Este documento fornece dicas sobre como preparar um site WordPress para segurança e desempenho, incluindo utilizar um fornecedor de hospedagem seguro, manter WordPress e plugins atualizados, instalar plugins de segurança, otimizar imagens e desempenho, e utilizar CDNs.

1. Bem-vindos!

2. Teotónio Ricardo
Twitter: @cenourinha
 Blog pessoal: teotonio.pt
 E-mail: eu@teotonio.pt


3. WebTuga Hosting

Fornecedor de Alojamento Web
Nacional

http://www.webtuga.pt
Suporte Técnico @ WebTuga
(centenas ou mesmo milhares de sites em
WordPress)


4. Segurança, Performan
ce e Optimização

Saiba como preparar o seu WordPress
para a Internet

5. Segurança em WordPress

6. Proteja o seu site WordPress
1) Utilize um fornecedor de alojamento Web
seguro.
2) Proteja os seus dados de acesso FTP (e
cPanel, Plesk, etc)
3) Instalação e Configuração Segura do
WordPress
4) Gestão de Plugins e Themes
5) Mantenha a plataforma actualizada
6) Faça os seus próprios Backups
7) Instale Plug-ins de Segurança
8) Utilize serviços de CDN

7. 1) Utilize um fornecedor de
alojamento Web seguro

Certifique-se que o seu fornecedor de serviço
de alojamento web protege minimamente os
seus servidores.

Existem várias camadas de segurança que
necessitam de estar minimamente protegidas
para além da sua plataforma WordPress.

8. 
O fornecedor de alojamento web deve
fornecer algumas camadas de segurança
que
previnam
os
ataques
mais
populares, protegendo a…
Rede:
- Redundância
- Firewalls
- Sistemas Anti-DDoS
- CDN
Sistema Operativo:
- Kernel recente;
- CloudLinux (cageFS)
Serviços de Gestão Remota:
- (Acessos Restritos - Apenas VPN)
- SSH
- RDP

9. Software de Servidor
- Apache, nginx, lighttpd, Litespeed, IIS - Manter um
filtro web a nível de software - Exemplo: mod_security
- MySQL / MSSQL / postgresql - Limitar o acesso
remoto
- IMAP/POP3/Webmail - Bloquear acesso após x
tentativas de autenticação falhadas
Painel de Controlo WebHosting
- (manter actualizados e bloquear acesso após x
tentativas de autenticação falhadas)
- cPanel
- Plesk
- Webmin
- Atomia

10. 
Coloque algumas questões relativamente à
segurança dos servidores ao seu fornecedor
de alojamento web. Certifique-se que este
mantém um filtro que protege os seus sites
contra os ataques mais conhecidos:
 SQL Injection;
 Malware Injection;
 Spam-bots;
 Ataques Bruteforce;
 Simulações de pedidos HTTP;
 Ataques Cross-Site Scripting (XSS)
 Ataques de Negação (DoS/DDoS)

11. 
Se o seu fornecedor de alojamento web não
proteger minimamente os serviços, estará a
colocar em risco os seus sites e dados, podendo
todos os sites alojados num determinado
servidor serem totalmente comprometidos
(massive attack).

A segurança não é algo linear, existem várias
camadas de segurança e vários tipos de ataque.
Cabe a todos promover e adoptar medidas de
seguranças, seja o fornecedor de alojamento
web, seja o webmaster/blogger ou o
visitante/utilizador do site.

12. 2) Proteja os seus dados de
acesso FTP (e cPanel, Plesk, etc)

Não defina passwords simples para o seu
acesso FTP;

Não guarde a sua password em plain-text
(FileZilla).

13. 3) Instalação e Configuração
Segura do WordPress
Quando fizer a primeira instalação da sua
plataforma WordPress:
Não utilize o username default “admin”;
 Defina uma password composta por caracteres
alfanuméricos;
 Certifique-se que a bases de dados e o
username MySQL têm nomes aleatórios e
seguros;
 Certifique-se que a password do utilizador
MySQL é complexa e segura;


14. 
Não utilize o prefixo default das tabelas do
WordPress (wp_);
 Altere a pasta/url default da administração do
WordPress ( Plugin: Better WP Security);
 Proteja o acesso ao ficheiro wp-login.php por
dupla autenticação (.htpasswd);
 Proteja o acesso ao ficheiro wp-config.php via
.htaccess;
 Não publique a versão do seu WordPress;
 Desactive a edição dos themes pelo painel de
administração:
No ficheiro wp-config.php, adicione a seguinte
linha:
define(„DISALLOW_FILE_EDIT‟, true )

15. 4) Gestão de Plugins e Themes

Apenas plug-ins e themes de fontes seguras;

Utilize apenas Themes e Plugins de fontes
seguras. Muitas das vezes quando não
descarregados da fonte original, os plugins e
themes têm código malicioso injectado de
forma encriptada que poderá ser utilizado para
comprometer o seu site ou distribuir malware
pelas visitas do seu site.

16. 5) Mantenha a plataforma
actualizada

Para garantir que o seu site não é atacado
através de um ataque 0-day, deverá actualizar
regularmente a sua plataforma WordPress.
Neste momento as actualizações do core do
WordPress são automáticas, pelo que deverá
manter esta opção activa.

Se tem uma plataforma WordPress com uma
versão antiga, deverá efectuar o upgrade o
mais rapidamente possível.

17. 
Para além da plataforma, deverá também
manter sempre os seus plugins actualizados
na ultima versão disponibilizada. Certifiquese também que apenas utiliza Plugins de
fontes seguras e que os mesmos ainda são
suportados.

Existem bastantes plugins que já não são
actualizados/mantidos pelos seus
desenvolvedores, pelo que deverá fazer uma
pesquisa na Internet sempre que activar um
plugin de forma a saber se não existem
falhas de segurança conhecidas para a
versão que vai utilizar.

18. 6) Faça os seus próprios
Backups

Existem várias formas de fazer backups do
WordPress (Plug-ins, Serviços Online, etc).
Mantenha sempre uma cópia recente dos
ficheiros e base de dados do WordPress.

19. 7) Instale Plug-ins de Segurança

Better WP Security

Limit Login Attemps

Wordfence

Login Lockdown

WordPress Firewall

All in one WordPress Firewall

20. 8) Utilize serviços de CDN

CloudFlare
 Incapsula
 CloudProxy

21. Optimização de Performance
do WordPress

22. Optimize o seu site WordPress para levar
com carga
1) Aloje o seu site num serviço de Alojamento
estável;
2) Limitar número de Posts por página;
3) Manter o WordPress e Plug-ins (válido para
a Segurança e Optimização);
4) Não utilize demasiados plug-ins;

23. 5) Evite ter demasiados Widgets JavaScript
externos
 Widgets de Tempo;
 Widgets de Contagem de Visitas;
 Animações JavaScript;
 Facebook Share;
 Botões Twitter;
 etc...
6) Optmize as imagens do seu blog/site;
7) Carregar scripts javascript apenas no
fundo do site;
8) Reduzir pedidos HTTP;

24. 9) Optimizar e juntar ficheiros
CSS, JavaScript e output HTML;
Pode ser feito recorrendo a estes plugins:
 WP Minify;
 W3 Total Cache;
10) Desactivar Post Revisions:
Colocar as seguintes linhas no código do wpconfig.php:
define(„AUTOSAVE_INTERVAL', 300);
define('WP_POST_REVISIONS', false );

25. 11) Optimize frequentemente a base de dados
pelo phpMyAdmin:
 Pode ser feito utilizando o plug-in Optimize
DB;
12) Reduzir queries MySQL;
13) Fazer Debug ao WordPress:
 Poderá fazer debug colocando a seguinte
linha no ficheiro wp-config.php:
define('WP_DEBUG', true);

26. 14) Gzip e mod_deflate:
 Comprimir ficheiros ao nível do servidor;
15) Activar Plug-ins de Cache:
 WP Super Cache;
 W3 Total Cache;
 Hyper Cache;
 WP Cache;
16) Utilizar rede CDN:
 CloudFlare
 Incapsula
 CloudProxy

27. Como verificar performance do seu site?

Google Page Speed
(http://developers.google.com/speed/pagespe
ed/insights/)

Pingdom Tools (http://tools.pingdom.com/fpt/)

GTmetrix (http://www.gtmetrix.com)

28. Obrigado pela
atenção!
Encontramo-nos no próximo
WordPress Braga Meetup
