Ultimamente muito se tem falado sobre segurança em WordPress e uma pergunta que sempre faço em nossas apresentações é quem teve o seu site invadido?! Começando por mim, outras pessoas se pronunciam no final, em torno de 60% levanta a mão. Uma pesquisa rápida e simples mas que mostra o quanto estamos com problemas, e muita das vezes procuramos soluções mirabolantes, de outro mundo, com plugin’s fantásticos, com hosts voltado para segurança ou com outros serviços voltado para segurança, mas esquecemos de elementos simples.
Básico do básico é ter seu usuário e senha exposto para o meliante, não é porque que o login não é com ***(asteriscos) que você precisa sair gritando ele aos quatro ventos, são duas chaves, em uma matemática simples e rápida, se guarda as duas chaves, login e senha, o intruso terá 100% de complicação, mas se ele tiver a certeza de qual é seu usuário ele terá 50%, isso para um hacker já é uma vitória.
No caso do WordPress as pessoas geralmente passam a primeira chave sem saber, no caso o login, dando 50% de informação de mão beijada par o meliante. Existem algumas formas de se verificar isso, vamos aos exemplos.
Observamos que quando há um tema que segue os padrões do WordPress algumas informações são mostradas. Na página de um post é o exemplo mais claro de como o sistema disponibiliza o nome do usuário que acessa o sistema.
Problema este, bem fácil de ser resolvido. Na área administrativa indo no item de menu “Usuários” / “Seu perfil” encontramos o campo “exibir campo publicamente como” , que disponibiliza as opções de exibição do nome do usuário. A imagem a seguir exemplifica as possibilidades de troca, o que muito a pena vale fazer esse tipo de modificação.
Depois da mudança o autor ficará assim: