Remova os plugins e temas NÃO usados
Caso tenha plugins em que não altere a funcionalidade da sua aplicação, ou esteja desativado, procure removê-los. Cada plugin ou tema incluído no seu WordPress, aumenta sua chance de ser hackeado ou ter queda de performance.
Evite redundância ou plugin desnecessário
Quantas vezes já peguei um site em WordPress, com mais de 30 plugins e que nem sempre era usado de fato todos, ou na pior das hipóteses, contendo mais de um plugin em que faz a mesma coisa, gerando assim conflitos e possíveis bugs.
Evite instalar plugins piratas ou sem atualizações
É compreensível que nem todos tenham condições para pagar um Elementor PRO, no entanto, existem alternativas melhores a se fazer. Ao invés de instalar a versão pirata, procure por versões gratuitas, soluções como PRO Elements podem ser uma boa.
Configure as permissões do servidor
Nunca use a permissão 777, coloque o padrão indicado pelo próprio WordPress com algumas configurações adicionais:
- 755 para diretórios e 644 para arquivos;
- 640 para .htaccess, readme.html, wp-admin/install.php e wp-admin/upgrade.php;
- 600 para wp-content/debug.log;
- 400 para wp-config.php e arquivos de backup.
- Acesse seu servidor via ssh e rode o código abaixo para configurar corretamente:
find -type f ! -perm 644 -exec chmod 644 {} \;
find -type d ! -perm 755 -exec chmod 755 {} \;
chmod 640 .htaccess readme.html wp-admin/{install.php,upgrade.php}
chmod 600 wp-content/*.log*
chmod 400 wp-config*Deixe seu site mais rápido e seguro com o .htaccess
O .htaccess é um arquivo que pode conter mais que um em uma aplicação, com ele, podemos fazer redirecionamentos, configurar permissões, erros 404 e outros.
É uma ótima forma para deixar o nosso WordPress seguro, confira um modelo genérico para você usar em seus projetos.
Ajuste o arquivo wp-config.php para maior segurança
Esse é um ponto importante, o wp-config.php é um arquivo onde contém informações de banco de dados, prefixos, Chaves de autenticação única e mais.
Tenha um modelo bem construído para seu site ficar seguro e bem configurado.
Adicione uma crontab para otimizar o seu WP
Crontab a grosso modo é uma forma de rodar um comando a cada um certo tempo, no entanto, antes de implementar isso, valide se você incluiu a instrução que desabilita wp-cron.
define("DISABLE_WP_CRON", true);Dentro do arquivo wp-config.php, coloque a instrução acima para desabilitar o WP cron e por fim crie um cron job em que rode esse comando a cada 15min.
wget -q -O - https://seudominio.com/wp-cron.php?doing_wp_cron >/dev/null 2>&1
Use um bom plugin de cache
Um bom plugin de cache vai depender do seu servidor web, para quem usa Nginx ou Apache pode usar o WP Fastest Cache e para servidores com Litespeed a melhor opção é o Litespeed Cache.
Tenha uma rotina no mínimo mensal de backup
Em algumas hospedagens, podem oferecer uma opção de backup recorrente, é uma ótima opção caso tenha condições para pagar.
Caso não queira gastar dinheiro com isso, pode usar o plugin All-in-one WP Migration, para fazer um backup basta clicar em CRIAR BACKUP.
Use um usuário diferente de “admin”
O “admin” é o primeiro usuário que o hacker tenta pôr para fazer um brute force e invadir seu site WordPress. Use combinações diferentes e salve em um local seguro como Bitwarden. Por falar em Bitwarden, com ele você poderá criar senhas fortes e gravá-las.
Mude a URL administrativa padrão “/wp-admin”
Para fazer essa alteração, o plugin WPS Hide Login funciona bem. Após a instalação ele ficará em configurações mude a URL administrativa e para onde será o redirecionamento caso ocorra um erro na URL.
Bloqueie o arquivo xmlrpcs.php
Primeiramente, iremos precisar instalar o plugin WPCode para incluir um snippet global, com o mesmo plugin é possível por código no header, body ou footer.
add_filter( 'xmlrpc_enabled', '__return_false' );
Desabilitando o XML-RPC via .htaccess
<Files xmlrpc.php> order deny,allow deny from all </Files>