Artigos

Proteções de segurança para o arquivo wp-config.php

Iniciativa WordPress Seguro

Criamos uma iniciativa chamada #WordPressSeguro para divulgar e colaborar com o que diz respeito à segurança para WordPress. Além de informações disponibilizamos um Guia Prático de Implementações para Segurança em WordPress.

Sobre o wp-config.php

No arquivo wp-config.php do WordPress definimos várias constantes e diretivas de segurança para a aplicação, mas esse arquivo, em razão de sua grande importância e abrigo de informações sensíveis, precisa ter devida proteção.

Devemos considerar uma localização segura para ele, a correta permissão do arquivo e o bloqueio de sua execução direta. E claro, fazer uso de constantes para uma definição global de segurança na aplicação.

Localização segura para o wp-config.php

Por padrão ele se localiza na raiz da pasta pública em conjunto com os demais arquivos e diretórios do core do WP. É aconselhável e suportado migrá-lo para um diretório acima.

A localização padrão.

/public_html/wp-includes/
/public_html/wp-config.php

A localização sugerida.

/public_html/wp-includes/
/wp-config.php

O WordPress interpreta ambas localizações.

A correta permissão de arquivo

A permissão do arquivo define como o sistema operacional lidará com a leitura e escrita do seu conteúdo. Podemos considerar duas possibilidades de permissão para o wp-config.php

  1. Mais restritiva e permitimos apenas a leitura.
  2. Mais branda e além da leitura é permitido a escrita.

Você define o nível de segurança que deseja e como pretende lidar com plugins que requerem a escrita no arquivo. Convenhamos que você não ativará recursos o tempo todo que escrevam no wp-config.php, portanto, considere a permissão 400.

Um arquivo para proteger o outro

Para quem usa Apache e por conseguinte o arquivo .htaccess pode considerar o uso da diretiva abaixo para proteger ainda mais o wp-config.php. Evitando a execução direta dele.

<files wp­-config.php>
order allow,deny
deny from all
</files>

Imagine o cenário de uma falha de configuração de servidor onde ao acessar um arquivo .php o download é realizado ao contrário de sua execução, o conteúdo será revelado e as informações de acesso ao banco de dados, por exemplo, estarão todas lá.

Indo além

Com os passos anteriores você protege o arquivo wp-config.php e, como dito, as constantes que regem e definem uma série de aspectos de segurança do WordPress como um todo são definidas nesse arquivo.

Em outros artigos citei a potencialidade de algumas delas e em artigos futuros abordarei com mais detalhes, por merecerem tratativas para o banco de dados, senhas e chaves secretas, debug, bloqueio de edição de arquivos e inúmeras outras possibilidades.

 

 

é Fundador e CEO da Apiki, empresa de tecnologia especializada em WordPress e Co-Fundador do WP SEO Boost, uma consultoria premium de SEO para WordPress. É uma das grandes referências do CMS de gestão de conteúdo do Brasil. Responsável por grandes cases do mercado, assina os projetos de desenvolvimento web nacionais e internacionais, como E-Commerce Brasil, iMasters, e Digitalks. É um verdadeiro evangelista da plataforma. Adora compartilhar conhecimento através de suas palestras, artigos e bate-papos.

Comentários

PUBLICIDADE