1. Mudar o nome da pasta do seu WordPress.

Desde da versão 2.6 é possível mudar a pasta wp-content/ de WordPress a outra rota, fazendo mais dificil ao localização do mesmo, mas wp-admin/ (o lugar onde se encontra o painel administrador) não é possível.

Quando descomprimimos o WordPress, aparece uma pasta com o nome wordpress/, este diretório deveria ser renomeado sempre, o ideal seria algo mais oculto, e posteriormente podemos ajustar o novo nome no nosso arquivo wp-config.php.

2. Exporar o arquivo wp-config.php

Podemos adicionar mais uma camada de segurança com algumas chaves personalizadas.

define('AUTH_KEY',        'aO@`@V. F&392KTGHV9+yL%!-Zx-B|>ujz@.SX=^MGE7f98;$`R^M(p97u+bm7Rw');
define('SECURE_AUTH_KEY', '&%O(s14++I|v;P>,[${Rq]nuk!4-MR$kmuU`P+#o%8`2n}Uy]?HRVG2J:RUD5TRU');
define('LOGGED_IN_KEY',   'je!#rS1Ujn66YF*s+Xa#Z+#f|]P$qjJO|q|Zs^PV{+Y9Q< &GH 1W Y_B9%m<&j4{');
define('NONCE_KEY',       'kC)?(.oU9c7jWU#fi8m3#7lVd)?XnakWPi$l/CXU-},Rb0+TpT5>b:|,7:2]`X7{');

Para obter estes nossas chaves personalizadas o pessoal do WordPress oferece uma url que gere automaticamente e aleatoriamente fazendo deixando mais segura as claves. Estas serão usadas a modo de hash para encriptar os passwords que usemos em nosso WordPress.

Simplesmente teremos que os copiar dentro do ficheiro wp-config.php.

3. Mover o arquivo wp-config.php

É muito bom que nós podemos adicionar uma camada de segurança para o arquivo wp-config.php, mas se esse arquivo não está devidamente protegido estamos perdidos. Podemos optar por movê-lo e colocá-lo em uma rota diferente da rota padrão.

4. Proteja o arquivo wp-config.php

Usando o .htaccess do Apache podemos proteger o arquivo wp-config.php adicionando 4 linhas no arquivos .htaccess.

# protect wpconfig.php
<files wp-config.php>
Order deny,allow
deny from all
</files>

5. Apagar o usuários admin

Ao igual que em sistemas Unix, o usuário root(admin em nosso caso) não deveria usar-se para nada, exceto para configurações concretas. Mas para adicionar um graus mais de segurança apagá-lo poderia ajudar-nos a proteger nosso WordPress. Para isso previamente criaremos um usuário que assumirá os papéis do administrador, dessa forma poderemos seguir tendo um usuário administrador que gira as coisas que os usuários editores e/ou autores não podem.

6. Use senhas seguras

Há que pensar em senhas mais complicadas e que sejam dificiles de obter reunindo nossa informação. O usar carácteres especiais tais como acentos, %, $,?,… ajudará a complicar a possibilidade de obtê-la mediante força bruta.

Agora com as versões atuais de WordPress dispomos de uma funcionalidade que informa da complexidade da nossa senha, desta forma podemos assegurar-nos de que seja complicada e dificil de obter.

7. Protejer o diretório wp-admin/

À espera de que seja possível mover a pasta wp-admin/ fora do diretório público podemos proteger o acesso a dito diretório com um sistema baseado em .htaccess + .htpasswd. Trata-se de definir um usuário e um password para aceder a este diretório, podemos usar ferramentas que nos geram o conteúdo que deveria ir dentro do arquivo .htpasswd.

8. Elimina informação da tela de login

A tela de Login é a porta ao painel de administração e eliminando informação em caso de erro evitamos dar pistas sobre os dados que se introduziram.

Para isso podemos adicionar isto ao arquivo functions.php do nosso theme.

add_filter('login_errors',create_function('$a', "return null;"));

Isto esvaziará a saída de erros no processo de login.

9. Limitar o número de tentativas login

Para evitar que se possam provar muitas vezes e muitas combinações na nossa tela login WordPress nos oferece a possibilidade de definir o número de tentativas de login possíveis mediante o uso de um destes plugins:

1. Login LockDown
2. Limit Login Attempts

10. Fique atualizado

Importantísimo, sempre estar atualizado, não só à versão de WordPress sinó aos plugins. Sempre saem versões melhoradas e mais seguras, estar à última te pode ajudar a solver um pequeno bug que não sabias que um plugin estava provocando.

Há muitas coisas envolvidas num WordPress (apache, php, mysql,…) que podem estar comprometidas por um bug, e é muito dificil estar sempre ao dia para evitar possíveis problemas.

via anieto2k.com