{"id":11372,"date":"2020-06-25T20:39:30","date_gmt":"2020-06-25T23:39:30","guid":{"rendered":"https:\/\/todayhost.com.br\/site\/?p=11372"},"modified":"2022-03-25T17:27:40","modified_gmt":"2022-03-25T20:27:40","slug":"htaccess-personalizado-para-aumentar-a-seguranca-do-wordpress","status":"publish","type":"post","link":"https:\/\/todayhost.com.br\/site\/htaccess-personalizado-para-aumentar-a-seguranca-do-wordpress\/","title":{"rendered":".htaccess Personalizado para aumentar a Seguran\u00e7a do WordPress"},"content":{"rendered":"\nO .htaccess<\/strong> \u00e9 o arquivo de configura\u00e7\u00e3o de servidores web Apache. Os c\u00f3digos aqui descritos para aumentar a seguran\u00e7a do seu WordPress se aplicam apenas a hospedagens Linux<\/em> que aceitam esse tipo de instru\u00e7\u00e3o. Acompanhe como voc\u00ea poder\u00e1 blindar o seu projeto do acesso direto a arquivos, Script Injection, prote\u00e7\u00e3o do wp-config.php e uma s\u00e9rie de outras otimiza\u00e7\u00f5es atrav\u00e9s do uso do .htaccess<\/strong>.\n

Vale lembrar que as t\u00e9cnicas utilizadas para aumentar a seguran\u00e7a no WordPress com .htaccess <\/strong>possuem muito efic\u00e1cia, pois inserindo as instru\u00e7\u00f5es na pasta raiz do servidor, as medidas passam a servir para todos os arquivos ali inseridos; incluindo suas subpastas.<\/p>\n
\n

Corrigindo Problemas no .htaccess (Remover index.php dos Links Permanentes)<\/h2>\n

Antes de realizar grandes mudan\u00e7as em seu arquivo .htaccess<\/strong>, esteja ciente que ap\u00f3s edi\u00e7\u00f5es equivocadas eventualmente o site pode retornar erro HTTP 500<\/strong> e deixar de funcionar. Em outros casos \u00e9 poss\u00edvel acontecer de sua URL conter o endere\u00e7o intercalado a \/index.php\/<\/strong> mesmo ap\u00f3s ter sido atualizadas as op\u00e7\u00f5es de reescrita.<\/p>\n

Em ambos os casos, tenha sempre a m\u00e3o uma c\u00f3pia das instru\u00e7\u00f5es originais do .htaccess, apenas com os c\u00f3digos do WordPress; como segue abaixo:<\/p>\n

\n
<<\/span>IfModule mod_rewrite.<\/span>c><\/span>\n RewriteEngine On\n RewriteBase \/<\/span>meu-<\/span>site\/<\/span>\n RewriteRule ^<\/span>index\\.<\/span>php$ -<\/span> [<\/span>L]<\/span>\n RewriteCond %<\/span>{<\/span>REQUEST_FILENAME<\/span>}<\/span> !<\/span>-<\/span>f\n RewriteCond %<\/span>{<\/span>REQUEST_FILENAME<\/span>}<\/span> !<\/span>-<\/span>d\n RewriteRule .<\/span> \/<\/span>meu-<\/span>site\/<\/span>index.<\/span>php [<\/span>L]<\/span>\n <<\/span>\/<\/span>IfModule><\/span><\/code><\/pre>\n\n
A instru\u00e7\u00e3o \/meu-site\/<\/strong> diz respeito ao diret\u00f3rio onde o WordPress encontra-se instalado. Em grande parte dos casos a instala\u00e7\u00e3o \u00e9 feita na raiz do servidor; nessa situa\u00e7\u00e3o o c\u00f3digo .htaccess correto ser\u00e1:<\/p>\n
\n
<<\/span>IfModule mod_rewrite.<\/span>c><\/span>\n RewriteEngine On\n RewriteBase \/<\/span>\n RewriteRule ^<\/span>index\\.<\/span>php$ -<\/span> [<\/span>L]<\/span>\n RewriteCond %<\/span>{<\/span>REQUEST_FILENAME<\/span>}<\/span> !<\/span>-<\/span>f\n RewriteCond %<\/span>{<\/span>REQUEST_FILENAME<\/span>}<\/span> !<\/span>-<\/span>d\n RewriteRule .<\/span> \/<\/span>index.<\/span>php [<\/span>L]<\/span>\n <<\/span>\/<\/span>IfModule><\/span><\/code><\/pre>\n\n
Sobre o problema com o arquivo index.php, saiba que esse arquivo fica na pasta raiz da instala\u00e7\u00e3o do WordPress e \u00e9 chamado toda vez que o site \u00e9 requisitado. A incorpora\u00e7\u00e3o dele no endere\u00e7o das p\u00e1ginas, posts e demais conte\u00fados se d\u00e1 em raz\u00e3o de configura\u00e7\u00f5es do servidor de hospedagem (caso o problema persista, mesmo ap\u00f3s resetar os c\u00f3digos, entre em contato com o servi\u00e7o que voc\u00ea contratou).<\/p>
\n
Bloquear Acesso Direto aos arquivos PHP do WordPress<\/h2>\n
Um modo muito eficaz para aprimorar a seguran\u00e7a no WordPress<\/strong> \u00e9 impedir que os arquivos do sistema, em especial os c\u00f3digos PHP, sejam acessados e possam ser executados fora do escopo do WordPress<\/strong>.<\/p>\n
Impedir o acesso direto a arquivos do tipo PHP contribui para preven\u00e7\u00e3o de ataques poss\u00edveis de serem realizados mediante brechas nas permiss\u00f5es do servidor.<\/p>
\n
Impedir a listagem de diret\u00f3rios<\/h3>\n
O WordPress possui como boa pr\u00e1tica inserir em todos os diret\u00f3rios de sua estrutura de pastas um arquivo index.php<\/strong> vazio. Isso impede que o servidor fa\u00e7a a listagem dos arquivos do diret\u00f3rio em quest\u00e3o.<\/p>\n
Fa\u00e7a um teste em seu WordPress, acesse http:\/\/seuwordpress.com.br\/wp-content\/. Voc\u00ea ver\u00e1 provavelmente uma tela em branco (resultado do arquivo index.php do WordPress inserido nessa pasta).<\/p>\n
Agora tente acessar http:\/\/seuwordpress.com.br\/wp-content\/uploads\/. O qu\u00ea aconteceu?<\/p>\n\n
Caso voc\u00ea tenha visto uma tela parecida com essa acima, voc\u00ea tem um grande problema a resolver. Isso porqu\u00ea al\u00e9m de mostrar o seu conte\u00fado para as pessoas, isso pode representar que o servidor n\u00e3o possui tanto cuidado com a seguran\u00e7a.<\/p>\n
Resolva esse problema inserindo, dentro do arquivo .htaccess (pode ser antes da instru\u00e7\u00e3o #BEGIN WordPress<\/strong>), a seguinte linha:<\/p>\n
\n
Options All -<\/span>Indexes<\/code><\/pre>\n
\n
Bloquear acesso a pasta wp-includes do WordPress<\/h3>\n
Feito o bloqueio da listagem de diret\u00f3rios, agora voc\u00ea precisa bloquear o uso indevido dos arquivos do WordPress. A estrutura de pastas do WordPress cont\u00e9m as pastas:<\/p>\n