👋 Antes de começar: aproveite cada passo do processo. Aos poucos, você estará dominando de forma cada vez mais sólida os detalhes e especificidades do WordPress.
Se você administra um site WordPress, ou, assim como eu, lida diariamente com projetos de clientes e parceiros, e está em busca de maneiras eficazes para reforçar a segurança, este post é para você. Seja você um desenvolvedor experiente, um especialista em segurança digital ou alguém que está começando a entender as melhores práticas de segurança para WordPress, esses snippets simples, porém eficazes, irão proteger seu site contra ameaças comuns.
Para ajudá-lo, criei este mini pacote de códigos que, à exceção do último, você pode simplesmente copiá-los e colá-los no arquivo functions.php de seu tema filho ou via plugin Code Snippets.
Importante: Lembre-se de fazer um backup do seu projeto antes das implementações!
Segurança WordPress: Snippets Essenciais
1. Remova a versão do WordPress do cabeçalho
remove_action('wp_head', 'wp_generator');Importância: A remoção da versão do WordPress do cabeçalho impede que usuários mal-intencionados descubram a versão específica do WordPress que você está usando. Isso reduz o risco de ataques direcionados a vulnerabilidades conhecidas dessa versão.
2. Remova a versão do WordPress dos feeds RSS
add_filter('the_generator', '__return_empty_string');Importância: Assim como no cabeçalho, remover a versão do WordPress dos feeds RSS ajuda a ocultar informações que poderiam ser usadas para explorar vulnerabilidades específicas da versão que você está usando.
3. Desative o XML-RPC
add_filter('xmlrpc_enabled', '__return_false');Importância: O XML-RPC permite a comunicação remota com o WordPress, mas pode ser uma porta de entrada para ataques DDoS e tentativas de login por força bruta. Desativar o XML-RPC melhora a segurança do seu site ao bloquear essas possíveis ameaças. Depois de desativar o XML-RPC, verifique se todas as funcionalidade do seu projeto estão operando corretamente.
4. Bloqueie solicitações ao arquivo xmlrpc.php
add_action('init', function() {
if (defined('XMLRPC_REQUEST') && XMLRPC_REQUEST) {
die('Serviços XML-RPC estão desativados neste site.');
}
});Importância: Além de desativar o XML-RPC, este snippet bloqueia diretamente as solicitações ao arquivo xmlrpc.php, fornecendo uma camada adicional de segurança contra acessos indesejados.
5. Remova a versão do WordPress nos scripts e estilos
function remover_versao_wp_strings($src) {
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
if (!empty($query['ver']) && $query['ver'] === $wp_version) {
$src = remove_query_arg('ver', $src);
}
return $src;
}
add_filter('script_loader_src', 'remover_versao_wp_strings');
add_filter('style_loader_src', 'remover_versao_wp_strings');
Importância: Este snippet também remove a versão do WordPress das URLs de scripts e estilos.
6. Proteja contra hotlinking de imagens
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^https://(www\.)?seusite\.com/ [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ - [FImportância: Hotlinking é quando outros sites vinculam diretamente às suas imagens, usando sua largura de banda para exibir suas imagens. Este snippet impede isso, garantindo que seus recursos sejam utilizados apenas pelo seu domínio, economizando largura de banda e custos de hospedagem.
Conclusão
Implementar esses snippets ajudará a fortalecer a segurança do seu site, protegendo-o contra várias ameaças e ataques comuns. Lembre-se de sempre fazer backups regulares e manter seu WordPress, temas e plugins atualizados para garantir a máxima segurança.
Se quiser saber mais dicas de segurança para WordPress, acesse o post “Segurança WordPress: Estratégias Fundamentais e Avançadas para Proteger seu Site“.
