Cibersegurança Códigos: Blindando o WordPress via .htaccess

Versão Beta para testes e avaliações: Aguarde em breve a versão final. É um especialista em cibersegurança e quer contribuir com sua opinião sobre estes códigos? Clique aqui para acessar os Contatos.

Público alvo

Qualquer desenvolvedor WordPress se beneficiará destes códigos, ainda que os mesmos tenham sido selecionados para web designers e webmasters de unidades de informação e cultura GLAM (galerias, bibliotecas, arquivos e museus).

Limitando acesso por IP

É possível limitar o acesso ao painel administrativo do WordPress a um ou mais computadores, utilizando o bloqueio dos demais IPs não autorizados.

No cPanel, em WP Toolkit, selecione “Secure Admin Panel” e insira os IPs autorizados.

É possível, ainda, realizar o procedimento inserindo o código abaixo no arquivo .htaccess. O número do seu IP pode ser obtido em What is my IP. Atenção: Caso o seu IP seja dinâmico acesse este tutorial.

# Block IPs for login Apache 2.2
<files /wp-login.php>
order deny, allow
allow from MYIP
allow from MYIP2
deny from all
</files>

# Block IPS for login Apache 2.4
<Files "wp-login.php">
Require all denied
</Files>

Atenção: A maioria das conexões com a Internet não possuem um IP fixo. Só faça isto se tiver certeza de que não é o seu caso.

Bloqueando Pesquisa de Diretórios

Insira os códigos abaixo no início do arquivo .htaccess para negar listagem dos diretórios e intrusões:

#Deny Directory Listing
Options - Indexes
#Block sensitive files
<files.htaccess>
Order allow,deny
Deny from all
</files>
<files wp-config.php>
Order allow,deny
Deny from all
</files>

Protegendo o wp-config.php

Para restringir o acesso de visitantes ao seu arquivo wp-config.php, insira este código abaixo no arquivo .htaccess:

# Protect wp-config Apache 2.2
<files wp-config.php>
order allow,deny
deny from all
</files>

#Protect wp-config Apache 2.4
<Files "wp-config.php">
Require all denied
Require ip 1.1.1.1
</Files>

Protegendo o .htaccess

Para restringir o acesso de visitantes a qualquer arquivo que se inicie com “hta”, insira este código abaixo no arquivo .htaccess:

# Protect htaccess Apache 2.2
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow, deny
deny from all
satisfy all
</files>

# Protect htaccess Apache 2.4
<FilesMatch "^.*\.([Hh][Tt][Aa])">
Require all denied
</FilesMatch>

Protegendo PHP

Crie um novo arquivo .htaccess dentro das pastas “/wp-content/uploads”, “/wp-content/plugins” e “/wp-content/themes” e adicione os códigos abaixo para bloquear execuções indevidas do PHP:

# Backdoor Protection Apache 2.2
<Files *.php>
deny from all
</Files>

# Backdoor Protection Apache 2.4
<FilesMatch ".+\.php$">
Require all denied
</FilesMatch>

Versão inicial de autoria de Ana Cecília Rocha Veiga.