Repita 7 vezes: o WordPress é Seguro.

Leandro Vieira / Fundador e CEO da Apiki leandro@apiki.com

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

1. O WordPress não é seguro …

Ouço isso muito. Várias e repetidas vezes.

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

O WordPress é seguro. Inseguro é você.

Sobre a iniciativa

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

Movimento de mudança

iMasters Developer Week Edição Vitória / ES

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

Guia e educaçãoapiki.com/wordpress-seguro

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

Conteúdo semanalblog.apiki.com/category/wordpressseguro/

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

2. Os problemas da popularidade

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

3. Nem tudo são flores

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

Full Path Disclosure (FPD)

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

/wp-includes/rss-functions.php /wp-content/plugins/hello.php

Senhas

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

Diretório de Plugins

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

4. Você não está fazendo isso certo.

Mas deveria.

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

• functions.php.bkp

• functions.php.old

• algum-arquivo.php.qualquercoisa

• medo.php.maismedo

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

DISALLOW_FILE_EDIT X

DISALLOW_FILE_MODS

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

5. Você deveria usar mais vezes

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

6. Você deveria fazer isso sempre …

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

@AtualizaçõesCore. Temas. Plugins. Sistema Operacional. Bibliotecas.

Tudo.

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

@Usuário e senhas

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

@Usuário e senhas

https://api.wordpress.org/secret-key/1.1/salt/

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

@Autenticação de dois fatores

Quem é você. O que você tem. O que você sabe.

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

@Autenticação de dois fatores

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

@wp-config.php

• Manter o arquivo um nível acima do diretório público; • Usar a permissão 400 (readonly) ou 600; • No arquivo .htaccess fazer uso de diretiva para proteção do arquivo.

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

@Debug/wp-content/debug.log

define( 'WP_DEBUG', true ); define( 'WP_DEBUG_LOG', true ); @ini_set( 'log_errors', 'On' ); define( 'WP_DEBUG_DISPLAY', false ); @ini_set( 'display_errors', 'Off' );

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

@Exclusão de arquivos

1./wp-config-sample.php 2./readme.html 3./license.txt 4./wp-admin/install.php 5./wp-admin/upgrade.php

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

@Permissões

• 400/600 para o wp-config.php; • 600 para o debug.log; • 644 para os arquivos; • 755 para os diretórios.

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

@robots.txtUser-agent: * Disallow: /feed/ Disallow: /trackback/ Disallow: /wp-admin/ Disallow: /wp-content/ Disallow: /wp-includes/ Disallow: /xmlrpc.php Disallow: /wp-

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

@FornecedoresDesenvolvimento. Conteúdo. Hospedagem.

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

@Banco de DadosPrefixo.

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

@Banco de Dados

wp_O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

@.htaccessMágico. Indexes. Debug. wp-config. wp-includes. Spam.

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

@.htaccess

#1 Options -Indexes

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

@.htaccess

#2 <Files debug.log> Order allow,deny Deny from all </Files>

#3 <files wp-config.php> order allow,deny deny from all </files>

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

@.htaccess

<IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{REQUEST_METHOD} POST RewriteCond %{REQUEST_URI} .(wp-comments-post|wp-login)\.php* RewriteCond %{HTTP_REFERER} !.*example.com.* [OR] RewriteCond %{HTTP_USER_AGENT} ^$ RewriteRule (.*) http://%{REMOTE_ADDR}/$ [R=301,L] </ifModule>

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

@.htaccessFull Path Disclosure (FPD). site-em-wp.com.br/wp-includes/rss-functions.php

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

@.htaccess -Full Path Disclosure (FPD)

#4 <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] </IfModule>

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

-Full Path Disclosure (FPD)

O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

<?php if ( ! function_exists( 'add_action' ) ) exit; ?>

Considere o uso em seus arquivos de plugins e temas.

@BackupsBanco de dados. Arquivos. Redundância.

O WordPress é seguro. Inseguro é você.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

7. Vamos nos ajudar?Muito obrigado \o/.

O WordPress é seguro. E você também.O WordPress é seguro. Inseguro é você. / apiki.com/wordpress-seguro

Leandro Vieira / Fundador e CEO da Apiki leandro@apiki.com