Mudanças entre as edições de "Dicas de Segurança Wordpress"

Edição das 14h32min de 13 de março de 2012

Proteja o Diretório de ser navegado.

O problema:
Por padrão a maioria das hospedagem permite a listagem do diretório. Então se digitar algo do tipO: www.seublog.com.br/wp-includes no seu navegador, você vai ver todos os arquivos e diretórios. Isto é risco a segurança, pois ele pode ver qual foi ultima vezes que arquivo foi modificado e acessado.

Solução:
Acrescente a linha que é de configuração do Apache em seu .htaccess:

Options -Indexes

Por favor, note que não é suficiente atualizar o arquivo robots.txt do blog com:

Disallow: /wp*

Isso impediria o diretório wp-de ser indexado, mas não vai impedir os utilizadores de vê-lo.

wp-content
O diretório wp-content contém os arquivos de seu tema, as imagens e plugins. WordPress não acessar os arquivos PHP no diretório de plugins e temas via HTTP. Os pedidos somente a partir de navegadores da Web são arquivos de imagem, Javascript e CSS.

Por esse motivo, você poderá restringir wp-content para que ele só permite que as extensões de arquivo não, mas o PHP ou qualquer outras extensões de arquivo. Isso evita que outras pessoas acessem os arquivos diretamente.

Incluir as seguintes linhas no .htaccess dentro de wp-content.:

Order Allow,Deny
Deny from all
<FilesMatch  "\.(jpg|gif|png|js|css)$">
	Allow from all
</FilesMatch>

Fonte:
http://www.uolhost.com.br/blog/1827/10-dicas-de-seguranca-para-o-wordpress
http://gutocarvalho.net/wordpress/2011/08/09/aumentando-a-seguranca-do-seu-wordpress/