Proteger um site vai muito além de instalar plugins. O hardening Nginx/Apache para WordPress com regras prontas é uma das medidas mais eficazes para bloquear ataques diretamente no servidor, antes mesmo que cheguem ao seu CMS. Essa prática fortalece a camada de segurança, reduz a exposição a malwares e evita sobrecargas de recursos.
O que é hardening em servidores web?
Hardening é o processo de reforçar a segurança de servidores e aplicações. No contexto do WordPress, significa aplicar configurações adicionais ao Nginx ou Apache para bloquear acessos maliciosos, limitar permissões e reduzir pontos de ataque.
Benefícios diretos do hardening
- Bloqueio de execução de arquivos PHP maliciosos.
- Prevenção contra injeção de scripts.
- Redução de ataques de força bruta.
- Mais desempenho ao site, já que requisições perigosas são descartadas no servidor.
👉 Leia também: Guia prático de hardening WordPress: passo a passo para proteger seu site.
Hardening Apache: regras prontas no .htaccess
O Apache utiliza o arquivo .htaccess para definir regras específicas.
<FilesMatch "\.php$">
Order Deny,Allow
Deny from all
</FilesMatch>
Protegendo o wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
Desativando listagem de diretórios
Options -Indexes
Bloqueando acesso a arquivos sensíveis
<FilesMatch "(\.htaccess|\.htpasswd|readme\.html|license\.txt)">
Order Allow,Deny
Deny from all
</FilesMatch>
Essas regras simples já reduzem significativamente a superfície de ataque em servidores Apache.
Hardening Nginx: regras prontas no configuration file
No Nginx, a configuração é feita diretamente no arquivo do servidor virtual (/etc/nginx/sites-available/).
Bloqueando acesso ao wp-config.php
location ~* wp-config.php {
deny all;
}
Restringindo execução de PHP em uploads
location ~* /(?:uploads|files)/.*\.php$ {
deny all;
}
Desativando acesso a arquivos sensíveis
location ~* \.(htaccess|htpasswd|ini|log|conf)$ {
deny all;
}
Prevenindo ataques de XML-RPC
location = /xmlrpc.php {
deny all;
}
Essas diretivas bloqueiam pontos conhecidos de exploração, garantindo mais resiliência.
Hardening adicional para WordPress
Além das regras de Apache e Nginx, existem outras práticas que fortalecem a segurança:
1. Permissões corretas de arquivos
- Arquivos: 644
- Diretórios: 755
- wp-config.php: 600
2. Limitar tentativas de login
Implemente restrições via servidor ou plugin de segurança.
3. Bloquear acesso a /wp-admin por IP
<Directory /var/www/html/wp-admin>
Order Deny,Allow
Deny from all
Allow from 123.123.123.123
</Directory>
Ou no Nginx:
location /wp-admin {
allow 123.123.123.123;
deny all;
}
4. Cabeçalhos de segurança (Security Headers)
add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options "nosniff";
Esses headers protegem contra ataques de injeção e sequestro de sessões.
Monitoramento e manutenção contínua
Implementar hardening não é uma ação única, mas parte de uma rotina de segurança.
- Faça auditorias mensais.
- Atualize pacotes do servidor (Nginx/Apache/PHP).
- Combine com firewall de aplicação (WAF).
- Monitore logs em tempo real para identificar acessos suspeitos.
Conclusão
Aplicar hardening Nginx/Apache para WordPress com regras prontas é um passo essencial para qualquer dono de site, agência ou pequeno empresário que deseja proteger seu negócio digital. Essas medidas criam uma camada extra de defesa contra invasões e complementam o uso de plugins de segurança.
Não espere que ataques aconteçam para agir. Se você precisa de suporte especializado em configurações avançadas de segurança e remoção de malware no WordPress, entre em contato conosco e mantenha sua presença online segura.
