Cibersegurança Códigos: Blindando o WordPress via wp-config.php

Versão Beta para testes e avaliações: Aguarde em breve a versão final. É um especialista em cibersegurança e quer contribuir com sua opinião sobre estes códigos? Clique aqui para acessar os Contatos.

Público alvo

Qualquer desenvolvedor WordPress se beneficiará destes códigos, ainda que os mesmos tenham sido selecionados para web designers e webmasters de unidades de informação e cultura GLAM (galerias, bibliotecas, arquivos e museus).

Autorizando atualizações automáticas

Caso sua empresa de hospedagem não ofereça a atualização automática (ex: via cPanel), é possível autorizar atualizações automáticas do core do WordPress, plugins e temas (baixados do repositório WordPress.org) inserindo os códigos abaixo no wp-config.php.

Após a atualização, um e-mail de alerta será encaminhado pelo WordPress ao Administrador:

define( 'WP_AUTO_UPDATE_CORE', true );
add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );

Atenção: Tenha em mente de que há um risco associado em atualizar automaticamente, por isto, analise prós e contras. Por padrão, recomendamos a atualização automática de todos os recursos com a opção disponível.

Desabilitando edição de arquivos por usuários

Caso uma conta de administrador seja hackeada, o invasor terá acesso imediato à edição de arquivos PHP no próprio Painel de Controle do WordPress.

Para desabilitar este recurso insira o código abaixo no wp-config.php:

define('DISALLOW_FILE_EDIT', true);

Alterando as chaves de segurança

Alterar as chaves de segurança padrão do WordPress no wp-config.php, substituindo as chaves de instalação por outras, secretas e únicas.

O gerador automático do WordPress providenciará frases complexas como no exemplo abaixo para cada item.

'oN,IC4X7kMxq8|SPZ5|ziGO^b0PX0cfU;[TV{ibT%@5~V-W5ql`OxCC_lUJyKG+X');

Forçando protocolo SSL

É possível forçar o acesso exclusivamente via SSL ativando o recurso no Let’s Encrypt do cPanel (Vide tutorial SiteGround).

Caso não tenha o recurso via cPanel, após instalar o protocolo SSL, inserir o código abaixo no wp-config.php para forçar acesso via SSL:

define('FORCE_SSL_LOGIN', true);
define('FORCE_SSL_ADMIN', true);

Atenção: Não realize duplicação do procedimento (ativação no cPanel e inserção de código), para não entrar em looping de redirecionamento!

Desabilitando mensagens de erro

As mensagens de erro fornecem dados privados para externos, podendo ser desabilitadas via plugin Wordfence ou inserindo o código abaixo no arquivo wp-config.php:

error_reporting( 0 );
ini_set( 'display_errors', 0 );

Versão inicial de autoria de Ana Cecília Rocha Veiga.