Protegendo o Arquivo wp-config.php: Segurança Avançada para WordPress

O arquivo wp-config.php é um dos componentes mais críticos de um site WordPress e que contém informações sensíveis, como as credenciais do banco de dados, chaves de autenticação e outras configurações importantes.

Proteger esse arquivo é essencial para garantir que essas informações não sejam acessadas por invasores.

Neste guia, exploraremos duas estratégias eficazes para proteger o arquivo wp-config.php: movê-lo para fora do diretório público e configurar permissões restritivas.

Por que proteger o arquivo wp-config.php?

1. Informações Sensíveis: O arquivo contém:
   • Nome do banco de dados.
   • Usuário e senha do banco de dados.
   • Chaves de autenticação e salt.
   • Configurações avançadas, como depuração e segurança.
     
2. Alvo de Hackers: Se exposto, um atacante pode usar essas informações para obter acesso total ao site.
   
3. Melhorar a Segurança Geral: Proteger o wp-config.php reduz o risco de invasões e mantém os dados confidenciais seguros.

Como Proteger o wp-config.php

1. Mover o Arquivo wp-config.php para Fora do Diretório Público

Por padrão, o wp-config.php está localizado na raiz pública do site WordPress (por exemplo, public_html).

Isso o torna mais suscetível a ataques.

A melhor prática é movê-lo para um diretório fora da raiz pública.

Passo a Passo para Mover o wp-config.php

Identifique o Caminho do Servidor
Localize um diretório fora do público (fora de public_html ou www). Exemplo:

/home/usuario/wp-config.php

Mova o Arquivo
Usando FTP, SSH ou o gerenciador de arquivos do servidor, mova o wp-config.php para o novo local:

mv /caminho/para/public_html/wp-config.php /home/usuario/wp-config.php

Atualize o WordPress
Informe ao WordPress o novo local do wp-config.php. Crie um arquivo wp-config.php vazio na raiz pública e adicione o seguinte código:

<?php
require_once('/home/usuario/wp-config.php'); 

Isso redirecionará o WordPress para usar o arquivo movido.

Teste o Site
Acesse o site e o painel administrativo para garantir que o WordPress está funcionando corretamente.

Benefício

Mesmo que um invasor obtenha acesso ao diretório público, ele não encontrará o wp-config.php, dificultando ataques.

2. Configurar Permissões de Arquivo

Apenas mover o arquivo não é suficiente. Você também deve configurar as permissões para restringir quem pode acessá-lo.

Definindo Permissões Seguras

Entendendo Permissões No Linux, as permissões de arquivo são definidas por três números (ex.: 644), representando:

• Usuário (owner).
• Grupo.
• Outros (everyone else).

Permissões Recomendadas Configure o arquivo wp-config.php para que apenas o proprietário possa lê-lo. Use um dos seguintes comandos no terminal:

Permissão 440: Apenas leitura para o proprietário e o grupo.

chmod 440 /home/usuario/wp-config.php

Permissão 400: Apenas leitura para o proprietário.

chmod 400 /home/usuario/wp-config.php

Teste as Permissões Certifique-se de que o site continua funcionando normalmente após aplicar as permissões.

Se necessário, ajuste as permissões para atender às exigências do servidor.

Por que usar permissões restritivas?

• Impede que outros usuários ou processos no servidor leiam ou modifiquem o arquivo.
• Minimiza o risco de exploração em servidores compartilhados.

Dica Extra: Proteção Adicional com .htaccess

Se o wp-config.php ainda estiver na raiz pública por alguma razão, você pode adicionar regras ao arquivo .htaccess para proteger o acesso:

<Files wp-config.php>
Order Allow,Deny
Deny from all
</Files>

Normalmente a configuração padrão não permite acesso, mas essa configuração certifica-se de impedir que visitantes acessem diretamente o wp-config.php pelo navegador.

Automatizando a Segurança

Para sites com maior complexidade ou gerenciados por equipes, automatize a proteção do wp-config.php com ferramentas de segurança e scripts:

1. Usando Scripts Shell

Crie um script para mover o arquivo e ajustar permissões automaticamente:

#!/bin/bash

# Caminhos
PUBLIC_HTML="/caminho/para/public_html"
PRIVATE_DIR="/home/usuario"

# Mover o arquivo wp-config.php
mv $PUBLIC_HTML/wp-config.php $PRIVATE_DIR/wp-config.php

# Atualizar permissões
chmod 440 $PRIVATE_DIR/wp-config.php

echo "O arquivo wp-config.php foi protegido com sucesso!"

2. Plugins de Segurança

Use plugins como Wordfence ou Sucuri Security para monitorar e proteger automaticamente arquivos críticos do WordPress.

Conclusão

Proteger o arquivo wp-config.php é um passo crucial para garantir a segurança do WordPress.

Movê-lo para fora da raiz pública e aplicar permissões restritivas reduz significativamente os riscos de invasões e acesso não autorizado.

Quer aprender mais sobre práticas avançadas de segurança no WordPress? Inscreva-se no Curso Avançado de WordPress e leve seus conhecimentos para o próximo nível!