3 dicas para deixar o seu site ou blog mais seguro

Tendo em mente todos os sites gerenciáveis que desenvolvemos nos últimos meses (entre eles, o do Atelier Strass & Cezareto) e todas as medidas de segurança que costumamos tomar, decidi escrever uma lista de 3 medidas que você pode tomar para proteger o seu site gerenciável ou blog feito em WordPress. São elas:

1. Garantir que os usuários com acesso à área administrativa tenham senhas fortes

Benefícios

Diminuir a possibilidade de algum invasor ou programa de computador adivinhar sua senha e invadir o seu site.

Como funciona

Quanto mais simples (fraca) for a senha que você usa para administrar o site, maiores serão as chances dela ser deduzida por uma pessoa que conheça você ou descoberta por um programa de computador, através de algum método de quebra por “força bruta” (esse tipo de método será explicado mais adiante).

Dica: uma boa forma de escolher uma senha forte é pensar em uma frase que seja de fácil memorização e transformá-la em uma senha. Por exemplo, a frase “Ontem, li um interessante artigo sobre segurança” poderia gerar a senha “o,L1iAsS” (sem as aspas, mas com a vírgula). Essa seria uma boa senha já que possui mais de 6 caracteres, combinando letras, números e símbolos especiais.

Como fazer

Em sua instalação padrão, o WordPress apenas exibe um indicador da força da senha, mas não obriga os usuários a criarem senhas fortes. Para garantir que todos criem senhas fortes, instale o Plugin Enforce Strong Password, seguindo os passos abaixo:

a) Acesse a área administrativa do site;

b) No menu do lado esquerdo, selecione “Plugins” e clique em “Adicionar Novo”;

c) No campo “Pesquisar”, digite Enforce Strong Password e clique em “Pesquisar Plugins”;

d) Clique em “Instalar”. É o link que aparece embaixo do nome “Enforce Strong Password” e ao lado de “Detalhes”;

e) Clique em “Ativar plugin”;

f) Pronto!

Para alterar as configurações do plugin, acesse a área administrativa do site e, no menu do lado esquerdo, escolha “Configurações” e “Enforce Strong Password”. A partir da versão 1.3.1, o plugin já dispõe de tradução para o português Brasileiro, uma pequena contribuição da Onbiz para o plugin.

Atenção! O Enforce Strong Password tem uma limitação: ele não verifica a força da senha quando ela é alterada através da funcionalidade de “Perdeu a senha?” do WordPress. Na Onbiz, usamos uma versão modificada do plugin para corrigir essa limitação. O “patch” e a versão modificada completa já foram enviados para o autor do plugin, que decidirá se deve usá-los ou não.
Caso o seu desenvolvedor web ou a sua equipe de TI queiram implementar algo semelhante, aconselhe-os a partirem das actions  login_form_reset_pass, login_form_rp e validate_password_reset.

2. Adicionar captcha (desafio) a páginas importantes

Benefícios

Reduzir a possibilidade de quebra das senhas de administração do site e inibir a inclusão de comentários automáticos indesejados (SPAMs) no blog.

Como funciona

Acredito que você saiba o que é captcha, certo? Em sua forma mais irritante, o captcha é composto por uma imagem distorcida contendo letras e números e por um campo de texto no qual você precisa repetir o as mesmas letras e números que aparecem na imagem. É muito comum em páginas de login ou de cadastro de usuário ou em qualquer página que solicite uma senha.

Apesar de chato, especialmente quando a imagem está tão alterada que o texto nela se torna quase ilegível, o objetivo do captcha é evitar que um programa de computador preencha os dados que um ser humano deveria preencher. Assim sendo, o uso do captcha pode, por exemplo, impedir que algum programa fique inserindo propaganda de outras empresas nos comentários do seu blog ou, ainda pior, que o programa use uma técnica de quebra de senhas conhecida como “força bruta”. Basicamente, ao usar esta técnica, o programa testa várias palavras do dicionário ou combinações de letras e números como senha do seu blog. Ao acertar, a senha correta é informada ao criador do programa que, então, já pode invadir o seu site.

Uma das formas mais eficientes (e menos irritantes) de captcha que testamos foi a de desafio matemático: nela o usuário é confrontado com um simples cálculo matemático, como “dois + 1″. Ao acertar o cálculo, o usuário é considerado humano e pode prosseguir com a operação de login ou de alteração de senha, por exemplo. O desafio é eficiente porque combina raciocínio matemático, uma imagem clara e legível, números escritos por extenso e no idioma nativo do site (como “cinco”, “nove”, “doze”).

Como fazer

Para habilitar o captcha matemático, basta instalar o Plugin Captcha, seguindo as instruções abaixo:

a) Acesse a área administrativa do site;

b) No menu do lado esquerdo, selecione “Plugins” e clique em “Adicionar Novo”;

c) No campo “Pesquisar”, digite Captcha e clique em “Pesquisar Plugins”;

d) Clique em “Instalar”. É o link que aparece embaixo do nome “Captcha” e ao lado de “Detalhes”;

e) Clique em “Ativar plugin”;

f) Pronto!

Uma vez instalado o plugin, você poderá escolher em quais páginas o Captcha será exibido e qual será o seu nível de dificuldade. Para tanto, acesse a área administrativa e, no menu do lado esquerdo, escolha “BWS Plugins” e clique em “Captcha”.

Dica: se não quiser que o desafio matemático seja muito complexo, marque apenas “Mais (+)” como operação aritmética em uso.

3. Permitir que a área administrativa seja acessada somente via conexão segura

Benefícios

Garantir que informações sensíveis, como nome de usuário (username) e senha (password), trafeguem somente através de conexões seguras, reduzindo a possibilidade de serem capturadas por pessoas ou programas mal intencionados.

Como funciona

Caso você ainda não saiba o que é uma conexão segura ou desconheça termos como HTTPS ou SSL, leia o artigo sobre a segurança da sua loja virtual.

Como fazer

O primeiro passo é verificar se o seu site já dispõe de https. Para isso, supondo que ele fique no endereço http://seusite.com.br, acesse https://seusite.com.br.

Se o acesso ocorrer normalmente e o website já dispuser de https, inclua as linhas abaixo em seu arquivo wp-config.php:

define(‘FORCE_SSL_LOGIN’, true);
define(‘FORCE_SSL_ADMIN’, true);

Se durante o acesso ao endereço com https o navegador web (browser) exibir a mensagem “Não é possível conectar-se”, “Esta página da web não está disponível” ou “O Internet Explorer não pode exibir a página da Web”, será necessária a aquisição e instalação de um certificado digital em seu site, antes de prosseguir. Outra possibilidade é que o HTTPS esteja funcionando em uma porta que não é padrão. Contacte seu desenvolvedor web ou sua equipe de TI.

Dica: Apesar de não ser a solução ideal, caso não queira ou não possa gastar com a aquisição e renovação periódica de um certificado digital e se a área administrativa do site for acessada apenas por você e por uns poucos funcionários de sua empresa, existe a possibilidade de usar um certificado auto-assinado.

 

Pronto! Esses passos simples já ajudaram a tornar o seu website ou blog mais seguro e menos sujeito a invasões.

E caso você ainda não tenha uma equipe para cuidar dessas questões técnicas para você e quiser a nossa ajuda, basta entrar em contato. É para isso que estamos aqui.

Leia também:

Daniel Henrique Alves Lima

Atualmente, dedico-me a ajudar pequenas empresas a começarem na Internet ou a melhorarem sua presença na web, através de seus sites e blogs, construindo uma boa e reputação online. Esta servirá para se aproximarem de seus clientes atuais e para alcançarem novos clientes, gerando mais negócios.

Saiba mais sobre mim no site da Onbiz ou acessando meu blog pessoal.

Mais posts

Siga-me:twitterlinkedin

Nenhum comentário

Deixe um comentário


+ quatro = 9