Abaixo eu irei deixar algumas recomendações para lidar com os diversos tipos de ataque que tem acontecido a diversos websites especialmente se tratando de WordPress, que tem sido alvo ativo de ataques.
- Tenha uma hospedagem com Cloudflare e contrate um desenvolvedor para configurar todos os padrões corretos pra seu site fazer o máximo de uso dos recursos do Cloudflare. Cloudflare é uma ferramenta que permite que maior parte do tráfego em seu website aconteça nos servidores da Cloudflare e não na sua hospedagem, contando com vários outros benefícios em performance e segurança, sendo assim muitos dos ataques tem sido barrados no cloudflare antes mesmo de chegar no seu servidor.
- Instale um plugin de força bruta para barrar os ataques de DDoS que geralmente são tentativas de login por força bruta.
- Opcionalmente, você pode fazer uso do “All in one WP Security & Firewall” que tem se mostrado mais que suficiente para parar praticamente todos os tipos populares de ataque. Requer um conhecimento mais elevado para configuração.
- Use senhas geradas e salve-as num programa como o KeePassX, você não precisa se lembrar de todas as senhas, apenas uma senha mestre bem difícil para seu banco de senhas do KeePassX, nunca é demais repetir, NUNCA use senhas óbvias como ‘joao12345′ ou data de nascimento, ou contendo nome do site no meio, senhas devem ser assim: ‘fyT6gS1ErU0fGPq’
- Mude o nome de login de sua conta de admin do WordPress. Use algo como ‘JoaoAdmin’ ou ‘meuadmin’ ou seu nome e sobrenome junto mesmo, qualquer coisa menos ‘admin’ ou ‘administrador’.
- Verifique se você tem o arquivo ‘.htaccess’ na raiz do seu site WordPress e que este arquivo seja igual ao original. Certifique também que a permissão do seu htaccess seja ‘644’.
- Se quiser verificar as permissões em geral do seu WordPress, verifique se todas as pastas tenham permissão ‘755’ e todos os arquivos ‘644’
- Quando for fazer uma instalação de WordPress, durante instalação no banco de dados, altere sempre o prefixo padrão que é ‘wp_’, se você já tem instalado, o plugin All in One WP Security citado acima tem uma ferramenta pra alterar seu prefixo das tabelas do banco de dados atual. Este recurso deve ser usado com cautela, um backup de segurança DEVE ser feito antes disso.
- Use o All in One para alterar seu link de login de administrador. Outros plugins também podem desempenhar esta função, ao invés de você usar o tradicional ‘/wp-login.php’ ou ‘/wp-admin’ customize seu caminho com outro nome específico pra que você e seus editores possam fazer o login.
Fonte: http://blog.webizz.biz/2015/02/21/seu-wordpress-esta-sob-ataque-saiba-o-que-fazer/