Boas práticas de segurança

imagem-de-tres-cadeados
Cadeados são um símbolo universal de segurança. Saiba quais são os melhores para sua aplicação.


1 — Nome de usuário tem que ser diferente do utilizado no login

É super comum as pessoas colocarem o seu nome como usuário de login.

Por exemplo, uma pessoa que se chama Pedro Silva, provavelmente usa pedrosilva para logar nos serviços que utiliza. Ou pedro_silva, ou alguma combinação de nome e sobrenome.

Esta prática é contra recomendada porque deixa uma brecha de segurança. Quando o usuário faz uma publicação no site, na publicação aparece o nome do autor. Os robôs de spam pegam esta informação para tentar logar no painel admin.

Por isso é importante, no cadastro de usuário, setarmos um nome e sobrenome, diferentes do user de login.

Imagem do painel de usuario do wordpress

Nesta imagem do painel de usuário do wprdpress você encontra os campos nome de usuário e user login para tornar seu site mais seguro.

 

2 — Alterar endereço da página de login

Quando instalamos um site wp(wordpress), é automaticamente criada uma página de login no endereço nomedosite/wp-admin

Os robôs de busca conhecem este endereço e vão ali ficar fazendo tentativas de login.

É recomendável que se altere a página de login para dar maior segurança ao formulário.

O login, neste caso, aconteceria em nomedosite/umoutroenderecoqualquer

 

3 — Bloquear acesso outros países

Os robôs spammers, em sua grande maioria, utilizam servidores de fora do Brasil.

Fazer com o painel admin seja acessível apenas para ip´s brasileiros representa mais uma barreira de segurança.

 

4 — Desabilitar editor de temas e plugins

Para facilitar a vida dos geradores de conteúdo, o wordpress permite acesso aos arquivos do tema e dos plug-ins. Esta prática é contra recomendada, pois uma vez tendo acesos aos arquivos, um spammer pode trazer enorme prejuízo ao site.

imagem que mostra onde encontramos o editor de temas do wordpress

Veja na imagem acima como é fácil acessar o editor de temas quando ele não está desativado. Desative-o e deixe sua aplicação mais segura.

 

5 — desabilitar trackbacs e pingbacks

O grande problema dos Trackbacks e Pingbacks é que a maioria das tentativas de contato é Spam. Além disso, existem ataques específicos de reflexão e ampliação que podem ser feitos através dessas ferramentas. Esses ataques exploram o fato de ao receber um pingback, o blog ter que baixar a página que fez a citação para saber se é real, então o atacante pode fazer uma série de envios, forçando seu blog a verificar milhares de páginas.

 

6 — Permissões de pastas e arquivos

A prática mais comum quando se trabalha com wordpress, é, através do filezila, ou outro cliente de ftp, setarmos as permissões. O problema disto é que a grande maioria dos sites wordpress ficam hospedados em servidores compartilhados, que tem lá suas rotinas. Acontece frequentemente dos servidores sobrescreverem as permissões. Por isso é interessante que façamos um trabalho no arquivo wp-config, para que as permissões não sejam alteradas.

 

7 — Apagar arquivos não utilizados

Existem alguns arquivos na instalação wordpress que acabam passando uma série de informações aos atacantes. Como, por exemplo, o arquivo readme.html. Veja no site da Pipeline quantas informações um hacker pode pegar ali.

http://pipeline-digital.com.br/readme.html

Existem arquivos que o wordpress não utiliza, e que, portanto, devem ser apagados.

 

8 — Proteger a pasta wp-content

Nesta pasta ficam os arquivos do tema, plug-ins e as imagens da galeria de imagens. Os spammers conhecem a estrutura de pastas do wordpress, e onde encontrar estes arquivos. Portanto, é importante que tomemos algumas medidas de segurança na pasta wp-content

 

9 — Plugins de logs e auditorias

Existem plug-ins, como o wordfence, por exemplo, que nos permitem fazer auditorias no banco de dados e nos arquivos de nossa instalação wordpress.

E outros que geram logs que nos mostram o que os usuários fazem quando estão logados.

A instalação destes plug-ins é importante, pois eles podem detectar a presença de spmans em nossa instalação wordpress, o que nos permite agir com maior agilidade.

 

10 — bkups

Apesar de todas as medidas de segurança, o wp pode ser hackeado. Por isso é muito importante que tenhamos rotinas de backps do banco e dos arquivos. O ideal é trabalhar com bkps do servidor de hospedagem, e com a instalação de plug-ins de bkps.

Caso o estrago tenha sido grande, restauramos o site a partir dos bkps.

 

11 — Instalação do google recaptcha

Print de tela que ilustra o google recaptcha

Recaptcha do google é uma importante barreira de segurança

Esta ferramenta da google estuda o comportamento do visitante no site e identifica se é um robô.

 

13 — Limitar as tentativas de acesso no login

Quando os robôs tentam hackear um site através da página de login, eles fazem inúmeras tentativas. Por isso é boa prática limitarmos as tentativas em 3, ou 5.

Quando um spammer errar pela sexta vez, aquele usuário fica bloqueado por um tempo. E se tivermos instalado um plugin de logs, poderemos identificar que o user foi bloqueado, e trabalhar em cima.

 

14 – Instalação do plugin Akismet

Este é um plugin visa proteger o formulário de comentários do site. Os robôs colocam muitos spans ali. E o Akismet é uma barreira de proteção interessante.

TAGS: Mkt



AUTOR

João Goya


Desenvolvedor web com mais de 10 anos de experiência que em 20204 partiu para o empreendedorismo com a missão de ajudar equipes de marketing a dar visibilidade para o trabalho das pessoas.

Fale comigo pelo whats WhatsApp

PERGUNTAS FREQUENTES


Ambos. O site é importante para você apresentar todas as informações do seu trabalho de forma agrupada e organizada. Sem falar em toda a credibilidade que ele ajuda criar dentro do seu mercado de atuação. As redes sociais são importantes para humanizar o empreendimento. Pessoas não se relacionam com empresas, pessoas se relacionam com pessoas. Mas caso haja dúvida sobre por qual deles começar, nós falamos um pouco mais sobre o assunto neste post.

Search Engine Optimizantion, que significa otimização para os mecanismos de busca. SEO se trata de todo o conjunto de técnicas e boas práticas necessárias para fazer um site ranquear melhor no google. Lembre-se sempre que o desejado é que seu site apareça na primeira página. SEO é o conjunto de técnicas necessárias para fazer isso acontecer. Neste post apresentamos como tratamos o SEO dos sites produzidos na casa.

Tráfego de um site se trata de o número de visitas que ele recebe por mês, dia ou semana. Quanto maior o número de visitas, maior o tráfego do site. Tráfego orgânico é aquele em que você não precisa pagar nada para gerá-lo. Se você compartilhar um post do seu blog em alguma rede social e seus amigos clicarem, você gerou tráfego sem gastar nada. Este é o chamado tráfego orgânico. Mas quando falamos em vendas é necessário um volume maior de visitantes, daí a necessidade de se impulsionar os posts nas redes sociais e no google. É necessário que você coloque dinheiro para trazer mais visitas. Todo o tráfego que exige investimentos é chamado de tráfego pago.


VER TODAS AS PERGUNTAS

FALE CONOSCO


Se você tem dúvidas ou sugetões, ou se quiser pedir um orçamento sinta-se á vontade para entrar em contato.