{"id":942,"date":"2012-02-16T14:49:51","date_gmt":"2012-02-16T17:49:51","guid":{"rendered":"http:\/\/eriberto.pro.br\/blog\/?p=942"},"modified":"2012-02-20T07:31:55","modified_gmt":"2012-02-20T10:31:55","slug":"wordpress-instalacao-e-utilizacao-com-mais-desempenho-e-seguranca","status":"publish","type":"post","link":"https:\/\/eriberto.pro.br\/blog\/2012\/02\/16\/wordpress-instalacao-e-utilizacao-com-mais-desempenho-e-seguranca\/","title":{"rendered":"WordPress: instala\u00e7\u00e3o segura, desempenho e gerenciamento de mem\u00f3ria"},"content":{"rendered":"

Muitos, como eu, utilizam o WordPress para fazerem os seus sites e blogs. E, com certeza, o WordPress \u00e9 o sistema mais utilizado para blogs e um dos mais difundidos para sites na atualidade. O grande problema \u00e9 que a maioria dos usu\u00e1rios descompacta o WordPress dentro dos seus GNU\/Linux ou dos seus espa\u00e7os em provedores, realiza a configura\u00e7\u00e3o b\u00e1sica via web, instala um monte de plugins e… pronto. Dessa forma, poder\u00e3o ocorrer muitos problemas de desempenho e seguran\u00e7a.<\/p>\n

O grande objetivo deste post \u00e9 mostrar como agregar um pouco mais de seguran\u00e7a \u00e0 instala\u00e7\u00e3o e como escolher os plugins de uma forma mais cuidadosa.<\/p>\n

A instala\u00e7\u00e3o do WordPress<\/h2>\n

Depois da cl\u00e1ssica instala\u00e7\u00e3o do tipo “descompacte o .zip, chame a URL do site, configure o seu WordPress<\/em>“, algumas medidas dever\u00e3o ser adotadas. A primeira delas \u00e9 via shell (ssh, por exemplo) ou via FTP. Consiste em apagar arquivos que deem pistas sobre o seu WordPress, como vers\u00e3o etc. Ao realizar ataques, por exemplo, \u00e9 sempre bom saber o software que est\u00e1 rodando do outro lado, incluindo a sua vers\u00e3o. Um dos grandes vil\u00f5es aqui \u00e9 o arquivo readme.html do WordPress. Ele cita a vers\u00e3o do WordPress instalado. Ser\u00e1 poss\u00edvel encontrar um monte desses arquivos se voc\u00ea procurar no Google por algo como isto:<\/p>\n

wordpress inurl:readme.html<\/pre>\n
Um exemplo de resultado, retirado da web (clique para ampliar):<\/p>\n
\"\"<\/a><\/p>\n
Assim sendo, apague o quanto antes os arquivos license.txt<\/em> e readme.html<\/em><\/em>, existentes na raiz do diret\u00f3rio que cont\u00e9m o WordPress. Note que esse procedimento poder\u00e1 ser necess\u00e1rio tamb\u00e9m depois de uma atualiza\u00e7\u00e3o do WP. Para tanto, utilize o comando:<\/p>\n
# rm license.txt readme.html<\/pre>\n
Mas h\u00e1 outra sa\u00edda, caso voc\u00ea deseje preservar tais arquivos. Alterar as suas permiss\u00f5es para 000 com o comando chmod.<\/p>\n
IMPORTANTE: depois de escrever esta parte do post, encontrei um plugin que realiza, automaticamente, as a\u00e7\u00f5es descritas acima. Ele ser\u00e1 comentado mais adiante. Trata-se do SIG.<\/p>\n
O pr\u00f3ximo passo ser\u00e1 alterar o n\u00edvel de permiss\u00e3o de acesso ao arquivo wp-config.php<\/em>, que cont\u00e9m a senha de acesso ao banco<\/em> de dados. Este passo s\u00f3 dever\u00e1 ser realizado depois da configura\u00e7\u00e3o inicial do WordPress, ou seja, j\u00e1 dever\u00e1 ter ocorrido a conex\u00e3o entre o WP e o banco de dados. Para tanto, utilize o comando a seguir:<\/p>\n
# chmod 400 wp-config.php<\/pre>\n
Dependendo de como o servidor de p\u00e1ginas esteja configurado, poderemos alterar mais um n\u00edvel de permissionamento. Um exemplo disso \u00e9 o Apache2 no Debian, que roda sob o usu\u00e1rio www-data. Ent\u00e3o, neste caso, para maior seguran\u00e7a, devermos deixar arquivos com 640 (exceto o wp-config.php<\/em>) e os diret\u00f3rios com 750. Ainda, todos os arquivos e diret\u00f3rios, inclusive o que cont\u00e9m o WordPress, dever\u00e3o pertencer ao usu\u00e1rio www-data. Para isso, considerando que o site WordPress esteja em \/var\/www\/teste\/, deveremos executar:<\/p>\n
# find \/var\/www\/teste -type f -perm 644 -exec chmod 640 {} \\;\r\n# find \/var\/www\/teste -type d -perm 755 -exec chmod 750 {} \\;\r\n# chown -R www-data.www-data \/var\/www\/teste<\/pre>\n
O \u00faltimo item deste t\u00f3pico, mas n\u00e3o menos importante,\u00e9 sobre a conta de administrador. Essa conta, por default, \u00e9 criada com o nome de usu\u00e1rio admin. Ent\u00e3o, os rob\u00f4s da Internet que buscam descobrir senhas utilizam sempre admin como usu\u00e1rio para tentarem entrar no blog. Por este e muitos outros motivos, \u00e9 fundamental que voc\u00ea crie um usu\u00e1rio com outro nome para ser administrador e exclua o admin.<\/p>\n
Esta \u00e9 a configura\u00e7\u00e3o b\u00e1sica de seguran\u00e7a do WordPress. Os pr\u00f3ximos t\u00f3picos tentar\u00e3o descobrir “brechas” ou problemas.<\/p>\n
De olho no log<\/h2>\n
A partir de agora deveremos ter o cuidado de verificar se aparecem erros no log \/var\/log\/apache2\/error.log<\/em>. \u00c9 MUITO IMPORTANTE testar o WordPress com o tema padr\u00e3o e sem plugins. Teste com uma p\u00e1gina ou com um post e um coment\u00e1rio, dependendo do seu caso. Depois, configure o WordPress, utilizando o painel de controle, de acordo com o seu gosto. Verifique o log novamente. Somente depois disso, instale temas e plugins. Mas n\u00e3o esque\u00e7a de testar um a um.<\/p>\n
Atualize sempre!<\/h2>\n
Ao ser informado sobre atualiza\u00e7\u00f5es no core do WordPress, em plugins ou temas, n\u00e3o hesite! Sistemas atualizados s\u00e3o chave primordial para manter a seguran\u00e7a do seu site. Atualizar ajuda a evitar invas\u00f5es, defacements etc. H\u00e1 plugins que avisam por e-mail sempre que uma atualiza\u00e7\u00e3o \u00e9 lan\u00e7ada. Particularmente, gosto do WP Updates Notifier.<\/p>\n
Mas h\u00e1 uma regra b\u00e1sica para atualiza\u00e7\u00f5es sem impacto: evite alterar o c\u00f3digo-fonte do WordPress. Muitos sites ensinam dicas e truques que ir\u00e3o requerer altera\u00e7\u00e3o de c\u00f3digo. Isso n\u00e3o \u00e9 bom, pois qualquer atualiza\u00e7\u00e3o ir\u00e1 matar as suas altera\u00e7\u00f5es. Prefira utilizar plugins que executem tarefas espec\u00edficas em vez de alterar c\u00f3digo para obter benef\u00edcios.<\/p>\n
Cuidados com temas e plugins<\/h2>\n
A maioria dos usu\u00e1rios de WordPress adora instalar temas e plugins indiscriminadamente. Realmente \u00e9 prazeroso ter um monte de recursos. No entanto, temas n\u00e3o testados e plugins diversos podem trazer alguns problemas, como:<\/p>\n