Mudanças entre as edições de "Dicas de Segurança Wordpress"
| Linha 11: | Linha 11: | ||
Disallow: /wp* | Disallow: /wp* | ||
Isso impediria o diretório wp-de ser indexado, mas não vai impedir os utilizadores de vê-lo. | Isso impediria o diretório wp-de ser indexado, mas não vai impedir os utilizadores de vê-lo. | ||
| + | |||
| + | '''wp-content'''<br> | ||
| + | O diretório wp-content contém os arquivos de seu tema, as imagens e plugins. WordPress não acessar os arquivos PHP no diretório de plugins e temas via HTTP. Os pedidos somente a partir de navegadores da Web são arquivos de imagem, Javascript e CSS. | ||
| + | |||
| + | Por esse motivo, você poderá restringir wp-content para que ele só permite que as extensões de arquivo não, mas o PHP ou qualquer outras extensões de arquivo. Isso evita que outras pessoas acessem os arquivos diretamente. | ||
| + | |||
| + | Incluir as seguintes linhas no htaccess dentro de wp-content.: | ||
| + | Order Allow,Deny | ||
| + | Deny from all | ||
| + | <files ?\.(jpg|gif|png|js|css)$? ~> | ||
| + | Allow from all | ||
| + | </files> | ||
Edição das 21h14min de 9 de novembro de 2010
Proteja o Diretório de ser navegado.
O problema:
Por padrão a maioria das hospedagem permite a listagem do diretório. Então se digitar algo do tipO: www.seublog.com.br/wp-includes no seu navegador, você vai ver todos os arquivos e diretórios. Isto é risco a segurança, pois ele pode ver qual foi ultima vezes que arquivo foi modificado e acessado.
Solução:
Acrescente a linha que é de configuração do Apache em seu .htaccess:
Options -Indexes
Por favor, note que não é suficiente atualizar o arquivo robots.txt do blog com:
Disallow: /wp*
Isso impediria o diretório wp-de ser indexado, mas não vai impedir os utilizadores de vê-lo.
wp-content
O diretório wp-content contém os arquivos de seu tema, as imagens e plugins. WordPress não acessar os arquivos PHP no diretório de plugins e temas via HTTP. Os pedidos somente a partir de navegadores da Web são arquivos de imagem, Javascript e CSS.
Por esse motivo, você poderá restringir wp-content para que ele só permite que as extensões de arquivo não, mas o PHP ou qualquer outras extensões de arquivo. Isso evita que outras pessoas acessem os arquivos diretamente.
Incluir as seguintes linhas no htaccess dentro de wp-content.:
Order Allow,Deny Deny from all <files ?\.(jpg|gif|png|js|css)$? ~> Allow from all </files>
