Boas práticas de segurança

imagem-de-tres-cadeados
Cadeados são um símbolo universal de segurança. Saiba quais são os melhores para sua aplicação.


1 — Nome de usuário tem que ser diferente do utilizado no login

É super comum as pessoas colocarem o seu nome como usuário de login.

Por exemplo, uma pessoa que se chama Pedro Silva, provavelmente usa pedrosilva para logar nos serviços que utiliza. Ou pedro_silva, ou alguma combinação de nome e sobrenome.

Esta prática é contra recomendada porque deixa uma brecha de segurança. Quando o usuário faz uma publicação no site, na publicação aparece o nome do autor. Os robôs de spam pegam esta informação para tentar logar no painel admin.

Por isso é importante, no cadastro de usuário, setarmos um nome e sobrenome, diferentes do user de login.

Imagem do painel de usuario do wordpress

Nesta imagem do painel de usuário do wprdpress você encontra os campos nome de usuário e user login para tornar seu site mais seguro.

 

2 — Alterar endereço da página de login

Quando instalamos um site wp(wordpress), é automaticamente criada uma página de login no endereço nomedosite/wp-admin

Os robôs de busca conhecem este endereço e vão ali ficar fazendo tentativas de login.

É recomendável que se altere a página de login para dar maior segurança ao formulário.

O login, neste caso, aconteceria em nomedosite/umoutroenderecoqualquer

 

3 — Bloquear acesso outros países

Os robôs spammers, em sua grande maioria, utilizam servidores de fora do Brasil.

Fazer com o painel admin seja acessível apenas para ip´s brasileiros representa mais uma barreira de segurança.

 

4 — Desabilitar editor de temas e plugins

Para facilitar a vida dos geradores de conteúdo, o wordpress permite acesso aos arquivos do tema e dos plug-ins. Esta prática é contra recomendada, pois uma vez tendo acesos aos arquivos, um spammer pode trazer enorme prejuízo ao site.

imagem que mostra onde encontramos o editor de temas do wordpress

Veja na imagem acima como é fácil acessar o editor de temas quando ele não está desativado. Desative-o e deixe sua aplicação mais segura.

 

5 — desabilitar trackbacs e pingbacks

O grande problema dos Trackbacks e Pingbacks é que a maioria das tentativas de contato é Spam. Além disso, existem ataques específicos de reflexão e ampliação que podem ser feitos através dessas ferramentas. Esses ataques exploram o fato de ao receber um pingback, o blog ter que baixar a página que fez a citação para saber se é real, então o atacante pode fazer uma série de envios, forçando seu blog a verificar milhares de páginas.

 

6 — Permissões de pastas e arquivos

A prática mais comum quando se trabalha com wordpress, é, através do filezila, ou outro cliente de ftp, setarmos as permissões. O problema disto é que a grande maioria dos sites wordpress ficam hospedados em servidores compartilhados, que tem lá suas rotinas. Acontece frequentemente dos servidores sobrescreverem as permissões. Por isso é interessante que façamos um trabalho no arquivo wp-config, para que as permissões não sejam alteradas.

 

7 — Apagar arquivos não utilizados

Existem alguns arquivos na instalação wordpress que acabam passando uma série de informações aos atacantes. Como, por exemplo, o arquivo readme.html. Veja no site da Pipeline quantas informações um hacker pode pegar ali.

http://pipeline-digital.com.br/readme.html

Existem arquivos que o wordpress não utiliza, e que, portanto, devem ser apagados.

 

8 — Proteger a pasta wp-content

Nesta pasta ficam os arquivos do tema, plug-ins e as imagens da galeria de imagens. Os spammers conhecem a estrutura de pastas do wordpress, e onde encontrar estes arquivos. Portanto, é importante que tomemos algumas medidas de segurança na pasta wp-content

 

9 — Plugins de logs e auditorias

Existem plug-ins, como o wordfence, por exemplo, que nos permitem fazer auditorias no banco de dados e nos arquivos de nossa instalação wordpress.

E outros que geram logs que nos mostram o que os usuários fazem quando estão logados.

A instalação destes plug-ins é importante, pois eles podem detectar a presença de spmans em nossa instalação wordpress, o que nos permite agir com maior agilidade.

 

10 — bkups

Apesar de todas as medidas de segurança, o wp pode ser hackeado. Por isso é muito importante que tenhamos rotinas de backps do banco e dos arquivos. O ideal é trabalhar com bkps do servidor de hospedagem, e com a instalação de plug-ins de bkps.

Caso o estrago tenha sido grande, restauramos o site a partir dos bkps.

 

11 — Instalação do google recaptcha

Print de tela que ilustra o google recaptcha

Recaptcha do google é uma importante barreira de segurança

Esta ferramenta da google estuda o comportamento do visitante no site e identifica se é um robô.

 

13 — Limitar as tentativas de acesso no login

Quando os robôs tentam hackear um site através da página de login, eles fazem inúmeras tentativas. Por isso é boa prática limitarmos as tentativas em 3, ou 5.

Quando um spammer errar pela sexta vez, aquele usuário fica bloqueado por um tempo. E se tivermos instalado um plugin de logs, poderemos identificar que o user foi bloqueado, e trabalhar em cima.

 

14 – Instalação do plugin Akismet

Este é um plugin visa proteger o formulário de comentários do site. Os robôs colocam muitos spans ali. E o Akismet é uma barreira de proteção interessante.

TAGS: Mkt



AUTOR

João Goya


Desenvolvedor web com mais de 10 anos de experiência que em 20204 partiu para o empreendedorismo com a missão de ajudar equipes de marketing a dar visibilidade para o trabalho das pessoas.