Para uma melhor experiência, acesse através de um computador

Dicas de segurança para WordPress: cinco passos importantes

por Drope em TUTORIAIS on 02/02/2020

A cada dia que passa, ter um ambiente seguro na internet se torna mais e mais importante. Já não se trata de um diferencial, mas de uma necessidade: afinal, quem quer ter sua marca manchada por ataques, vazamentos de informação, pichação e afins?

As notícias são cada vez mais constantes: sites, e-mails e contas em redes sociais são constantemente hackeadas. Não precisamos ir muito longe. Há algumas semanas,tivemos o caso da HBO sendo atacada e tendo seus produtos (episódios de Game Of Thrones) vazados na internet.[/vc_column_text][wgl_spacing spacer_size=”15″][vc_column_text]E, quem não lembra do Wanna Cry, o vírus que atingiu em escala mundial diversas empresas, realizando um sequestro de dados? Este, por sinal foi matéria principal de grandes jornais, de diversas emissoras.

Hoje, com a disseminação de informações na internet, se tornou muito mais fácil realizar ataques a sites. Inclusive, existem diversos cursos de hacking e ferramentas gratuitas que ajudam a realizar essas ataques, ou até mesmo as executam para o usuário – sem que ele precise ter muito conhecimento técnico.

Então, chega de história e vamos às dicas! ?

#1 MFA (Multi-Factor Authentication)

O MFA (Multi-Factor Authentication) está presente em nosso dia a dia em diversas plataformas, como serviços e-mail, Facebook, aplicativos de bancos, entre outros. Já está, inclusive,se tornando natural para o usuário final.
A ideia do MFA é trabalhar com a verificação de dois pontos:

  1. O que você sabe?Normalmente, uma senha.
  2. O que você tem?Um dispositivo confiável, que apenas você tenha acesso (geralmente, o seu celular), com um aplicativo que fornecerá um código de autenticação.

Observação: Em algumas tecnologias novas, também é solicitado “algo seu” como um terceiro fator de autenticação (geralmente, biometria).

Partindo desta ideia, você autentica com um usuário e senha (1) e recebe mais um segundo código (2), seja ele um número, uma palavra ou até mesmo um QR Code.

Para trabalhar com o MFA, sugerimos alguns plugins gratuitos e bem simples de implementar:

  • Rublon – Atualmente, um dos principais plugins de MFA utilizados no WordPress.
  • Authy – O Authy também é uma ótima opção gratuita. Porém, para continuar utilizando após o trial, você deve deixar um número de cartão de crédito cadastrado no aplicativo.
  • Google Apps Login – O Google Apps Login é uma alternativa um pouco diferente, ideal para quem quer implementar a autenticação no modelo de SSO (Single Sing-On), junto com a suíte do Google. Por meio dele, o usuário se autentica em sua conta Google, que já possui MFA nativo e, a partir dela, pode realizar o login no WordPress.

Com esse tipo de tecnologia, temos a segurança da confidencialidade no acesso ao nosso site.

#2 CAPTCHA

Quem nunca errou uma senha em algum site e teve que comprovar que não era um robô por meio de um teste?

O CAPTCHA é exatamente isso: uma validação para evitar ataques do tipo Brute Force. Faz com que você comprove que não é um robô, ao tentar diversos usuários e senhas diferentes até ter sucesso no acesso. Para CAPTCHA, temos alguns plugins legais e gratuitos também:

  • Better WordPress reCaptcha – Atuando no WordPress há mais de dois anos, o Better WordPress reCaptcha traz a clássica confirmação de “Não sou um robô”, onde o usuário precisa clicar no checkbox para marcar sua atividade ou até mesmo digitar algumas letras que são mostradas em uma figura.
  • Login no Captcha reCaptcha – A diferença do Login no Captcha reCaptcha, para o Better WordPress, é que ele trabalha exclusivamente com um checkbox de confirmação do usuário e não possui a extensão para digitação de desafios de letras.
  • Math Captcha – O Math Captcha segue uma linha um pouco diferente para confirmação: ele pede que o usuário insira o resultado de um cálculo simples que irá ser demonstrado para ele (por exemplo 2+2).

#3 Proteção dos nomes de usuários

Ainda na linha de proteção contra ataques voltados a acessos às contas de usuários, também precisamos nos preocupar com o tratamento dos usuários na hora do login. Existem diversas técnicas para se obter os nomes dos usuários de um site, desde um simples chute, até a tentativa de interceptação de uma sessão (falaremos detalhadamente sobre isso mais tarde).

Uma simples mensagem de erro inocente, pode nos trazer informações que um usuário existe e, a partir dele, podemos focar na descoberta de sua senha. Veja no exemplo abaixo:

Neste caso, temos um simples erro de falha no login.

Porém, ele informa que este usuário existe na base. Se o usuário não existisse, ele retornaria o erro abaixo:

Neste caso, vemos que o usuário realmente não existe.

Este é um exemplo muito simples. Existem diversas técnicas avançadas para tentar extrair usuários – o que nos traz a noção de que também precisamos desta proteção.

A solução é uma configuração de incríveis TRÊS LINHAS DE CÓDIGO no seu arquivo “htaccess”, que fazem com que os usuários sejam protegidos:

RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ https://exemplo-dominio.com/? [L,R=301]

Desta forma, você consegue proteger seu site de diversos métodos de extração de listas de usuários.

#4 Implementação de comunicação criptografada (HTTPS)

Hoje, a utilização de SSL na navegação é essencial, não só para proteção, mas também para reputação do seu site.

#5 Utilização de SFTP

Ainda na linha da utilização de criptografia, o serviço de FTP, também possui sua versão com SSL, se trata do SFTP.

Na mesma lógica do HTTPS, o SFTP funciona em uma comunicação criptografada, onde os arquivos não conseguem ser interceptados, tornando assim as publicações no site mais seguras. As configurações são semelhantes, você só precisa contratar um serviço de SFTP, ao invés de FTP.

É muito importante reforçar a importância de rever suas rotinas de backup e as permissões em seus diretórios de arquivos. Tenha uma senha forte e é claro, mantenha sempre atualizada a versão do seu WordPress e de seus plugins.

Leave this field blank
Escolha uma das opções abaixo
  • Selecione
  • Solicitar atualização
  • Reportar link offline

ACESSO COMPLETO

CONTA EXCLUSIVA SUA COM DOWNLOADS ILIMITADOS

Você terá acesso de 45 dias na Envato Elements para baixar o que quiser e com downloads ilimitados.

POR APENAS R$49,90

horas
minutos
segundos

Agora você pode sugerir qualquer produto de WordPress da Envato Elements. Para acessar a Envato e buscar por um produto que não esteja em nosso repositório, clique aqui.

Leave this field blank

Como importar template no Elementor

Você pode importar modelos que exportou ou baixou.

    1. Acesse seu painel do WordPress
    2. Clique na opção Modelos, localizado no menu lateral
    3. Clique no botão Importar Modelos
    4. Escolha o arquivo que deseja importar e clique no botão Importar agora
    5. Seu modelo importado agora será exibido na sua lista de modelos

Como atualizar um plugin ou tema

Recomendamos que você instale o plugin Easy Theme and Plugin Upgrades. Você pode baixá-lo gratuitamente clicando aqui.

Para usá-lo, primeiro instale e ative o plug-in. Uma vez ativado, você poderá atualizar qualquer tema/plugin simplesmente carregando o arquivo do plugin atualizado para o seu site.

Atualizando um plugin

  • Faça o download do arquivo .zip mais recente para o plugin.
  • Entre no seu site WordPress.
  • Vá para “Plugins” > “Adicionar novo”. (Mesmo que você esteja atualizando)
  • Clique no botão “Upload Plugin” na parte superior da página.
  • Selecione o arquivo .zip com a versão atualizada do plug-in.
  • Clique no botão “Instalar agora”.

Atualizando um tema

  • Faça o download do arquivo .zip mais recente para o tema.
  • Entre no seu site WordPress.
  • Vá para “Aparência”> “Temas”.
  • Clique no botão “Adicionar novo” na parte superior da página. (Mesmo que você esteja atualizando)
  • Clique no botão “Carregar tema” na parte superior da página.
  • Selecione o arquivo .zip com a versão atualizada do tema.
  • Clique no botão “Instalar agora”.

Problemas comuns

Recomendações

Recomendamos sempre aos nossos clientes estarem com uma versão nova do PHP, por exemplo: 7.4.

Se você não souber como ver em qual versão você está, basta entrar em contato com o suporte do seu servidor de hospedagem e pedir pra eles fazerem a alteração.