Um “plus” que vale a pena destacar para este plugin é que ele certamente irá substituir vários plugins que você já utiliza no seu site e, de quebra, ainda irá aumentar bastante a segurança do seu WordPress de forma bem simples.

Eu não vou listar aqui todas as funcionalidades do ASE, porém, vou listar aqui as que considero mais importantes:

Duplicação de Conteúdo

Duplique facilmente qualquer post, página ou conteúdo personalizado facilmente. Os termos e postmeta também serão duplicados.

Substituição de mídia

Sabe quando você utiliza uma imagem em um post ou página e depois resolve que quer substituir essa imagem? Pois é, com o ASE é bastante simples fazer isso de forma bem fácil. Basta você ir até a galeria de mídia, selecionar a imagem a ser substituída e enviar a nova imagem. Você poderá ali alterar a imagem e demais informações e, automaticamente, será substituída em todos os posts e páginas que você utilizou aquela imagem.

Envio de Arquivos SVG

Essa função é auto explicativa, certo? Apenas adiciona ao seu WordPress a função para o envio de arquivos SVG. De quebra, você poderá decidir quem poderá enviar arquivos SVG para o seu site. Lembrando que é bom deixar limitado somente para quem produz conteúdo para o seu site, visto que um arquivo SVG pode também conter algum código malicioso e, sendo assim, não é recomendado deixar que qualquer um suba arquivos SVG para o seu site.

Abrir links externos em uma nova aba

Outra função auto explicativa e que faz com que todos os links externos ao seu site sejam abertos por padrão em uma nova aba. Muito útil para que, caso você coloque algum link de referência externa, o seu visitante não abra o link e depois fique meio que “perdido” sem saber de onde veio. (nem todos sabem utilizar o Ctrl+Shift+T)

Publicar automaticamente postagens com agendamento perdido

Já notou que, por alguns motivos, o WordPress se atrapalha com o cron e deixa de publicar uma postagem agendada do seu site? Pois é, com essa função ativada, o WordPress irá publicar automaticamente esses posts na primeira oportunidade, eliminando aquela mensagem de “agendamento perdido” que, ao meu ver, nunca fez qualquer sentido.

Coluna de Último Login

Essa é outra funcionalidade que deveria vir por padrão no WordPress e que não vem. Adiciona na listagem de usuários uma simples coluna com a data e hora do último login do usuário no site. Assim você poderá saber quais foram as últimas pessoas que fizeram login no seu site (se isso fizer sentido pra você).

Inserir códigos no head, body e footer

Mais uma opção auto explicativa e que, geralmente, o pessoal acaba utilizando algum plugin para este fim.

Gerenciar ads.txt e app-ads.txt diretamente pelo wp-admin

Essa é outra função bastante útil e que, geralmente, usa-se mais um plugin somente para esta função ou te obriga a ficar entrando no painel de controle do host ou FTP para atualizar esses arquivos.

Desabilitar API REST para usuários não autenticados

Talvez essa seja uma funcionalidade do WordPress que você nem utilize, mas, querendo ou não, ela está ali e que, de algum forma, pode estar gerando acessos indesejados ao seu conteúdo. A API REST funciona para que você utilize os dados do seu WordPress como posts ou páginas sem a necessidade de carregar todo o seu WordPress junto, puxando somente os dados. A maioria dos usuários de WordPress sequer utiliza essa função e, já que não utiliza, melhor desabilitar, certo?

Limitar tentativas de login

Essa é outra função bastante útil e que, certamente, você utiliza um plugin somente para este fim (e aqui vamos eliminar mais um plugin). Com essa opção habilitada você irá limitar as tentativas de login fracassadas e, dessa forma, poderá evitar um ataque do tipo brute-force ao seu WordPress.

Desabilitar XML-RPC

Além da API REST, citada acima, há também a opção de se desabilitar o XML-RPC, que é outro protocolo de comunicação do WordPress, porém, eu já considero esse mais um risco do que um benefício. Através deste protocolo é possível também fazer um ataque do tipo brute force e prejudicar o seu site de várias maneiras. Hoje praticamente não existe mais meios de integração que funcionem através de XML-RPC então recomendo fortemente que você desabilite este protocolo no seu WordPress o mais rápido possível.

Controle de Revisões

Uma das funções bastante úteis do WordPress é o fato de ele ter versionamento de conteúdo, ou seja, à medida que você vai escrevendo um post ou editando uma página, o WordPress via mantendo ali um controle de versão do seu conteúdo que você pode utilizar facilmente para voltar a uma versão anterior do seu post ou página caso tenha apagado algo sem querer. O problema é que essas revisões ficam salvas no banco de dados e, dependendo da quantidade de posts e/ou páginas existentes no seu site e o quanto esses posts ou páginas já foram alterados, isso acaba se tornando um lixo que pode deixar o seu site mais lento com o passar dos anos. Com essa opção de controle de revisões, você pode definir quantas revisões serão salvas de cada tipo de conteúdo do seu site, evitando o acúmulo de conteúdo inútil no seu banco de dados.

Entrega de e-mails

Com certeza você utiliza algum plugin para configurar a entrega de e-mails do seu WordPress e aqui existe mais uma opção para substituir um plugin pesadíssimo e substituí-lo por um mais leve (e com mais funções). (O plugin mais famoso e utilizado para este fim é o WP Mail SMTP, que ficou horrível com o passar dos anos e que hoje é um bloatware e ainda te envia propagandas exaustivamente)

Essa parte do plugin simplesmente define o envio de e-mails do seu WordPress através de um servidor SMTP específico, fazendo com que o envio de e-mails através do seu WordPress seja mais seguro e confiável.

Bom… este post acabou ficando maior do que eu esperava. Se você leu até aqui, pode utilizar os links abaixo para fazer o download do plugin ou simplesmente busque por ASE dentro da busca de plugins do seu WordPress.

Admin and Site Enhancements (ASE) (Free, WordPress) →

O post ASE – O verdadeiro canivete suíço para WordPress apareceu primeiro em InfoDicas.

Explicando um pouco, a maioria dos sites WordPress funcionam completamente à base de redirecionamentos e isso é uma maravilha no que diz respeito a SEO e vários outros recursos dentro do WordPress. Não dá pra viver sem as URLs amigáveis do WordPress, não é?

Vou deixar aqui algumas possíveis soluções para este problema:

Arquivo .htaccess

Um dos primeiros candidatos a culpado por este erro é o arquivo .htaccess, pois os redirecionamentos do WordPress passam primeiro por este arquivo. Quando o arquivo .htaccess está com algum erro, pode ser que o servidor faça um redirecionamento, que joga para o outro, que joga para o outro e entram em um loop infinito gerando este erro no navegador.

A forma mais fácil de verificar isso é executar o seguinte procedimento:

Acessar o gerenciador de arquivos no painel de controle do hosting ou o FTP, renomear o arquivo .htacess para outro nome qualquer e verificar se o erro persiste.

Caso o erro desapareça, achamos o culpado. Basta ir até as configurações do WordPress, em Links Permanentes e, sem alterar nada, clicar em Salvar. O próprio WordPress recriará o arquivo .htaccess de forma correta fazendo o seu site funcionar novamente.

Se não resolver, vamos para os próximos suspeitos.

Plugins

Os plugins são, sem sombra de dúvidas, o céu e o inferno do WordPress. São o céu quando tudo funciona perfeitamente, mas podem te levar ao inferno quando algo começa a dar errado.

Para debugar os plugins a tarefa é um pouco mais complicada e demorada… recomendo fazer isso sempre via FTP, pois é mais rápido e mais seguro.

Os passos são os seguintes:

1. Acessar o FTP;
2. Ir até a pasta wp-content/plugins;
3. Fazer o download de TODOS os plugins;
4. Apagar o primeiro;
5. Conferir se o site voltou a funcionar.

Se o site voltou a funcionar, achamos o culpado. Caso não volte a funcionar, faça o upload do plugin apagado para o servidor novamente e passe para o próximo, repetindo os passos 4 e 5 até encontrar o plugin causador do problema.

Depois de esgotar todos os plugins, a coisa fica um pouco mais complicada, mas ainda há solução!

CloudFlare

Por incrível que pareça, a última vez que encontrei o erro ERR_TOO_MANY_REDIRECTS no WordPress, a culpa era do CloudFlare e o motivo é mais simples do que se possa imaginar.

Há algum tempo o CloudFlare adicionou a opção de fornecer um certificado SSL próprio para validar os sites que utilizam sua estrutura. Acontece que, quase ao mesmo tempo, grande parte das empresas de hosting também começaram a fornecer certificados SSL grátis, porém, a maioria das pessoas ainda não utilizam esse certificado. Quando você finalmente resolve passar o seu site para SSL fazendo a configuração no hosting e no seu WordPress, os dois certificados acabam entrando em conflito pois, por padrão, o CloudFlare identifica que o seu site NÃO utiliza um certificado SSL e tenta sempre usar o certificado próprio (do CloudFlare) e acessando o seu site via HTTP (sem S). A confusão está armada!

Você tenta acessar o site via HTTPS, o CloudFlare coloca o certificado próprio na frente, mas tenta acessar o seu site via HTTP e caso o WordPress já esteja configurado corretamente, vai te redirecionar para HTTPS e assim o seu hosting fica “brigando” com o CloudFlare, cada um em sua própria razão.

Como corrigir?

Basta acessar o CloudFlare, ir até as configurações SSL/TLS, Visão Geral e marcar a opção “Completo (estrito)”, conforme imagem abaixo:

Depois de clicar nesta opção, basta aguardar cerca de 30 segundos e tentar acessar o seu site novamente.

Se depois de todas essas tentativas o seu site ainda não voltou a funcionar corretamente, o problema é um pouco mais complicado e você precisará de ajuda profissional para resolver o problema.

Deixo aqui a dica do Dr. Press para a resolução de quaisquer problemas no seu WordPress. Entre em contato 😉

O post ERR_TOO_MANY_REDIRECTS no WordPress apareceu primeiro em InfoDicas.

Escreva em Blocos

Nem só de formatações vivem os blocos

E quando ocorrerá essa mudança?

Gutenberg (Free, WordPress) →

O post Testando o Gutenberg, o novo editor de textos do WordPress apareceu primeiro em InfoDicas.

Isso acontece porque, ao enviar uma imagem para o WordPress, ele cria várias miniaturas dessa imagem de acordo com as configurações do tema. E não é difícil afirmar que cada tema possui suas configurações e tamanhos de miniaturas personalizados, certo?

É aí que entra o plugin Force Regenerate Thumbnails.

O que esse plugin faz é uma varredura na sua biblioteca de mídias do WordPress e, para cada imagem, ele apaga as miniaturas antigas e cria novas miniaturas de acordo com as configurações do tema atual. O processo é bastante simples de ser executado, porém, pode ser um pouco demorado dependendo da quantidade de imagens que o seu WordPress possui. Ao abrir o link do plugin, aparecerá um aviso dizendo que o plugin não foi atualizado há mais de 2 anos e que não foi testado nas atualizações recentes do WordPress, porém, ele continua funcionando perfeitamente e como não é um plugin de uso contínuo, não deve representar maiores perigos para o seu WordPress.

Para instalar o plugin é o procedimento padrão. Você pode fazer o upload do arquivo compactado ou apenas procurar pelo plugin na busca dentro do próprio WordPress.

Depois de instalado e ativado, você encontra o plugin no menu “Ferramentas” do painel administrativo do WordPress. Clicando em “Force Regenerate Thumbnails” aparecerá uma tela bastante simples e o único botão disponível será o “Recriar todas as miniaturas”. À partir daí o plugin iniciará a recriar as miniaturas uma a uma, apagando as miniaturas antigas e criando as novas. O tempo do processo dependerá da quantidade de imagens em sua galeria. Você pode acompanhar o progresso através da tela do plugin, que mostrará uma barra de porcentagem durante processo inteiro e ainda informará quais miniaturas foram apagadas e quais foram recriadas.

Depois de concluir a recriação das miniaturas, você pode desativar e excluir o plugin, pois o trabalho dele foi concluído e você só precisará dele novamente quando trocar novamente o tema do seu WordPress.

Espero que tenham gostado dessa dica 🙂

Force Regenerate Thumbnails (Free, WordPress) →

O post Como recriar as miniaturas de imagens do WordPress apareceu primeiro em InfoDicas.

Segurança em WordPress para usuários leigos – Versão 2016

Falar em segurança para WordPress em 2016 parece até “chover no molhado”, mas, ao contrário do que muitos pensam, hoje, mais do que nunca, esse é um assunto de extrema importância e cada dia mais necessário que seja do conhecimento de todos os utilizadores da plataforma WordPress, versão hosted, também conhecido como WordPress.org.

O WordPress tornou-se praticamente onipresente na web e isso significa que ele se tornou o principal foco de ataques de muitos grupos que desejam desde enviar e-mails com SPAM, passando por implantar clandestinamente um site de phishing chegando até aos que querem obter controle total do servidor. Como o WordPress está presente em praticamente 1/4 de todos os sites no mundo (e crescendo), conseguir um ataque com sucesso à essa plataforma, faz com que o atacante obtenha sucesso em milhares de outros ataques utilizando praticamente a mesma fórmula.

Como este é um assunto voltado principalmente para usuários leigos, é bom deixar claro que nem tudo fica à cargo apenas do usuário. Por se tratar de um serviço hospedado em um servidor comum de hospedagem, serviço que é oferecido por diversas empresas, parte do esquema de segurança do site depende de quem administra o servidor, porém, o usuário também possui a sua parcela de responsabilidade em manter o seu próprio site o mais seguro possível. Totalmente à prova de invasões, todos nós sabemos que é virtualmente impossível pois não há sistema 100% seguro, porém, vamos falar sobre como o usuário pode se prevenir e ter um nível maior de segurança.

A escolha do host

Como estamos falando exclusivamente da versão hosted do WordPress, significa que, em primeiro lugar, você deverá hospedá-lo em algum lugar. As configurações variam absurdamente de um host para o outro e isso fará toda a diferença tanto em questões de performance do seu site, quanto nas questões de segurança, ou você acha que a variação de preço de um serviço de hospedagem para o outro está relacionado apenas a questões de espaço em disco e banda de tráfego?

Uma das principais recomendações que faço à todos é que escolham um host de confiança e que, principalmente, o suporte saiba lidar no dia a dia com questões relacionadas ao WordPress. Isso pode parecer óbvio, mas não é. O WordPress, apesar de funcionar sob a popular dobradinha PHP + MySQL tem suas peculiaridades principalmente relacionadas à parte de segurança, utilização de memória e processamento, mas como o assunto aqui é segurança, vamos manter este foco.

CloudLinux é a palavrinha que vocês devem procurar quando estiverem em busca da hospedagem para o seu site, seja WordPress ou qualquer outro. O CloudLinux é uma plataforma que garante isolamento total dos outros sites que estão no mesmo servidor. Basicamente, isso significa que, caso algum site que esteja no mesmo servidor que o seu seja invadido, o atacante não poderá ter acesso aos arquivos do seu site, pois ele estará virtualmente isolado. Acredite: A maioria dos hosts não utilizam o CloudLinux, fazendo com que o seu site fique exposto a ataques mesmo que você tome todas as medidas de segurança possível. Basta o site do seu vizinho ser atacado para que o seu site também sofra um atentado virtual.

Outro ponto que depende exclusivamente do host e da habilidade de quem está gerenciando o servidor é o ModSecurity. O ModSecurity é um firewall em nível de aplicação que possui regras específicas para evitar os tipos mais comuns de ataques à sites. Ele se coloca como uma camada entre as requisições feitas pelo visitante do site e os arquivos e funções do site em sí e, caso seja detectada alguma ameaça, o ModSecurity irá barrar essa ameaça antes que a requisição seja entregue de fato ao seu site. O grande problema do ModSecurity é que as regras dele devem ser constantemente atualizadas, pois os ataques mudam quase que diariamente e, além disso, a própria programação do WordPress está em constante mudanças que podem facilmente serem observadas através das atualizações constantes nos plugins, temas e o próprio WordPress, portanto, uma regra de ModSecurity que hoje funciona à seu favor, amanhã pode começar a barrar requisições válidas ao seu site devido à mudanças nos plugins e temas que você utiliza, além, é claro, de atualizações do próprio WordPress.

Utilize senhas fortes

A segunda dica é a utilização de senhas fortes. Isso dificulta em níveis exponenciais um dos principais ataques que os sites em WordPress sofrem diariamente, sim, DIARIAMENTE!

Quando eu falo em utilizar senhas fortes, significa utilizar uma senha de, pelo menos, 12 caracteres, misturando-se letras maiúsculas, minúsculas, números e caracteres especiais. Se você quiser entender um pouco sobre como funciona a segurança de uma senha e como funcionam os ataques do tipo brute force, visite esse artigo que escrevi em 2012 sobre o assunto: A sua senha é segura?

Note que no artigo que escrevi em 2012, uma senha de 8 caracteres era razoavelmente segura, hoje em dia, senhas com 8 caracteres são praticamente banais de serem descobertas devido à evolução da computação no geral.

Dica: Quanto mais caracteres misturados a sua senha possuir, mais difícil de ser quebrada. Para o WordPress não há um limite no número de caracteres que você pode utilizar, portanto, singa-se à vontade para utilizar uma frase completa como senha, mas tente não utilizar uma frase tão óbvia.

Plugins de segurança

Essa é a parte que pode e DEVE ser feita exclusivamente pelo usuário, que é a instalação de plugins de segurança que auxiliam de forma fundamental na segurança de um site em WordPress e, obviamente, aqui temos um outro pequeno problema: Plugins também podem ser uma brecha de segurança ou trazer outros problemas para o site.

Há algum tempo eu recomendava fortemente o plugin Better WP Security, falamos dele, inclusive, no InfoCast 03 sobre WordPress (sim, eu sei que estou devendo novos episódios do InfoCast. Já estou organizando isso). Algum tempo depois do lançamento desse episódio, o Better WP Security acabou sendo comprado ou incorporado e transformou-se no iThemes Security e, após essa mudança, a coisa, ao meu ver, meio que desandou. Não que o plugin tenha ficado necessariamente pior ou inseguro, mas ele começou a causar uma lentidão excessiva nos sites que administro e, em alguns casos, causando conflitos com outros plugins. Fui obrigado a reiniciar as pesquisas em busca de um novo plugin que trouxesse segurança e que não afetasse tanto no desempenho como o iThemes Security e foram nessas pesquisas que encontrei o Sucuri Security – Auditing, Malware Scanner and Security Hardening que, à partir de agora, passarei a chamar apenas de Sucuri Security (eita nomezinho grande, hein?).

Pois bem. O Sucuri Security foi criado e é mantido pela empresa de segurança Sucuri que, há vários anos trabalha com segurança e parte do seu foco é justamente a plataforma WordPress. Foi a Sucuri, por exemplo, que forneceu os primeiros dados de ataque ao famosíssimo plugin Slider Revolution, o qual havia sido divulgada há pouco tempo uma brecha de segurança facilmente explorada e que permitia a leitura de qualquer arquivo do servidor através de uma falha de um dos arquivos do plugin. Isso aconteceu no fim de 2014 e milhões de sites em WordPress foram afetados. Leia aqui o post no blog da Sucuri caso queira saber o que houve de verdade.

Voltando ao plugin Sucuri Security, ele possui opções bem interessantes, como um scan de malware para verificar, através de uma ferramenta online do site sucuri.net, se o seu WordPress está infectado com algum tipo de malware. O plugin também faz uma varredura em todo o seu WordPress à procura de arquivos estranhos à instalação original e também passa a monitorar arquivos que foram modificados indevidamente. Para melhorar a coisa, o plugin também permite que faça-se algumas configurações de hardening que melhoram brutalmente a segurança do seu WordPress. Tudo isso de forma bastante simples através do próprio painel de controle do plugin, dentro do seu WordPress. Caso o seu WordPress já tenha sido invadido, ele possui também uma seção chamada Post-Hack que ajudam a recuperar o seu WordPress sugerindo algumas ações a serem executadas como: reset das chaves de segurança, reset de senhas, reset de plugins e informando as atualizações disponíveis.

Como nem tudo são flores, ainda continuei órfão de uma funcionalidade que, sabe-se lá por que cargas d’água não está presente no Sucuri Security, que é a proteção contra ataques do tipo brute force, que, ao meu ver, é uma proteção também fundamental em qualquer site WordPress.

Felizmente encontrei há pouco tempo o plugin Login Security da miniOrange. Esse plugin trabalha verificando se alguém (ou algum script) tenta efetuar várias tentativas de login utilizando combinações de usuário e senha inválidos e bloqueia o IP do usuário após um número pré-determinado de tentativas incorretas. Essa quantidade de tentativas quem configura é você e é você também que determina o tipo de bloqueio que deverá ser aplicado, se um bloqueio permanente ou temporário, podendo definir também a quantidade de tempo do bloqueio caso tenha optado pelo bloqueio temporário. Outra funcionalidade bem interessante do plugin é inserir o reCaptcha do Google no formulário de login ou de registro de usuários. Isso impede que sejam feitas tentativas automatizadas de acesso ou de registro de usuários no seu WordPress. Essas duas funcionalidades foram fundamentais para que eu escolhesse e indicasse esse plugin pois, antes dele, eu tinha um plugin exclusivo para colocar o reCaptcha no processo de login dos sites que administro e, como todos sabem, quanto mais plugins, mais pesado o seu WordPress ficará.

Resumo da história dos plugins: Instale agora mesmo o Sucuri Security – Auditing, Malware Scanner and Security Hardening juntamente com o Login Security em seu WordPress e fique mais tranquilo no que se refere à proteção do mesmo.

Outras dicas de segurança para o seu WordPress

O assunto segurança é sempre recorrente aqui no InfoDicas, porém, é sempre bom relembrar alguns posts antigos e que continuam valendo como dicas de segurança atuais.

O primeiro post é sobre a utilização de temas pirateados no WordPress. Nos últimos meses tenho trabalhado bastante recuperando sites de pessoas que fizeram uso de temas pirata e que acabaram perdendo todo o conteúdo do site ou estão levando multa de datacenter por causa de WordPress invadido e, acredite, em 95% dos casos o culpado é o tema pirata que o espertão utilizou no site.

Outro post bem interessante é onde eu digo e explico que O problema nem sempre é com o WordPress, pois já que o WordPress tornou-se uma plataforma tão popular não só para blogs, mas para sites corporativos, portais e todo tipo de site, ultimamente tem surgido alguns boatos de que o WordPress não é seguro, que é difícil manter um site WordPress longe dos hackers e todo tipo de falácea normalmente utilizadas para desvalorizar produtos populares. Se você leu até aqui já deve saber que existem vários outros fatores de segurança antes de chegar ao WordPress propriamente dito, certo?

Obviamente eu não poderia terminar esse post sem fazer um jabá dos meus serviços de hospedagem para WordPress e também de suporte especializado em WordPress. Se você quer realmente segurança para o seu WordPress e está em dúvidas sobre onde hospedá-lo, vem comigo! Garanto que aqui farei o meu melhor para manter o seu site sempre no ar e com uma boa saúde!

O post Segurança em WordPress – Versão 2016 apareceu primeiro em InfoDicas.

A culpa nem sempre é do WordPress. O quebra-cabeças é bem maior.

Sem sombra de dúvidas o WordPress é hoje um dos maiores alvos de crackers. Isso se dá naturalmente, devido à sua grande popularidade e alcance. Hoje em dia é bastante fácil encontrar sites em WordPress, desde os mais simples até grandes portais de empresas do mundo inteiro são construídos utilizando o WordPress como base. Isso se deve à excelente plataforma que o WordPress se tornou.

Para se ter ideia do que virou o WordPress em termos de uso, estima-se que cerca de 23% de todos os sites do mundo utilizem a plataforma WordPress. O segundo colocado, o Joomla, está presente em cerca de 3% dos sites do mundo. A participação de mercado (ou, se preferirem, market share) do WordPress alcançou em 2014 a incrível marca de 60%. Isso significa que de todos os sites que utilizam algum tipo de gerenciador de conteúdo, o WordPress está presente em 60% deles. O segundo colocado, o Joomla, possui uma participação de mercado de 8%.

Porém é importante lembrar que o WordPress sozinho, apesar de já ser por si só um excelente sistema, possui um grande apoio da comunidade de desenvolvedores em designers que hoje ganham a vida desenvolvendo temas e plugins para a plataforma.

Neste momento temos aqui a combinação perfeita para um grande problema: Um sistema bastante utilizado e em constante desenvolvimento, vários desenvolvedores independentes criando temas e plugins para este sistema e, claro, o usuário que dessa vez não tem grande parte de culpa na história que irei contar a seguir.

Sendo do tamanho que é, o WordPress automaticamente passou a ser o sistema mais explorado pelos crackers em busca de brechas de segurança, tanto no núcleo (core) do sistema quanto nos milhares de temas e plugins disponíveis para a plataforma.

Em Fevereiro de 2014 foi descoberta uma falha de segurança em um plugin bastante popular para WordPress, o Slider Revolution. A brecha de segurança simplesmente permitia que qualquer um pudesse ler qualquer arquivo presente no WordPress e, dependendo do sistema, em qualquer parte do servidor inteiro. Ainda no mês de Fevereiro de 2014 essa falha foi corrigida pelos desenvolvedores do tema. Poucos dias depois, certo?

Somente em 1º de Setembro de 2014 essa falha foi aberta ao público pelo site Exploit-DB. Obviamente antes de ser divulgada no Exploit-DB a falha já era conhecida por parte da comunidade hacker/cracker.

Notem que houveram 7 meses entre a descoberta da falha, a correção por parte dos desenvolvedores do plugin e a divulgação pública da falha de segurança. Neste momento tudo deveria estar tudo bem, certo? Agora, meu caro gafanhoto, vamos ao mundo real e lá no mundo real as coisas não são tão bonitinhas assim.

Como milhares de pessoas do mundo inteiro costumam utilizar o plugin Revolution Slider para produzir seus temas, o plugin está presente hoje em muitos, mas muitos sites mesmo e, claro, em 7 meses já deveria estar atualizado em todos. Mas não está.

Os designers/desenvolvedores de temas algumas vezes optam por incorporar o plugin ao tema propriamente dito ao invés de apenas referencia-lo em seus códigos. Aliado a esse fator, temos também o fator de abandono de temas por parte de alguns desenvolvedores/designers. Isso significa que você pode ter comprado um tema em Janeiro de 2014 (ou antes disso) e ele nunca ter sido atualizado ou até mesmo ter sido abandonado pelo designer/desenvolvedor. Infelizmente essa situação não é muito incomum e você pode encontrar aos montes temas e plugins em geral abandonados sem receberem atualizações há anos.

Eis que o pior aconteceu:

Número de ataques ao WordPress utilizando-se a falha do Revolution Slider (Dados Sucuri.net)

Segundo dados do site Sucuri.net, o ataque começou por volta do dia 09 de Agosto e se intensificou no dia 19 de Agosto, sendo ainda efetuado até a presente data (07 de Setembro de 2014).

No dia 05 de Setembro de 2014, a Envato, dona do ThemeForest e do CodeCanyon, os dois maiores sites para venda de temas e plugins respectivamente, lançou um post em seu blog expondo o problema e alertando à todos sobre o problema e, junto com o comunicado, lançou também uma lista de temas e plugins potencialmente atingidos pela vulnerabilidade.

Segundo a lista, centenas de temas comprados por milhares de pessoas em todo o mundo foram afetados pelo problema e o pior é que grande parte dos temas que utilizam o plugin afetado (Revolution Slider) não havia atualizado o plugin desde a correção da falha de segurança, ou seja, o designer/desenvolvedor desenvolve um tema utilizando um plugin de terceiros e sequer tem o cuidado de ficar alerta para o fato de ter sido encontrado qualquer problema de segurança no código de terceiros utilizado no tema e, se viram a atualização, passaram batido ou simplesmente não sentiram vontade de atualizar seus temas.

No dia 03 de Setembro de 2014 a ThemePunch, desenvolvedora do Revolution Slider, lançou um comunicado dizendo que a falha era conhecida, porém foi corrigida há 29 atualizações atrás! Vinte e nove!! Isso significa que o Raimundo da Birosca que desenvolveu um tema para WordPress, embutiu um código de terceiro nesse tema e VENDEU para milhares de pessoas, passou batido em 29 atualizações lançadas desde que a falha foi descoberta. A ThemePunch fez sua parte e corrigiu o código logo após a sua descoberta e tudo estaria muito bem caso os designers/desenvolvedores optassem por obrigar a instalação do plugin e apenas o referenciassem em seu código ao invés de embutir o plugin no tema. Existem facilidades que só geram complicações.

Agora meus amigos, que a barata está voando, as únicas coisas que podemos fazer é verificar se o tema utilizado em nossos sites possui o código vulnerável desatualizado e procurar alguém apto a fazer essa atualização para corrigir o problema. Caso você encontre a vulnerabilidade em seu site, como medida emergencial, troque as todas as senhas do servidor o mais rápido possível. Você já pode ter sido vítima de um ataque e nem está sabendo.

O que podemos tirar de lição de tudo isso é:

1. Verificar de quem você está comprando determinado tema ou plugin. Mesmo que esteja comprando em lugares grandes e conhecidos como a ThemeForest, saiba que lá existem desenvolvedores independentes que são muito bons e outros nem tanto. Eu prefiro dar preferência para desenvolvedores já conhecidos, como o pessoal do Elegant Themes.
2. Se você é designer/desenvolvedor, faça o favor de apenas referenciar os plugins que for utilizar em seus temas e não incorpora-los e, caso opte por incorporar por alguma razão, fique sempre atento às atualizações dos plugins que você incorporou e lance atualizações sempre que houver uma.
3. Se você tem um site em WordPress, fique sempre atento às atualizações para o tema que você utiliza e nunca deixe de atualizar nenhum plugin. Se você não souber verificar o tema, contrate um profissional qualificado para isso ou se qualifique.
4. Nunca, em hipótese alguma, descuide-se da segurança do seu site. Procure estudar a plataforma que utiliza e, claro, caso você não queira fazer isso, contrate um profissional para garantir sempre a segurança e atualizações do seu site. Vai sair mais barato do que perder todo o seu conteúdo.

A propósito se precisarem de um profissional para revisar o seu WordPress e/ou um bom lugar para hospedar seu site, entre em contato comigo 😉

O post O problema nem sempre é com o WordPress apareceu primeiro em InfoDicas.

thimtumb, mais uma vez vulnerável

Se você possui um blog ou site em WordPress ou Joomla, pode ser que esteja utilizando o componente escrito em PHP thimtumb que serve para o redimensionamento de imagens on the fly. O thimtumb é um script pequeno e bastante útil, por isso é bastante popular.

Já algum tempo foi descoberta uma grave falha de segurança neste componente e que foi amplamente explorada por crackers e afins e que, na época, causou um grande prejuízo à muita gente. Na época, a vulnerabilidade permitia que qualquer pessoa enviasse para o servidor uma imagem contendo um script qualquer, inclusive um shell remoto que daria controle total ao servidor para o invasor.

Dessa vez a vulnerabilidade é tão perigosa quanto a anterior e foi descoberta e divulgada ontem à tarde e até o momento não possui correção. Isso significa que se você está utilizando esse script, seu site é uma potencial brecha de segurança para o servidor onde ele está hospedado.

Você pode encontrar uma descrição completa dessa vulnerabilidade através deste link, inclusive com descrição detalhada de como explora-la.

Recomendo a todos que façam imediatamente uma varredura em seus sites afim de verificar se possui o script e, caso possua, apague-o imediatamente pois até o momento não há correção para o problema. A versão afetada é a 2.8.13 e, se não me engano, todas as versões anteriores.

Aos donos de host, creio que a solução no momento é fazer uma varredura no site de todos os clientes e, sumariamente, remover os arquivos thimtumb que encontrarem. É bem comum modificarem o nome do arquivo para thumb.php ou similares, então, faça a busca não só pelo nome, verifique também o conteúdo dos arquivos suspeitos.

O post Nova vulnerabilidade crítica no thimtumb (outra vez) apareceu primeiro em InfoDicas.

Mantenha o seu WordPress seguro

Segurança em WordPress é um assunto recorrente aqui no InfoDicas e, na minha opinião, é um assunto de extrema importância, principalmente nos dias atuais onde uma enxurrada de desenvolvedores (e curiosos) elegeram o WordPress como CMS principal e focam grade parte dos seus esforços em desenvolver sites e até sistemas inteiros utilizando o WordPress. Esse tipo de postura não está totalmente errado, o WordPress realmente deixou de ser um “gestor de conteúdo para blogs” para se tornar um verdadeiro e poderoso CMS com todas as qualidades que você possa imaginar.

O problema passa a existir quando pessoas menos experientes começam a fuçar no código principal do WordPress afim de fazer funcionar uma coisa qualquer que eles inventaram, ao invés de construírem um plugin para que tal coisa funcione. Até mexer nos arquivos do tema é aceitável quando não há outra forma de adicionar aquela funcionalidade que você projetou para o sistema. Acontece que para mexer no “core” do WordPress ou até mesmo em plugins e arquivos de tema é necessário ter um certo conhecimento de como o sistema funciona como um todo e isso não é algo que se aprenda em pouco tempo, é algo que exige uma curva de aprendizagem como qualquer outro CMS.

A maioria dos casos de ataque à WordPress são os famosos defacements, onde alguém mal intencionado muda completamente a apresentação do seu WordPress, muitas vezes tirando todo o seu conteúdo do ar e substituindo por algum outro conteúdo, geralmente de cunho ofensivo ou se engrandecendo pelo ato. Esses ataques surgem, na maioria dos casos, através de falhas PRIMÁRIAS na programação de algum plugin ou tema utilizado no seu WordPress. Dificilmente surge uma falha no WordPress (no código principal, também conhecido como core) que dê total à outrem. O caso mais conhecido de defacement ou mass defacement (quando o ato ocorre em massa, modificando muitas vezes centenas ou milhares de sites ao mesmo tempo) foi o caso do timthumb. Até hoje vários hosts tem pavor do timthumb justamente pelo fato de ele ter trazido um risco enorme à essas empresas que, de uma hora pra outra, viu todos os clientes de determinados servidores com o conteúdo dos sites alterados ou até mesmo completamente removidos por conta de uma falha de segurança gravíssima (e primária) deixada no script pelos desenvolvedores. Veja neste post mais informações sobre a falha do timthumb.

Esse tipo de falha pode ser evitado prestando atenção aos plugins utilizados no seu WordPress e/ou no tema que você está utilizando. Não preciso nem lembra-los que NUNCA se deve utilizar um tema pirateado no WordPress, não é? Não é difícil escolher os plugins corretos para serem utilizados no seu WordPress e, sendo assim, evitar os plugins de procedência duvidosa é o melhor a fazer. É, de certo modo, fácil reconhecer os plugins que modem fazer algum mal ao seu WordPress, basta evitar os plugins que não possuem qualquer suporte ou atualização há um tempo considerável e, principalmente, evitar plugins em fase alpha ou beta de desenvolvimento. É fácil distinguir quais plugins ainda não estão totalmente prontos para uso geral observando-se a numeração da versão do plugin, caso a versão seja 0.x (zero ponto alguma coisa) significa que o plugin ainda está em fase de testes. Utilizar um código de testes no seu ambiente de produção é pedir, no mínimo, para ter problemas, concorda? Dê uma olhada também quando foi a última atualização do plugin pois essa informação está disponível diretamente no site do plugin dentro do WordPress.org e ela está lá justamente pelo motivo de te mostrar há quando tempo o plugin não recebe qualquer atualização. Dê uma olhada também nos fóruns de suporte dentro do próprio WordPress.org, lá é o melhor lugar para trocar experiências com outras pessoas que já utilizaram o plugin e tem qualquer dúvida ou problema a respeito do funcionamento do plugin.

Examine bem o host antes de hospedar seu site WordPress

Essa é, com toda a certeza, a parte mais polêmica desse texto e, certamente, a parte que vai gerar mais rage nos comentários.

Como todos já devem saber o WordPress não funciona “sozinho” no servidor, ele depende de pelo menos 3 outros programas para fazê-lo funcionar que são: Servidor Web (geralmente o Apache), Banco de Dados (MySQL) e o PHP, uma linguagem de programação server side que faz grande parte da “mágica” do WordPress.

De alguns anos para cá o mercado de hospedagem de sites, principalmente no Brasil, pipocou de novas empresas ou EUpresas (termo gentilmente roubado da Angélica Costa, criadora deste termo e do Portal do Host) e o grande problema dessa situação é que entrou muita gente inexperiente no mercado, pessoas que acham que gerenciar servidores de hospedagem de sites não precisa de qualquer tipo de conhecimento avançado e que, para economizar uma grana, acabam assumindo para si a tarefa de gerenciar um servidor inteiro sem ter o conhecimento necessário para essa tarefa.

Como já foi dito, o WordPress não funciona sozinho no servidor e depende DIRETAMENTE dos três softwares citados no outro parágrafo e cada um desses softwares são utilizados amplamente no mundo inteiro, o que faz com que várias pessoas tentem explorar brechas de segurança em todos eles o tempo todo. Vez ou outra são encontradas falhas nesses softwares que permitem à alguém mal intencionado executar algum tipo de ataque à sites e aplicações rodando nesse ambiente. Os desenvolvedores SEMPRE corrigem essas falhas, o problema é que eles corrigem as falhas mas não são responsáveis por corrigir os servidores de todo mundo. As falhas são corrigidas e disponibilizadas para que cada administrador de sistema atualize seus servidores e é justamente nesse ponto que os aventureiros do mercado de hospedagem falham vergonhosamente por não ter o conhecimento necessário para aplicar as correções de seguranças no sistema, deixando servidores com dezenas ou centenas de sites expostos a ataques.

Além de todos esses fatores que acabei de descrever, é importante verificar se o host que você escolheu para hospedar o seu site, blog ou sistema conhece a plataforma WordPress e estão aptos a lhe prestar um suporte mesmo que básico caso você tenha problemas com a plataforma. Há casos onde o suporte limita-se a dizer que não é responsável pela aplicação do cliente e, sim, isso é uma verdade, porém é importante notar que o suporte PRECISA estar preparado pelo menos para indicar de onde vem a falha que afeta o sistema do cliente. Isso pode ser observado através dos logs de erro do servidor e não é uma tarefa das mais complicadas, porém, exige o mínimo de conhecimento.

Conclusão

Como eu sempre digo: criar um site em WordPress é fácil, manter o conteúdo é extremamente fácil, porém manter a integridade do sistema deve ser feito sempre por profissionais que realmente entendem do que estão fazendo, caso contrário, o seu blog, site ou sistema estará fadado a viver à beira de um colapso.

Aproveitando para fazer um belo jabá, caso você não tenha escolhido ainda a hospedagem para o seu site, blog ou sistema, dê uma olhadinha nos planos de hospedagem que ofereço e, tenha a certeza de que o seu WordPress será bem tratado comigo.

O post Fatores que influenciam na segurança do seu WordPress apareceu primeiro em InfoDicas.

Será que ninguém se dá conta do perigo?

É incrível a capacidade do ser humano de querer sempre se dar bem em tudo, mas como nem tudo são flores na vida desses espertões, utilizar temas pirateados para WordPress pode gerar muita, mas muita dor de cabeça mesmo para aqueles que se acham muito espertos por não estarem pagando pelo trabalho alheio.

Pra início de conversa, nada justifica a utilização de um tema pirateado para WordPress quando existem milhares de temas grátis com funções bastante similares e, caso você não encontre um tema que satisfaça 100% às suas necessidades, nada o impede de criar o seu próprio tema utilizando como base qualquer outro tema que tenha suporte à child-themes, ou seja, temas derivados do tema principal onde é possível fazer toda uma personalização utilizando-se dos mesmos recursos ou, caso seja necessário, adicionando novos recursos ao seu child theme.

O primeiro grande problema da utilização de um tema pirateado é que você não está, obviamente, utilizando um produto legalizado e, caso o seu site seja descoberto pelo desenvolvedor do tema, você correrá grandes riscos de ter o seu site sumariamente removido do servidor de hospedagem sem qualquer aviso prévio ou chance de recuperar um backup. Isso acontece porque as próprias empresas de hosting prezam pelo uso de softwares originais e sabem dos perigos que um tema ou software pirateado podem trazer para todos os usuários que utilizam-se da infraestrutura da empresa.

Muitos usuários não sabem, mas os temas pirateados podem vir com alguma falha de segurança proposital que permite ao “cracker” que burlou os meios de segurança utilizados para controle do tema, insira o seu próprio código malicioso em meio aos arquivos e funções do tema afim de obter o controle do servidor onde o tema pirata está sendo utilizado. Como é bastante comum a utilização de servidores compartilhados para a hospedagem de sites, quando um cracker consegue controle sob um servidor de hospedagem compartilhada ele terá acesso não só ao seu site mas também a todos os sites hospedados no mesmo servidor que você, causando assim um enorme prejuízo e dor de cabeça ao administrador do servidor e a todos os clientes ali hospedados. Esses prejuízos podem ser desde a simples remoção de conteúdo, até um redirecionamento dos domínios em questão para outros sites. Também é comum a utilização desses servidores “invadidos” para a hospedagem de arquivos maliciosos utilizados em golpes como phishing e outros.

O fato mais interessante de toda essa conversa de temas pirateados é que, como eu já falei, existem milhares e milhares de temas gratuitos para WordPress que possuem uma qualidade excelente e uma grande quantidade de recursos mas se mesmo assim você quer utilizar um tema pago, existem vários desenvolvedores que fazem ótimos temas para WordPress e vendem esses temas por preços que variam de U$ 25.00 a U$ 200.00, sendo que é bastante comum encontrar ótimos temas ao valor de U$ 25.00 a U$ 50.00, ou seja, você pode melhorar bastante o visual do seu site ou blog gastando o dinheiro que geralmente você gasta em uma noite de curtição com os amigos. Custa fazer esse pequeno sacrifício?

Vou deixar aqui alguns exemplos de sites que oferecem temas para WordPress à um preço bastante baixo e que possuem uma qualidade muito boa, assim você poderá compra-los legalmente e utilizar em seu blog sem choradeira.

O primeiro que recomendo é o Elegrant Themes que possui um portfólio de 77 temas pelo preço mais que justo de U$ 69.00 e olha que esse valor é para você ter acesso a TODOS os temas, ou seja, você pagará a anuidade e poderá utilizar os temas em quantos projetos quiser. Vai me dizer que esse é um preço alto?

Outro site que costumo recomendar sempre à quem me pergunta é o WooThemes. Eles possuem um preço um pouco mais salgado, porém os temas deles possuem grandes qualidades e, caso você não tenha encontrado ainda o seu “tema ideal”, o Woo Themes é uma ótima opção para pesquisa.

Uma outra opção bastante interessante é a ThemeForest que é um dos sites mais completos que eu conheço pois além de temas para WordPress eles possuem temas para Joomla, Magento, Email Marketing, Sites sem gerenciadores de conteúdos, temas em PSD e toda uma variedade de recursos que tornam o ThemeForest um verdadeiro canivete suíço para que você melhore a apresentação do seu site.

Então agora que você já conhece os perigos de utilizar temas pirateados no seu WordPress e também já sabe que não é tão caro comprar um tema decente, largue de frescura e pare de usar temas piratas, seu moleque! 🙂

O post Temas pirateados no WordPress – Não faça essa besteira apareceu primeiro em InfoDicas.

Aumente a segurança do seu WordPress com o Google Authenticator

Um dos maiores problemas do WordPress hoje em dia é, sem sombra de dúvidas, a segurança. Não pelo fato de o WordPress ser inseguro, acontece que como a base de usuários do WordPress cresceu vertiginosamente nos últimos tempos, ele tornou-se um dos alvos prediletos para crackers e outros tipos de meliantes virtuais.

Caso você tenha um smartphone Android, iPhone ou Blackberry ou um tablet com sistema compatível poderá adicionar uma camada extra de segurança ao seu WordPress com o Google Authenticator impedindo que pessoas que não possuam a devida autorização acessem o seu WordPress indevidamente pois além de exigir a senha normal do WordPress, com o Google Authenticator será necessário utilizar também uma combinação numérica bastante parecida com os Tokens utilizados por vários bancos afim de aumentar a segurança em algumas transações online.

O plugin Google Authenticator funciona em conjunto com a autenticação em duas etapas fornecida pelo Google e, caso você ainda não tenha habilitado essa função, habilite agora mesmo e garanta que ninguém além de você tenha acesso à sua conta do Google. Veja como funciona e como habilitar a verificação em duas etapas da sua conta da Google.

Pois bem, agora que você já sabe o que é e como funciona a autenticação em duas etapas do Google, vamos adiciona-la ela também ao WordPress através do plugin Google Authenticator. Infelizmente o plugin não vai funcionar sem que você tenha um smartphone ou tablet para fazer a verificação do código da verificação em duas etapas do Google.

Antes de instalar o plugin é necessário que você tenha em seu smartphone o aplicativo para a geração dos códigos de verificação em duas etapas do Google, para isso vá até as configurações da sua conta do Google e habilite o seu smartphone ou tablet e faça o download do aplicativo. Se você possui um smartphone com Android faça o download do aplicativo através do link abaixo:

[app]com.google.android.apps.authenticator2[/app]

Depois de instalar e habilitar o plugin é necessário que você vá até as configurações do seu perfil do WordPress, habilite o plugin Google Authenticator diretamente no seu perfil e escaneie o Código-QR fornecido com o plugin, dessa forma o seu aplicativo no smartphone ou tablet estará apto a gerar os códigos para o seu WordPress e na próxima vez que você for fazer login no seu WordPress será necessário inserir esse novo código que será gerado automaticamente cada vez que você precisar utiliza-lo.

Caso você utilize o aplicativo do WordPress para smartphones e/ou tablets você poderá gerar uma senha específica de aplicativo para utilizar essa camada extra de segurança fornecida pelo plugin, porém é necessário que você saiba que habilitar qualquer comunicação via XMLRPC tornará o seu blog muito mais vulnerável à vários tipos de ataques e esse procedimento não nem um pouco recomendável.

O post Aumente a segurança do WordPress com o Google Authenticator apareceu primeiro em InfoDicas.

Uma ótima forma de disponibilizar downloads no seu blog WordPress

Hoje venho lhes apresentar um plugin bastante util para WordPress que, de forma bastante simples, permite que você receba menções no twitter por cada download que for feito em seu blog com WordPress (apenas para WordPress Hosted), trata-se do plugin Tweet2Download.

Com o Tweet2Download instalado em seu WordPress, sempre que alguém fizer o download de um arquivo você receberá uma menção no twitter e ainda terá a opção de ser seguido automaticamente pelo usuário durante o processo.

Para instalar o plugin é necessário que você vá até o painel de administração do seu WordPress >> Plugins >> Adicionar Novo, na caixa de busca que aparecerá basta você escrever Tweet2Download, o plugin é o primeiro da listagem. Caso você queira fazer o download direto no site do WordPress.org basta clicar neste link.

Após a instalação do plugin será necessário que você configure-o corretamente e, para isso, você precisará de uma Twitter API Key, consumer secret e consumer key, todos fornecidos através do endereço deste link. Ao acessar o link, preencha corretamente todos os campos, conforme explicado abaixo:

Application Details

• Name: O nome da sua aplicação. Pode ser o nome do seu site;
• Description: Uma descrição breve sobre o seu site;
• WebSite: a URL completa do seu site;
• Callback URL: repita aqui a URL do seu site.

Marque a caixa “Yes, I agree“, preencha o captcha corretamente e clique em “Create your Twitter application“.

Assim que você criar a aplicação, bastará você acessa-la através do endereço deste link, ir até a sua aplicação e, em Settings você precisará ir até access e marcar a opção “Read and Write” para que a pessoa possa enviar o tweet diretamente do seu site. Clique em “Update this Twitter application’s settings” e agora você terá acesso ao seu Twitter Consumer key e Twitter Consumer secret e poderá adicionar essas configurações à página de configurações do Tweet2Download, disponível no seu painel de administração do WordPress em Configurações >> Tweet2Download Settings.

Para utilizar o plugin basta que você crie um novo post ou edite um post já existente e, ao lado do ícone para inserir imagem, aparecerá um ícone para inserir um arquivo com o símbolo do Twitter, clique neste ícone e, antes de enviar seus arquivos, marque a opção “These files will be downloaded using Tweet2Download“. Daí em diante o processo é bastante intuitivo e você certamente não terá qualquer dificuldade em continuar.

Uma pequena mudança no plugin

Como todos sabemos o twitter possui uma limitação de 140 caracteres para cada tweet, sendo assim, é de extrema importância qualquer “economia” de caracteres ao se enviar um tweet. O próprio WordPress possui um recurso de shortlinks que ignora qualquer formatação de permalink existente e fornece o endereço com a seguinte característica http://seudominio.com/?p=x, onde x é o número de identificação do post em questão. Existem inclusive plugins que fazem a conversão automática do shortlink para os serviços mais conhecidos para encurtar URLs. Infelizmente o plugin Tweet2Download não possui esse recurso de pegar o link curto do post então tive que fazer uma modificação manual no plugin para que ele passasse a suportar as URLs curtas do site ao invés das URLs longas como o de costume.

Na linha 506 do arquivo tweet2download.php eu modifiquei a função utilizada pelo plugin de get_permalink para wp_get_shortlink. Note que as duas funções são nativas do WordPress e isso não irá, de forma alguma, desincompatibilizar o plugin com as demais instalações de WordPress. Não disponibilizarei aqui o arquivo modificado pois já notifiquei o desenvolvedor sobre a mudança que fiz e, caso ele ache pertinente, adicionará como um recurso nativo nas próximas versões do plugin. Recomendo que você faça essa mudança apenas se souber o que está fazendo.

O post Tweet2Download – Receba indicações por downloads em seu blog apareceu primeiro em InfoDicas.

Tudo organizado e catalogado

Já algum tempo há uma legião de pessoas migrando de outras plataformas para o WordPress devido à sua facilidade de utilização, grande variedade de plugins e também por sua estrutura de organização de conteúdo, porém, ao chegar à plataforma alguns ficam perdidos e acabam demorando muito para se adaptar ao WordPress, fazendo com que a produtividade caia ou que o conteúdo demore a ir ao ar da forma correta.

A minha intenção neste post não é fazer um guia definitivo do WordPress nem fazer um manual para os usuários, mas sim tornar mais fácil a vida de quem está chegando agora à plataforma e ainda se sente meio perdido em meio à grande quantidade de recursos do WordPress.

Posts

Primeiramente o WordPress foi pensado para ser uma plataforma para blogs em geral, sendo assim, o seu maior poder de organização está nos posts. Posts no WordPress é o conteúdo mais dinâmico, aquele que será atualizado com mais frequência, sendo assim, em um blog, os posts fazem parte do conteúdo principal, aquele que você insere no site várias vezes por dia, semanalmente, mensalmente ou com alguma certa periodicidade. Um exemplo de post do WordPress é este texto que você está lendo agora.

Categorias

Os posts do WordPress são divididos em categorias. As categorias do WordPress servem para catalogar os posts e agrupa-los através de assuntos específicos. Uma categoria do WordPress contém vários posts porém cada post deve pertencer apenas a uma categoria. O WordPress permite que você faça um post pertencente à várias categorias ao mesmo tempo, porém por questões de organização é interessante que cada post pertença apenas à uma categoria distinta. Fazendo uma analogia ao sistema operacional que a maioria das pessoas utiliza, os posts são documentos e as categorias são as pastas onde você guarda esses documentos. Por exemplo, você está lendo este post dentro da categoria “WordPress” no site InfoDicas.

Tags

Tags são etiquetas e essas etiquetas ajudam na hora de catalogar e identificar os seus posts dentro do WordPress de forma que você pode ter vários posts catalogados em categorias diferentes porém com alguma parte em comum com outros posts. Um post do WordPress pode possuir várias tags diferentes e, diferente das categorias, é bastante comum a utilização de várias tags em um mesmo post. Este post está dentro da categoria “WordPress” no site InfoDicas e possui as tags organização, conceito e utilização. Isso facilita a integração dos posts do WordPress entre si, sendo assim, através deste post sobre WordPress a pessoa encontre outros posts relacionados à “organização”, “conceito” ou “utilização” dentro do site InfoDicas, por exemplo, você pode ter gostado da organização do WordPress e quer saber o que mais existe publicado à respeito de “organização” no site InfoDicas que automaticamente te remeterá à uma coleção de posts sobre a organização de alguma coisa relacionado à informática e tecnologia, que é o tema principal deste site.

Páginas

Ao contrário do que muitos imaginam, as páginas no WordPress fazem parte da parte estática do site. Isso significa que as páginas do WordPress são informações fixas, que não serão alteradas com frequencia e que permanecerão em uma posição de destaque no site. As páginas são uteis para a criação de formulários de contato, termos de utilização, informações gerais fixas, informações sobre os autores e colaboradores e todo o conteúdo que não sofrerá alterações permanentemente.

Para um melhor entendimento de tudo que foi dito, fiz um pequeno organograma onde represento a estrutura do WordPress para que vocês vejam de forma visual como funciona:

Estrutura organizacional do WordPress

Como você pode notar através do organograma acima, em um site WordPress você tem (de baixo pra cima) as tags que são ligadas diretamente aos posts que são ligados diretamente às categorias que fazem parte do site. As páginas estáticas são uma parte “independente” do site, ou seja, o conteúdo de uma página não está ligado diretamente à nenhuma tag, post ou categoria, porém fazem parte do conteúdo principal, que é o site em WordPress como um todo.

Espero que este post tenha ajudado e caso alguém tenha algo a acrescentar à este assunto, sinta-se à vontade para colaborar através dos comentários.

O post Entenda a estrutura de organização do WordPress apareceu primeiro em InfoDicas.