Um cracker pode programar um plugin para obter acesso à sua conta de hosting / hospedagem web e/ou acesso ao seu WordPress.

E actualize os seus plugins. Também existem vulnerabilidades de segurança nos plugins e é recomendável que os mantenha actualizados.

O WordPress Exploit Scanner plugin foi criado pelo autor do Wp Super Cache. E a função deste plugin é verificar se você utiliza plugins com vulnerabilidades conhecidas ou suspeitos e se existem posts ou comentários suspeitos no seu WordPress. É uma ferramenta útil para limpar o seu blog de plugins com problemas de segurança e também para alertá-lo para quaisquer violações já ocorridas nos seus posts ou comentários.

Segurança Do Servidor De Hosting / Hospedagem Web

A segurança do seu WordPress começa na segurança do servidor da sua empresa de hosting / hospedagem web. Se o servidor permitir que outros users, que partilham os recursos do servidor, consigam ler os ficheiros dentro da sua conta de hosting / hospedagem web ou se você precisa de dar permissões 777 a determinadas diretorias, para que o user do apache escreva nessas diretorias, o seu problema pode começar na empresa de hosting / hospedagem web.

Se o seu control panel é o cpanel, fique atento à versão do kernel que está a ser utilizado e observe se a empresa de hosting / hospedagem web actualiza o kernel sempre que há uma actualização do kernel por razões de segurança. Se utilizam um kernel com vulnerabilidades…

Segurança Do Computador Do Administrador Do WordPress

Perdeu horas a transformar o seu WordPress numa fortaleza impenetrável! Parabéns! Merece um prémio! Por exemplo, ver um filme pirata online ou navegar até um portal de sexo. Não vale a pena fazer tabu. É o tema mais pesquisado na internet. E não são os bots que estão fazendo as pesquisas.

Tem a certeza que você quer fazer isso no mesmo computador que você utiliza para aceder por ftp à sua conta de hosting / hospedagem web? Você tem uma firewall instalada no seu computador? E um antivírus? E utiliza Windows?

Sabe qual é o modus operandi (modo de operação) mais usado pelos Black Hat SEO que colocam links para websites de medicamentos, casinos online e poker ou por crackers que adicionam um iframe com malware aos ficheiros index* do seu website?

Instalam malware no seu computador, onde você tem o username e a password do ftp da sua conta de hospedagem gravada no ftp client ou no Dreamweaver. Fazem a colheita desses dados de acesso.

Depois, utilizam um bot para aceder à sua conta de hosting / hospedagem web todos os dias e alteram os ficheiros do seu website todos os dias até você alterar a password da sua conta.

Mesmo que o servidor web tenha um script para bloquear Brute Force Attacks, o cracker sabe o seu username e password…

Utilizador admin E Segurança Da Password

Sabe o que é um Brute Force Attack? É quando um bot tenta advinhar a sua password, tentando sucessivamente o login até acertar na password. E vão atirar ao seu login todas as palavras do dicionário e mais algumas.

Como resolver o problema?

  • Verifique se a sua empresa de hosting / hospedagem web tem algum script instalado que bloqueia o IP de quem errar x tentativas sucessivas de login. Você poderá verificar isso contactando a empresa de hosting / hospedagem web ou erre 20 vezes seguidas o login. Se não ficou bloqueado, o servidor web não está protegido contra Brute Force Attacks. Se ficou bloqueado, renove o seu IP ou peça à empresa de hosting / hospedagem web para desbloquear.
  • Os Brute Force Attacks são executados por Bots. E, como sabem que 99,99% das instalações WordPress ainda utilizam o user admin, vão apenas tentar advinhar a password desse utilizador. Adicione um novo utilizador. Dê-lhe o papel de administrador. Faça logout e login com o novo user e apague o conta admin.
  • Utilize uma password segura: no mínimo com sete caracteres e que inclua letras maiúsculas, minúsculas, números e símbolos como ! ” ? $ % ^ & ). Exemplo: A^G8s34ePp
  • Nunca utilize informação pessoal sua (inclui família). Essa informação pode estar publicada num Directório de Sites, num Directório do Tipo Páginas Amarelas, no seu perfil no Linkedin, no Facebook, no Twitter, no Orkut, no Hi5, no MySpace ou até ser do conhecimento do cracker, que pode ser alguém que você conhece.
  • Nunca utilize palavras que constam do dicionário, nomes de localidades ou de pessoas famosas.
  • Nunca utilize passwords que são fáceis de memorizar por causa da localização das respectivas teclas no teclado do seu computador. Os crakcers conhecem todas essas passwords.

Se a empresa de hosting / hospedagem web não tem um script instalado para defender o servidor contra Brute Force Attacks, instale o Login LockDown Plugin, que regista o IP de todas as tentativas falhadas de login. Se o número de tentativas falhadas, com origem dum determinado IP, exceder o número configurado, esse IP será bloqueado.

Acesso FTP Ao WordPress

O acesso através do protocolo FTP não encripta a transmissão de dados entre o cliente de FTP instalado no computador do webmaster e o servidor de FTP instalado no servidor web. Ou seja, voltamos ao problema do username e password, neste caso da conta de hosting / hospedagem web, serem comunicados em texto claro e sujeitos a intercepção.

O protocolo FTP está sujeito a diversos tipos de ataques:

  • Bounce Attacks
  • Spoof Attacks
  • Brute Force Attacks
  • Sniffing
  • Username Protection
  • Port Stealing

Pergunta à empresa de hosting / hospedagem web se o servidor de FTP suporta SFTP (SSH File Transfer Protocol) ou FTPS (FTP sobre SSL). Neste caso, a transmissão de dados é encriptada.

Em termos de clientes FTP, a maioria suporta SFTP ou FTPS. Por exemplo, o cliente de ftp gratuito Filezilla suporta SFTP e FTPS.

Esconder A Versão Do WordPress

Quando me preparei para este tutorial, li vários tutoriais sobre este tema, que se esqueceram todos dum pequeno pormenor. Existe um readme.html, que está acessível através de http, onde consta a versão do WordPress utilizada. Qualquer pessoa pode aceder a http://www.webmaster.pt/readme.html. Um bot também. Apague o ficheiro.

Como já referimos, um cracker interessado numa determinada versão do WordPress, está a querer explorar determinadas vulnerabilidades dessa versão. E normalmente são vulnerabilidades de versões mais antigas do WordPress, que foram entretanto resolvidas e não existem na versão mais actualizada do WordPress. A razão é óbvia. Se uma vulnerabilidade existe em versões mais antigas e na versão mais actual do WordPress, o cracker não precisa de procurar uma determinada versão. Procura qualquer instalação do WordPress.

Este tipo de segurança de esconder a versão do WordPress tem fundamento contra bots, mas especialmente no caso de você estar a utilizar uma versão antiga do WordPress. Ora, o facto do seu WordPress não estar actualizado para a última versão é um problema maior do que a publicidade da versão que você utiliza. Esconda a versão, dado que deixará de ser um alvo de determinados bots, mas mantenha o seu WordPress actualizado!

Para esconder a versão do WordPress no header tag:


<meta name="generator" content="WordPress 2.9.2" />

adicione, desde a versão 2.5.x, este código ao ficheiro do seu theme functions.php


<?php remove_action('wp_head','wp_generator'); ?>

Um dos problemas é que alguns plugins utilizam folhas de estilo para cada versão do WordPress e essa informação consta do código fonte de cada página do seu WordPress. Há bots que procuram especificamente a informação removida com o código indicado. Se a informação não existir, ignoram o seu WordPress. Mas, é mais complicado esconder a versão dum cracker que, em vez de utilizar um bot, está a testar pessoalmente a segurança do seu WordPress.

Acesso SSL À Administração Do WordPress

Você acede através de http à zona de administração do seu WordPress. O problem é que, quando você faz login, o seu username e password são transmitidos pela internet em texto simples e essa informação pode ser interceptada. Para evitar que isso aconteça, você deve instalar um Certificado SSL, para aceder através de https quando faz login.

Quanto vale o seu blog? O suficiente para você gastar cerca de 10 Eur ou 23 Reais mensais para instalar um Certificado SSL? Contacte a sua empresa de hosting / hospedagem web e instale o Certificado SSL.

Você não pode suportar essa despesa? Tem 2 opções:

  • Você pode utilizar um Certificado SSL grátis.
  • Ou pedir à empresa de hosting / hospedagem web que instale um self-signed certificate, ou seja, um certificado assinado pela própria entidade a quem o certificado é emitido. O problema deste certificado é que a chave pública não é reconhecida pelos browsers. E aparece uma mensagem feia a informar que o ano 2012 está próximo, que o mundo vai acabar e a perguntar se você é doido suficiente para prosseguir. Ignore a mensagem e utilize o certificado. A função do certificado, neste caso concreto, é encriptar a comunicação entre o seu computador e o servidor web e essa encriptação funciona com o certificado destes. Como foi você que pediu a instalação do certificado, você SABE que o certificado é seguro. Obviamente, não instale este tipo de certificado numa loja online…

Instalado o Certificado SSL, altere o ficheiro wp-config.php de modo a obrigar qualquer acesso à zona de administração a usar https. Adicione este código no fim do ficheiro:


define('FORCE_SSL_LOGIN', true);
define('FORCE_SSL_ADMIN', true);

A primeira linha de código obriga a que o login, ou seja, a comunicação do username e password entre o seu computador e o servidor web seja efectuada através duma transmissão encriptada https. A segunda linha de código obriga a que a comunicação dos cookies da sessão de administração entre o seu computador e o servidor web seja efectuada através duma transmissão encriptada https.

Porque razão é que existem as duas opções? Trabalhar na zona de administração com https pode ser mais lento do que com http. Experimente. Se achar que é demasiado lento, adicione apenas a primeira linha de código, mas implemente as Security Keys (veja adiante).

Ficheiro De Configuração wp-config.php Do WordPress

O ficheiro wp-config.php inclui os dados de acesso à base de dados do seu WordPress e pode incluir mais informação sensível. Se as permissões desse ficheiro estiverem erradas, fica vulnerável e acessível através de http pelo utilizador ou usuário anônimo.

Se o WordPress está instalado na diretoria raiz do servidor web, mova o ficheiro wp-config.php para a diretoria acima dessa. O WordPress, se não encontrar o ficheiro na diretoria habitual, vai procurá-lo na diretoria imediatamente acima dessa. Por exemplo, num servidor linux com cPanel, se o ficheiro wp-config está na diretoria /home/user/public_html, mova o ficheiro para a diretoria /home/user. Poderá fazer isso no Gestor de Arquivos do cPanel ou através de FTP. O seu ficheiro de configuração ficará super seguro, porque não só não está na diretoria habitual, como não há acesso http ao ficheiro. A diretoria /home/user não está acessível através desses protocolos.

Em teoria, se você instalou o seu WordPress numa subdiretoria da diretoria raiz do seu servidor web, você pode mover o ficheiro de configuração uma diretoria acima. Mas, o ficheiro vai continuar a estar acessível através de http. E um cracker também lê estes artigos sobre segurança. Se programar um bot para explorar algumas vulnerabilidades de segurança, vai procurar o ficheiro wp-config.php na diretoria habitual e na diretoria acima dessa. Portanto, a minha recomendação é que você deve mover o ficheiro apenas se o WordPress estiver instalado na diretoria raiz do seu servidor web, colocando desse modo o ficheiro inacessível através de http.

Em alternativa, você pode adicionar este código, na diretoria onde você instalou o seu WordPress, ao ficheiro .htaccess:


<FilesMatch ^wp-config.php$>deny from all</FilesMatch>

Verifique também as permissões desse ficheiro. Estou certo que você optou por um servidor Linux para instalar o seu WordPress. Aceda por FTP ou através do Gestor de Arquivos do seu control panel e altere as permissões desse ficheiro para 400 caso a empresa de hospedagem esteja utilizando Suphp, ou para 444 caso não esteja. Pessoalmente, recomendo a utilização de Suphp.

Security Keys E A Segurança Dos Cookies

As security keys ou chaves de segurança estão associadas à segurança dos cookies de quem acede à zona de administração do WordPress.

O WordPress disponibiliza uma Ferramenta para gerar as Security Keys. Aceda e adicione essas chaves ao seu ficheiro wp-config.php como no exemplo seguinte:


define('AUTH_KEY',        'r55p0c8^gr9:)`s@vCpU;M91B<U-!J3rbN/-|cO`+2+M#/@?Xw)Y=E|/s?cHMBR^');
define('SECURE_AUTH_KEY', '-|s8hgI3UDZy(RceSqD+x4iDLRH~-8|w*nf|V3n* =Zfdj`|w<UpBsKlv1c[q7,4');
define('LOGGED_IN_KEY',   '.[)_rK]E*ec:K$)2my:o]!%ihYDwOw}R$$K^PyhdXxKh|U03ag^0Bpgh)2a/([ve');
define('NONCE_KEY',       'vC{i}K_78=)d#5s:9,lPB[9^4Bf(?RU]lvs3zkv6w{vE$m-Ba?5J4L*L/u6kzEy7');

Permissões Dos Ficheiros E Directórios Do WordPress

Um dos problemas em muitos servidores de hosting / hospedagem web é que você precisa de dar permissões 777 a algumas diretorias do WordPress para poder escrever nessas diretorias. Por exemplo, para poder adicionar imagens, áudio, vídeo e outros ficheiros de mídia, você precisa que a diretoria wp-content e a diretoria wp-content/uploads/ tenha permissões 777. O problema de segurança aqui é que o utilizador anônimo passa a ter permissão para escrever nessas diretorias.

Coloque um ficheiro php.php na diretoria do seu WordPress. E coloque este código:


phpinfo();

Depois aceda a esses ficheiro através do browser. Se o SERVER API for CGI, você não precisa de dar permissões 777 às diretorias onde precisa de escrever e deve dar permissões 755. E este modelo é mais seguro. Se o SERVER API for Apache, você precisa dar permissões 777. Este facto comporta riscos de segurança. Como reduzi-los?

Se o servidor API for CGI, coloque todos os ficheiros com permisssões 644 e todas as directórios com permissões 755. Coloque o ficheiro wp-config.php com permissões 400. Se o servidor API for Apache, terá que dar permissões 777 aos directórios wp-content e wpcontent/uploads. Se quiser editar os ficheiros do seu theme, no editor do WordPress, precisa de dar permissões 666 à diretoria wp-content/themes e todos os directórios e ficheiros dentro dessa diretoria. Coloque os restantes ficheiros com permissões 644, as restantes diretorias com permissões 755 e o ficheiro wp-config.php com permissões 444.

Para facilitar o seu trabalho, crie um ficheiro permissoes.php, na diretoria onde instalou o WordPress, com este código:


<?
shell_exec("find . -type d -exec chmod 755 {} \\;");
shell_exec("find . -type f -name '*.php' -exec chmod 644 {} \\;");
?>

Chame o ficheiro no browser. E depois altere apenas as permisões dos ficheiros e diretorias que precisem de permisões diferentes.

Podemos esconder a localização da diretoria wp-content. Na raiz da sua instalação do WordPress, adicione uma diretoria com um nome qualquer e mova para dentro dessa diretoria a wp-content. No ficheiro wp-config.php, adicione este código:


define( 'WP_CONTENT_DIR', '/home/user/public_html/novadiretoria/wp-content' );
define( 'WP_CONTENT_URL', 'http://www.dominio.com/novadiretoria/wp-content');
define( 'WP_PLUGIN_DIR', '/home/user/public_html/novadiretoria/wp-content/plugins' );
define( 'WP_PLUGIN_URL', 'http://www.dominio.com/novadiretoria/wp-content/plugins');
define( 'PLUGINDIR', 'home/user/public_html/novadiretoria/wp-content/plugins' );

Temos aqui o caminho absoluto e o url para a nova localização da diretoria wp-content e também da diretoria plugins. Utilizei como exemplo um caminho físico absoluto do cPanel.

Se um cracker conseguir fazer o upload dum shell, também podemos impedir que consiga aceder a esse ficheiro, limitando o acesso a determinado tipo de ficheiros. Basta colocar este código num ficheiro .htaccess, na diretoria wp-content/uploads


Ordem Allow, Deny
Deny from all
<Files ~ "\.(jpeg|jpg|png|gif|gz)$">
Allow form all
</Files>

Conforme os mídias que utilizamos no nosso WordPress, podemos adicionar no código indicado o tipo de ficheiro que for necessário. Em termos de segurança, o cracker não vai conseguir aceder através de http a um ficheiro *.php, porque não consta do tipo de ficheiros aos quais estamos a permitir acesso.

Prefixo E Segurança Da Base De Dados MySQL Do WordPress

Já escrevemos sobre a segurança da password da zona da administração. Não vamos repetir as mesmas ideias.

Abra o ficheiro wp-config.php e avalie a segurança da password de acesso à base de dados MySQL. É segura? Perfeito. Não é segura? Aceda ao control panel do seu hosting / hospedagem web. Crie um novo user MySQL com uma password segura. Adicione o user à base de dados do seu WordPress. Altere o nome do user e a password no ficheiro wp-config.php e apague o user MySQL antigo.
Altere o prefixo no nome da base de dados do seu WordPress de wp_ para por exemplo wp78351_. Como fazê-lo?

  • Edite o ficheiro de configuração do WordPress: wp-config.php e altere o prefixo:

    $table_prefix = ‘wp_’;
  • Aceda ao phpmyadmin e clique na opção SQL. Corra este comando para cada tabela. Não se esqueça de repetir o comando para cada tabela, até ver a alteração em todas as tabelas da sua base de dados.

    Rename table wp_commentmeta to wp78351_commentmeta;
  • É necessário fazer uma alteração na antiga tabela wp_options. Agora, no exemplo dado, chama-se wp78351_options. No phpmyadmin, clique nessa tabela. Visualize a tabela. Procure no option_name o valor wp_user_roles. Altere. No exemplo dado, seria alterado para wp78351_user_roles.
  • Também precisa de aceder à antiga tabela wp-usermeta. No exemplo dado, agora chama-se wp78351_usermeta. Visualize a tabela no phpmyadmin e no meta_key altere todos os valores que tenham o prefixo antigo para o prefixo novo.

Bots E O robots.txt

É um risco desnecessário permitir que os motores de busca indexem os ficheiros que estão nas diretorias wp-admin e wp-content. Para bloquear os bots dos motores de busca e outros bots de acederem a essas diretorias, coloque um ficheiro robots.txt na raiz do seu servidor web com o código seguinte:


User-agent: *
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content
Allow: /wp-content/uploads

No código, colocamos como excepção a diretoria /wp-content/uploads, dado que os ficheiros mídia ficam alojados nesta diretoria e se os motores de busca não conseguirem aceder, não vão indexar as imagens e restantes ficheiros mídia. Há websites que conseguem tráfego significativo da pesquisa de imagens no Google.

É importante referir que o ficheiro robots.txt não pode impedir um bot mal intencionado de desobedecer às suas instruções. A segurança é um pouco como uma cebola, formada por camadas. E não existe uma única medida que por sí só vai tornar o seu WordPress invulnerável. Há um conjunto de medidas, umas mais importantes que outras, que aumentam essa segurança e tornam improvável uma violação de segurança.

Ficheiro install.php Do WordPress

Aceda à diretoria wp-admin e apague o ficheiro install.php. Não precisa do ficheiro e é um risco de segurança desnecessário.

Se quiser recomendar mais alguma medida adicional, comente!

Be Sociable, Share!

17 Comentários

  1. joao

    Gostei muitos das dicas embora seja um pouco trabalhoso aplicá-las a todas.

    No robots.txt uso esta configuração:
    Sitemap: /sitemap.xml
    User-agent: *
    Disallow: /wp-content/cache/
    Disallow: /wp-content/themes/
    Disallow: /wp-content/plugins/
    Disallow: /wp-admin/
    Disallow: /wp-include
    Disallow: /wp-login.php , que vi outro site é o pouco diferente que acha?

    Ps: No IE8 o Enter = Space :S

    Cumps

    • Olá João! Obrigado pelo seu comentário. Acho que a sua configuração não é muito diferente daquela que consta no tutorial. Você proíbe sub diretorias no wp-content, depois não precisa de permitir na sub diretoria uploads, porque não chegou a proibir essa sub diretoria. No tutorial, a regra foi proibir na diretoria wp-content e depois criar uma excepção para a sub diretoria uploads. Você proíbe ainda o ficheiro wp-login.php. Eu acho especialmente relevante proibir que um visitante anônimo se registe no seu blog. E a maioria das instalações wordpress não altera o nome do ficheiro wp-login.php, nem o nome da pasta wp-admin. Por isso, o bot só precisa de exprimentar dominio.com/wp-login.php?action=register. O fato de você proibir no robots.txt não significa que o bot obedeça. O robots.txt é uma espécie de deontologia profissional. E os motores de busca obedecem, porque são bons profissionais. Mas, nem todas as pessoas numa determinada profissão cumprem as regras deontológicas. E um bot que anda a fazer coisas que não deve, também não vai obedecer às regras do robots.txt. Eu não dou um prioridade elevada ao robots.txt em termos de segurança. Um Abraço Rui Soares

      • Ter certos urls fora dos motores de busca já é meio caminho.

      • joao

        Hoje que estive a procurar mais informação sobre o robots.txt, li por exemplo no artigo do site escoladinheiro, já existe muitos mais configurações (http://www.escoladinheiro.com/2008/05/03/como-cri… ), não sei se será melhor, no entanto também lá diz que "Ao desabilitar a pasta das imagens, não está a cometer nenhum erro. O Google faz a indexação das imagens através dos posts, integrando posteriormente a informação unitária de cada imagem, como o texto ALT, título, nome da foto, etc.".

        Cumps

        • Olá João! O Google indexa imagens no Google Images:http://www.google.com/imghp?hl=en&tab=wi. Não estamos aqui a falar da indexação de páginas. Mas, sim de imagens no Google Images. Consulta esta informação do Google:http://www.google.com/support/webmasters/bin/answ… . Se utilizares User-agent: Googlebot-Image Disallow: /, as imagens do teu site deixam de aparecer nos resultados da pesquisa de imagens do Google. Se bloqueares a pasta das imagens, acontece o mesmo. Em relação ao robots.txt, o artigo do Paulo Faustino utiliza como exemplo o AskApache, que para o WordPress sugere:http://www.askapache.com/seo/updated-robotstxt-fo… . Ora, para o user-agent Googlebot-Image, a instrução é Allow: / . Portanto, estou de acordo com a fonte desse artigo: AskApache, que corresponde à informação que consta no nosso artigo. Em relação à pasta de uploads, eu ficaria preocupado se tivesse que dar permissões 777 a essa pasta. E nesse caso limitava o tipo de ficheiros acessíveis através de http. O robots.txt é mais importante para SEO do que para a segurança do WordPress. Um Abraço Rui Soares

        • Olá João! O Google indexa imagens no Google Images:http://www.google.com/imghp?hl=en&tab=wi. Não estamos aqui a falar da indexação de páginas. Mas, sim de imagens no Google Images. Consulta esta informação do Google:http://www.google.com/support/webmasters/bin/answ… . Se utilizares User-agent: Googlebot-Image Disallow: /, as imagens do teu site deixam de aparecer nos resultados da pesquisa de imagens do Google. Se bloqueares a pasta das imagens, acontece o mesmo. Em relação ao robots.txt, o artigo do Paulo Faustino utiliza como exemplo o AskApache, que para o WordPress sugere:http://www.askapache.com/seo/updated-robotstxt-fo… . Ora, para o user-agent Googlebot-Image, a instrução é Allow: / . Portanto, estou de acordo com a fonte desse artigo: AskApache, que corresponde à informação que consta no nosso artigo. Em relação à pasta de uploads, eu ficaria preocupado se tivesse que dar permissões 777 a essa pasta. E nesse caso limitava o tipo de ficheiros acessíveis através de http. O robots.txt é mais importante para SEO do que para a segurança do WordPress. Um Abraço Rui Soares

          • joao

            ok, obrigado mais uma vez por responderes, sim acho que o robots.txt seja mais importante para o SEO, mas é sempre bom haver uma igualdade entre esses 2 factos.

            Cumps

  2. Cara esses posts seus são fantásticos, é um verdadeiro curso inteiramente gratutito online, como assinante feed leio todos, dessa matéria a que me chamou mais atenção foi Prefixo E Segurança Da Base De Dados MySQL Do WordPress no qual eu observei pelo scanner do plugin security mas todas elas são fundamentais para todo blogueiro!!

    Um abraço

    • Olá Cláudio! Obrigado! Eu achei importante escrever este artigo sobre segurança, porque a maioria dos blogueiros investe tanto tempo, dedicação e carinho no blog, que fica trágico perderem tudo porque não cuidaram da segurança ou no mínimo não fizeram cópias de segurança. Um Abraço Rui Soares

  3. Rui,
    nem sei por onde começar … estou ansiosa com tanta informação útil. Vou olhar para isto com muita calma .
    Muito Obrigada !
    Eninha Campos

  4. Muito boa e útil matéria para os usuários do WordPress, parabéns.
    Abraços forte

  5. Tatha

    Rui quirido,como assim?Rackers em meu
    lindo e adoravel bloguinho de amor? Como pode roubar minha historia de amor que e so minha? eu morrerei com certeza….meu doce Rui,como faço tudo isso se eu nao sei nada que vc esta falando? me diz como fazer copia por favor.Eu sou totalmente sem noçao.

  6. Obrigado pelas dicas. Hoje com a evolução constante da internet precisamos ter cautela em todas as nossas ações, principalmente com nossos blogs, devemos analisar cuidadosamente cada detalhe para não perdermos trabalho de anos. Abraços

    • Olá Fabrício! Não existe nenhum castelo invulnerável. Mas, se estivermos preparados, podemos minimizar os riscos e também as consequências de qualquer incidente. E, como você disse, às vezes o que está em causa são alguns anos de trabalho. Obrigado pela sua participação! Um Abraço Rui Soares

  7. Acredito que em questão de Segurança o BlogSpot tem vantagem em relação ao wordpres, inclusive com os back ups que soa mais faceis de fazer.

Participa! Comenta...