Cibersegurança Checklist Dev: Instalação do WordPress

Versão Beta para testes e avaliações: Aguarde em breve a versão final. É um especialista em cibersegurança e quer contribuir com sua opinião sobre este checklist? Clique aqui para acessar os Contatos.

Público alvo

Qualquer desenvolvedor WordPress se beneficiará da quase totalidade dos checklists dev, ainda que os mesmos tenham sido desenvolvidos para web designers e webmasters de unidades de informação e cultura GLAM (galerias, bibliotecas, arquivos e museus).

Instalação do WordPress: Procedimentos de cibersegurança

Alterar o  table_prefix do banco de dados para outro que não seja o padrão “wp_”

Quando o WordPress é instalado, um banco de dados é automaticamente criado, com o objetivo de armazenar todo o conteúdo do website (posts, páginas, imagens, etc.).

Para isto o WordPress utiliza o MySQL, um sistema de gerenciamento de banco de dados open source. Por padrão, o prefixo do banco de dados será “wp_”.

No momento da instalação é possível alterar este prefixo para outro, dificultando invasões. Contudo, caso o prefixo de um website existente já seja “wp_”, não altere via plugin, deixe como está. (Vide FAQ do Desenvolvedor, Questões 5 e 6)

Alterar login do administrador, nunca utilizando o login padrão (admin)

No processo de instalação do WordPress será criada automaticamente uma conta para o Administrador do website. Por padrão, o WordPress estabelece que o nome de usuário desta conta (login) será “admin”.

Contudo, utilizar o login padrão fragiliza (e muito) a segurança do website, pois o invasor já possui meio caminho andado: agora só falta decifrar a senha.

Assim, jamais utilize login “admin” para administrar um website.

Caso este login exista, passe os privilégios de administração para outro usuário com login diferente e delete o usuário “admin”.

Para aqueles que utilizam um Gerenciador de Senhas (Vide FAQ do Usuário de Internet, Questão 7) e, portanto, não precisam decorar nenhum dado de acesso, considerar a adoção de um login com complexidade de senha, por exemplo:

Login: 9l&9yNRDWCj5oM^xTrNC)

Assim será impossível para um invasor simplesmente “adivinhar” qual é o login de uma conta de Administrador.

Selecionar protocolo HTTPS no momento da instalação

Vide item “Certificado HTTPS (TSL/SSL)” no Checklist Dev: Selecionando a Hospedagem

Selecionar instalação do WordPress Multisite

Caso seja o único webmaster de vários websites ou possua uma equipe de confiança, avalie a adoção do Multisite, que facilita a principal ação de cibersegurança no que tange ao WordPress: atualização constante.

Clique aqui para saber como mapear seus domínios nos subsites sem plugin.

Deletar os arquivos readme.html, license.txt e install.php

Após concluída a instalação, deletar os arquivos readme.html, license.txt e install.php na raiz do WordPress.

Estes arquivos não serão mais necessários e expõem dados sensíveis do website, como a versão de instalação. Esta não é uma medida muito eficaz, mas como é simples de se fazer e não causa danos, recomendamos o procedimento.

Mover o arquivo wp-config.php um diretório acima

O arquivo wp-config.php armazena informações importantes sobre o seu website, como nome do banco de dados, nomes de usuários, senhas, etc. Nele também estão recursos cruciais, como as chaves de segurança.

Mover o wp-config.php um diretório acima permite que o website continue funcionando normalmente e amplia a segurança dos dados. Isto não impede que invasores descubram o wp-config.php, mas dificulta este processo.

Versão inicial de autoria de Ana Cecília Rocha Veiga.