Como proteger seu site WordPress com Cloudflare e sem plugin

PUBLICADO POR AYLTON INACIO
Tutoriais e Artigos > Websites e SEO

Se você tem um site WordPress, deve saber que é uma plataforma muito visada por ataques na internet, então é necessário fazer uma blindagem.

Você pode fazer isso de várias formas, inclusive com plugins como Wordfence, entre outros, junto com as ações que vou mostrar aqui ou somente essas ações, sem plugin.

O objetivo é editar os arquivos wp-config e .htaccess do servidor e colocar algumas regras WAF na Cloudflare, que é uma CDN que funciona entre os usuários e o servidor de origem, melhorando desempenho e segurança. Veja como configurar a Cloudflare no seu site

▶ Se preferir, acesse "Como proteger site WordPress sem plugin" no YouTube.

Otimizando o WP-CONFIG

Você deve baixar o arquivo wp-config do seu servidor, colocar as linhas a seguir e depois subir novamente. Essa é uma alteração técnica.

Coloque as linhas depois de "/* Add any custom values between this line and the "stop editing" line. */"

// Bloqueia edição via painel
define('DISALLOW_FILE_EDIT', true);

// Evita atualizações automáticas perigosas (opcional)
define('AUTOMATIC_UPDATER_DISABLED', true);

// Limita revisões de posts (melhora desempenho)
define('WP_POST_REVISIONS', 5);

// Salva intervalo de auto-save (em segundos)
define('AUTOSAVE_INTERVAL', 300);

// Reduz exposição de erros PHP
@ini_set('display_errors', 0);
@ini_set('log_errors', 1);

// Força SSL no admin
define('FORCE_SSL_ADMIN', true);

// Protege a chave de autenticação do cookie
define('COOKIEHASH', md5('coloque_uma_sequencia_aleatoria_aqui'));

Otimizando o .htaccess

Coloque as linhas a seguir no seu .htaccess e suba novamente para o servidor. Essa é uma alteração técnica.

Coloque as linhas depois de "# END WordPress".

#SEGURANCA

# Proteção contra navegação de diretórios
Options -Indexes

<IfModule mod_headers.c>
Header unset ETag
Header append Vary Accept env=REDIRECT_accept
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS
</IfModule>

# Bloqueia acesso ao wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# Bloqueia XML-RPC (usado para ataques, (Essa regra se você não usa esse recurso))
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

# Protege .htaccess
<files .htaccess>
order allow,deny
deny from all
</files>

# Bloqueia acesso ao arquivo de instalação
<Files install.php>
order allow,deny
deny from all
</Files>

# BLOQUEIA INJEÇÕES COMUNS
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{QUERY_STRING} (\.\.\/) [OR]
RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|\%[0-9A-Z]{2}) [OR]
RewriteCond %{QUERY_STRING} (base64_encode|eval\(|system\() [NC]
RewriteRule .* - [F]
</IfModule>

Regras WAF na Cloudflare

Com a Cloudflare corretamente configurada no seu site, entre em Segurança, WAF e crie as regras personalizadas:

Nome: Bloquear wp-admin global
Campo Caminho do URI contém /wp-admin e Campo País não é igual a Brazil
Ação: Bloquear

Nome: Proteção Login
Campo Caminho do URI contém /wp-login.php e Campo País não é igual a Brazil
Ação: Bloquear

Nome: Bloquear XML-RPC (Essa regra se você não usa esse recurso)
Campo Caminho do URI contém /xmlrpc.php
Ação: Bloquear

Se usa esse recurso, crie regra de Rate Limiting

Nome: Bloquear XML-RPC Limite Requisições
Campo Caminho do URI contém /xmlrpc.php
Taxa: 10 para 10s
Ação: Bloquear

Faça outra regra igual para wp-login.php