O documento fornece dicas sobre segurança e otimização de desempenho para sites WordPress. Ele discute proteger credenciais de acesso, manter WordPress e plugins atualizados, usar plugins de segurança e fazer backups regulares. Também fornece dicas sobre melhorar o desempenho, como limitar número de posts, otimizar imagens e comprimir arquivos.
3. WordPress 1.5
Experiência em WordPress desde lançamento
do WordPress 1.5 com o clássico theme Kubrick
- 17 February 2005
4. Fornecedor de Soluções de Alojamento Web Nacional
http://www.webtuga.pt - http://wt.pt – http://webtu.ga
Suporte Técnico @ WebTuga
(centenas ou mesmo milhares de sites em WordPress)
7. Proteja o seu site WordPress
1) Utilize um fornecedor de alojamento Web
seguro.
2) Proteja os seus dados de acesso FTP (e cPanel,
Plesk, etc)
3) Instalação e Configuração Segura do WordPress
4) Gestão de Plugins e Themes
5) Mantenha a plataforma atualizada
6) Faça os seus próprios Backups
7) Instale Plug-ins de Segurança
8) Utilize serviços de CDN
8. 1) Utilize um fornecedor de
alojamento Web seguro
Certifique-se que o seu fornecedor de serviço
de alojamento web protege minimamente os
seus servidores.
Existem várias camadas de segurança que
necessitam de estar minimamente protegidas
para além da sua plataforma WordPress.
9. O fornecedor de alojamento web deve fornecer
algumas camadas de segurança que previnam os
ataques mais populares, protegendo a…
Rede:
- Redundância
- Firewalls
- Sistemas Anti-DDoS
- CDN
Sistema Operativo:
- Kernel recente;
- CloudLinux (cageFS)
Serviços de Gestão Remota:
- (Acessos Restritos - Apenas VPN)
- SSH
- RDP
10. Software de Servidor:
- Apache, nginx, lighttpd, Litespeed, IIS - Manter um
filtro web a nível de software - Exemplo:
mod_security
- MySQL / MSSQL / postgresql - Limitar o acesso
remoto
- IMAP/POP3/Webmail - Bloquear acesso após x
tentativas de autenticação falhadas
Painel de Controlo WebHosting:
- (manter atualizados e bloquear acesso após x
tentativas de autenticação falhadas)
- cPanel
- Plesk
- Webmin
- Atomia
11. Coloque algumas questões relativamente à
segurança dos servidores ao seu fornecedor de
alojamento web. Certifique-se que este
mantém um filtro que protege os seus sites
contra os ataques mais conhecidos:
SQL Injection;
Malware Injection;
Spam-bots;
Ataques Bruteforce;
Simulações de pedidos HTTP;
Ataques Cross-Site Scripting (XSS)
Ataques de Negação (DoS/DDoS)
12. Se o seu fornecedor de alojamento web não
proteger minimamente os serviços, estará a
colocar em risco os seus sites e dados,
podendo todos os sites alojados num
determinado servidor serem totalmente
comprometidos (massive attack).
A segurança não é algo linear, existem várias
camadas de segurança e vários tipos de
ataque. Cabe a todos promover e adotar
medidas de segurança, seja o fornecedor de
alojamento web, seja o webmaster/blogger
ou o visitante/utilizador do site.
13. 2) Proteja os seus dados de
acesso FTP (e cPanel, Plesk,
etc.)
Não defina passwords simples para o seu
acesso FTP;
Não guarde a sua password em plain-text
(FileZilla).
14. 3) Instalação e Configuração
Segura do WordPress
Quando fizer a primeira instalação da sua
plataforma WordPress:
Não utilize o username default “admin”;
Defina uma password composta por caracteres
alfanuméricos;
Certifique-se que a base de dados e o
username MySQL têm nomes aleatórios e
seguros;
Certifique-se que a password do utilizador
MySQL é complexa e segura;
15. Não utilize o prefixo default das tabelas do
WordPress (wp_);
Altere a pasta/url default da administração do
WordPress ( Plugin: Better WP Security);
Proteja o acesso ao ficheiro wp-login.php por
dupla autenticação (.htpasswd);
Proteja o acesso ao ficheiro wp-config.php via
.htaccess;
Não publique a versão do seu WordPress;
Desative a edição dos themes pelo painel de
administração:
No ficheiro wp-config.php, adicione a seguinte
linha:
define(‘DISALLOW_FILE_EDIT’, true )
16. 4) Gestão de Plugins e
Themes
Apenas plug-ins e themes de fontes seguras;
Muitas das vezes quando não descarregados da
fonte original, os plugins e themes têm código
malicioso injectado de forma encriptada que
poderá ser utilizado para comprometer o seu
site ou distribuir malware pelas visitas do seu
site.
17. 5) Mantenha a plataforma
actualizada
Para garantir que o seu site não é atacado
através de um ataque 0-day, deverá atualizar
regularmente a sua plataforma WordPress.
Neste momento, as atualizações do core do
WordPress são automáticas, pelo que deverá
manter esta opção ativa.
Se tem uma plataforma WordPress com uma
versão antiga, deverá efetuar o upgrade o
mais rapidamente possível.
18. Para além da plataforma, deverá também
manter sempre os seus plugins atualizados na
última versão disponibilizada. Certifique-se
também que apenas utiliza Plugins de fontes
seguras e que os mesmos ainda são
suportados.
Existem bastantes plugins que já não são
atualizados/mantidos pelos seus
desenvolvedores, pelo que deverá fazer uma
pesquisa na Internet sempre que ativar um
plugin de forma a saber se não existem
falhas de segurança conhecidas para a versão
que vai utilizar.
19. 6) Faça os seus próprios
Backups
Existem várias formas de fazer backups do
WordPress (Plug-ins, Serviços Online, etc).
Mantenha sempre uma cópia recente dos
ficheiros e base de dados do WordPress.
20. 7) Instale Plug-ins de
Segurança
Better WP Security
Limit Login Attemps
Wordfence
Login Lockdown
WordPress Firewall
All in one WordPress Firewall
23. Optimize o seu site WordPress
para levar com carga
1) Aloje o seu site num serviço de
Alojamento estável;
2) Limitar número de Posts por página;
3) Manter o WordPress e Plug-ins (válido
para a Segurança e Optimização);
4) Não utilize demasiados plug-ins;
24. 5) Evite ter demasiados Widgets JavaScript
externos
Widgets de Tempo;
Widgets de Contagem de Visitas;
Animações JavaScript;
Facebook Share;
Botões Twitter;
etc...
6) Optimize as imagens do seu blog/site;
7) Carregar scripts javascript apenas no
fundo do site;
8) Reduzir pedidos HTTP;
25. 9) Optimizar e juntar ficheiros CSS,
JavaScript e output HTML;
Pode ser feito recorrendo a estes plugins:
WP Minify;
W3 Total Cache;
10) Desativar Post Revisions:
Colocar as seguintes linhas no código do wp-
config.php:
define(‘AUTOSAVE_INTERVAL', 300);
define('WP_POST_REVISIONS', false );
26. 11) Optimize frequentemente a base de
dados pelo phpMyAdmin:
Pode ser feito utilizando o plug-in Optimize
DB;
12) Reduzir queries MySQL;
13) Fazer Debug ao WordPress:
Poderá fazer debug colocando a seguinte linha
no ficheiro wp-config.php:
define('WP_DEBUG', true);
27. 14) Gzip e mod_deflate:
Comprimir ficheiros ao nível do servidor;
15) Ativar Plug-ins de Cache:
WP Super Cache;
W3 Total Cache;
Hyper Cache;
WP Cache;
16) Utilizar rede CDN:
CloudFlare
Incapsula
CloudProxy
28. Como verificar a performance do seu
site?
Google Page Speed
(http://developers.google.com/speed/pagespe
ed/insights/)
Pingdom Tools
(http://tools.pingdom.com/fpt/)
GTmetrix
(http://www.gtmetrix.com)