Proteja sua pasta de administrador em qualquer site WordPress

A pasta Admin no WordPress contém a chave para acessar todo o seu site. Os hackers sempre tentam entrar na pasta Admin para invadir um site. Houve vários casos de invasão de sites relatados em que se descobriu que os hackers se apossaram da pasta WP-Admin e, portanto, tiveram acesso ao restante do site.

Por isso, algumas pessoas pensam duas vezes antes de criar um site no WordPress. Mas se você já tem um site WordPress, você pode proteger sua pasta admin no WordPress limitando o acesso em .htaccess.

Existem várias maneiras de proteger sua pasta admin no WordPress limitando o acesso em .htaccess. Você pode fazer isso usando plugins, mas o método recomendado é configurar o arquivo .htaccess manualmente.

Quando você faz isso manualmente, existem várias medidas de segurança que você pode tomar para evitar diferentes tipos de tentativas de hackers. Note que .htaccess é um arquivo muito poderoso que não só ajuda em questões de segurança, mas também tem as configurações para melhorar drasticamente o desempenho do site.

Como proteger sua pasta de administração no WordPress limitando o acesso em .htaccess (por plugins)

O WordPress é popular por seus plugins e existem plugins para literalmente tudo. WP Security Scan é um plugin que você precisará para proteger sua pasta admin no WordPress limitando o acesso no arquivo .htaccess.

Vá para a opção Plugins no menu esquerdo do Dashboard e clique na opção Add New. Na caixa de pesquisa, digite o nome do plugin que é WP Security Scan.

Depois que o plug-in for encontrado e instalado, vá para as configurações do plug-in. Você encontrará .htaccess no relatório de verificação de arquivos e poderá definir as configurações de permissão do arquivo e subpartes para proteger sua pasta de administração.

Mesmo que o plugin não tenha sido atualizado por alguns anos, ele é totalmente funcional e o único plugin no mercado que permite alterar as configurações no arquivo .htaccess.

Ele recomenda as ações corretivas que você pode tomar e, portanto, você não precisa ser um especialista para fazer as alterações. Ele oculta a versão do WordPress, fornece segurança de banco de dados e proteção de administração do WordPress e medidas de segurança.

Além disso, você também pode instalar plugins de segurança populares como All In One WP Security & Firewall como Wordfence Security.

Como proteger sua pasta de administração no WordPress limitando o acesso em .htaccess (manualmente)

Com plug-ins, você tem configurações limitadas e, se um desses plug-ins for invadido, seu site também ficará vulnerável.

Portanto, é sempre recomendável tomar as coisas em suas próprias mãos e configurar o arquivo .htaccess você mesmo. Além disso, existem muitas medidas de segurança que você pode tomar inserindo trechos de código.

Acessando o arquivo .htaccess

Você precisaria de um software FTP para acessar seus arquivos e pastas do seu site. FileZilla é o melhor software de FTP. Instale e abra-o e, em seguida, faça login na sua conta cPanel. Observe que você pode ver um arquivo .htaccess diferente em pastas diferentes ou no diretório raiz. Não os edite de forma alguma.

Você tem que editar apenas o arquivo .htaccess que reside na pasta WP-Admin. Portanto, mova para dentro da pasta WP-Admin e localize o arquivo .htaccess. Caso você não tenha um, você deve criá-lo com o nome .htaccess. Certifique-se de fazer um backup do arquivo antes de editá-lo. É assim que o .htaccess se parece.

1. Restringindo o acesso de administrador

A primeira coisa que você precisa fazer é impedir que qualquer outro computador ou dispositivo acesse seu site como administrador que não seja seu dispositivo ou computador. Você pode conseguir isso permitindo apenas o seu endereço IP. Se você tiver vários dispositivos, poderá permitir o endereço IP de cada um deles.

Do ponto de vista da segurança, é o passo mais rigoroso que você pode dar, mas também o impede de acessar o painel de administração do computador de outra pessoa.

Adicione o seguinte código abaixo de #END WordPress, que é a última linha do arquivo .htaccess. Coloque seus endereços IP correspondentes à declaração de permissão e você pode ter quantas declarações de permissão quiser.

2. Proteja wp-config.php

Wp-config.php é o arquivo mais importante e contém informações vitais sobre o seu site. Você precisa garantir que o arquivo não chegue aos hackers de nenhuma outra forma, caso contrário, seu site certamente será invadido.

Você pode negar o acesso ao seu wp-config.php de qualquer pessoa que não seja você. Cole o seguinte trecho de código no .htaccess no final de todas as linhas.

3. Proibir usuários maliciosos por seu endereço IP

Existem alguns usuários que são hackers em potencial e tentam usar métodos de ataque de força bruta e outros meios de hacking. Você precisa banir esses usuários por seus endereços IP.

Basta instalar qualquer plug-in de segurança simples e leve e você receberá notificações com endereço IP quando alguém tentar fazer login no seu site com o sistema de ataque de força bruta. Use o snippet de código a seguir para concluir essa meta.

4. Desabilite a execução do PHP

Às vezes, alguns dos temas têm backdoors para hackers invadirem seu site se você usar esses temas. A maioria dos arquivos backdoor são armazenados em diretórios diferentes, como wp-includes e uploads.

Mesmo quando seu site é invadido e você se recupera dele, os hackers podem criar habilmente alguns backdoors, colocando códigos PHP em alguns arquivos ou salvando pastas indetectáveis. Você pode parar isso desabilitando a execução do PHP em certas pastas. Use o trecho de código a seguir para conseguir isso.

5. Desative a navegação no diretório

Algo hackers navegam em diferentes diretórios do seu site WordPress e fazem trabalhos maliciosos, como colocar trechos de código para criar backdoors, excluir arquivos importantes e da mesma forma. Você pode desabilitar o acesso a qualquer pasta com o seguinte trecho de código.

6. Restringindo o acesso ao conteúdo WP

A pasta mais importante para um site WordPress é o WP-Content, onde todas as imagens, arquivos de temas e arquivos de plugins são armazenados. Se alguém tiver acesso a essa pasta e excluir tudo e se você não tiver backup, seu site desaparecerá. Além disso, os hackers podem colocar malware e vírus nessa pasta e seu site pode desmoronar.

Coloque o seguinte trecho de código no arquivo .htaccess e você pode negar a todos o acesso à pasta wp-content.

Além disso, você pode desabilitar os hotlinks de imagem para evitar que outra pessoa se vincule às suas imagens e reduza a velocidade do seu site. Pode-se também configurar o redirecionamento geral e redirecionamentos 301 através do arquivo .htaccess para que os visitantes saibam que você moveu o conteúdo para um novo local.