Hoje, com a dissemina\u00e7\u00e3o de informa\u00e7\u00f5es na internet, se tornou muito mais f\u00e1cil realizar ataques a sites. Inclusive, existem diversos cursos de hacking e ferramentas gratuitas que ajudam a realizar essas ataques, ou at\u00e9 mesmo as executam para o usu\u00e1rio – sem que ele precise ter muito conhecimento t\u00e9cnico.<\/p>\n Vamos combinar: a preocupa\u00e7\u00e3o \u00e9 grande (e n\u00e3o \u00e9 \u00e0 toa)! <\/strong><\/p>\n O OWASP (Open Web Application Security Project), possui um TOP 10<\/a> dos maiores vetores de ataques atuais. Por incr\u00edvel que pare\u00e7a, os motivos s\u00e3o os mesmos j\u00e1 h\u00e1 alguns anos e os principais deles s\u00e3o ataques direcionados a p\u00e1ginas web.<\/p>\n \u00c9 inevit\u00e1vel n\u00e3o pensarmos em WordPress<\/a> dentro desse contexto, j\u00e1 que o CMS assume a ponta da tabela de plataformas de site – com cerca de 59.4% do n\u00famero total de plataformas de gest\u00e3o de conte\u00fado e 28.5% de toda a internet, segundo o W3Techs<\/a>.<\/p>\n Mas, antes de entrarmos no universo WP, \u00e9 interessante conhecermos um pouquinho mais sobre o mundo da Seguran\u00e7a<\/a> da Informa\u00e7\u00e3o, que vem ganhando bastante for\u00e7a.<\/p>\n Rapidamente, a Seguran\u00e7a da Informa\u00e7\u00e3o tem o prop\u00f3sito de garantir tr\u00eas pilares nas organiza\u00e7\u00f5es: confidencialidade, integridade e disponibilidade, o famoso CID. Para garantir esses t\u00f3picos, possui diversas t\u00e9cnicas e controles que s\u00e3o aplicados nas empresas.<\/p>\n Nesta linha, podemos considerar no contexto WordPress algumas a\u00e7\u00f5es simples, mas que mitigam boa parte dos principais vetores de ataques – ajudam a melhorar muito a seguran\u00e7a de nossos site e nossos clientes.<\/p>\n O MFA (Multi-Factor Authentication)<\/strong> est\u00e1 presente em nosso dia a dia em diversas plataformas, como servi\u00e7os e-mail, Facebook, aplicativos de bancos, entre outros. J\u00e1 est\u00e1, inclusive,se tornando natural para o usu\u00e1rio final. Partindo desta ideia, voc\u00ea autentica com um usu\u00e1rio e senha (1)<\/strong> e recebe mais um segundo c\u00f3digo (2)<\/strong>, seja ele um n\u00famero, uma palavra ou at\u00e9 mesmo um QR Code.<\/p>\n Para trabalhar com o MFA, sugerimos alguns plugins gratuitos e bem simples de implementar:<\/p>\n Com esse tipo de tecnologia<\/a>, temos a seguran\u00e7a da confidencialidade no acesso ao nosso site.<\/p>\n Quem nunca errou uma senha em algum site e teve que comprovar que n\u00e3o era um rob\u00f4 por meio de um teste?<\/p>\n O CAPTCHA \u00e9 exatamente isso: uma valida\u00e7\u00e3o para evitar ataques do tipo Brute Force<\/a>. Faz com que voc\u00ea comprove que n\u00e3o \u00e9 um rob\u00f4, ao tentar diversos usu\u00e1rios e senhas diferentes at\u00e9 ter sucesso no acesso. Ainda na linha de prote\u00e7\u00e3o contra ataques voltados a acessos \u00e0s contas de usu\u00e1rios, tamb\u00e9m precisamos nos preocupar com o tratamento dos usu\u00e1rios na hora do login. Existem diversas t\u00e9cnicas para se obter os nomes dos usu\u00e1rios de um site, desde um simples chute, at\u00e9 a tentativa de intercepta\u00e7\u00e3o de uma sess\u00e3o (falaremos detalhadamente sobre isso mais tarde).<\/p>\n Uma simples mensagem de erro inocente, pode nos trazer informa\u00e7\u00f5es que um usu\u00e1rio existe e, a partir dele, podemos focar na descoberta de sua senha. Veja no exemplo abaixo: Este \u00e9 um exemplo muito simples. Existem diversas t\u00e9cnicas avan\u00e7adas para tentar extrair usu\u00e1rios – o que nos traz a no\u00e7\u00e3o de que tamb\u00e9m precisamos desta prote\u00e7\u00e3o.<\/p>\n A solu\u00e7\u00e3o \u00e9 uma configura\u00e7\u00e3o de incr\u00edveis TR\u00caS LINHAS DE C\u00d3DIGO no seu arquivo “htaccess”, que fazem com que os usu\u00e1rios sejam protegidos:<\/p>\n Desta forma, voc\u00ea consegue proteger seu site de diversos m\u00e9todos de extra\u00e7\u00e3o de listas de usu\u00e1rios.<\/p>\n Hoje, a utiliza\u00e7\u00e3o de SSL na navega\u00e7\u00e3o \u00e9 essencial, n\u00e3o s\u00f3 para prote\u00e7\u00e3o, mas tamb\u00e9m para reputa\u00e7\u00e3o do seu site.\u00a0Aqui<\/a> voc\u00ea pode ver mais detalhes e entender como implementar esta configura\u00e7\u00e3o na Umbler \ud83d\ude42<\/p>\n Ainda na linha da utiliza\u00e7\u00e3o de criptografia, o servi\u00e7o de FTP, tamb\u00e9m possui sua vers\u00e3o com SSL, se trata do SFTP.<\/p>\n Na mesma l\u00f3gica do HTTPS, o SFTP funciona em uma comunica\u00e7\u00e3o criptografada, onde os arquivos n\u00e3o conseguem ser interceptados, tornando assim as publica\u00e7\u00f5es no site mais seguras. As configura\u00e7\u00f5es s\u00e3o semelhantes, voc\u00ea s\u00f3 precisa contratar um servi\u00e7o de SFTP, ao inv\u00e9s de FTP. Aqui<\/a> voc\u00ea consegue ver mais informa\u00e7\u00f5es para fazer a publica\u00e7\u00e3o em seu site.<\/p>\n Al\u00e9m dessas dicas, \u00e9 muito importante refor\u00e7ar a import\u00e2ncia de rever suas rotinas de backup e as permiss\u00f5es em seus diret\u00f3rios de arquivos. Tenha uma senha forte e \u00e9 claro, mantenha sempre atualizada a vers\u00e3o do seu WordPress e de seus plugins.<\/p>\n Separamos algumas boas dicas para voc\u00ea preservar suas senhas. S\u00e3o tr\u00eas passos simples, mas podem fazer toda a diferen\u00e7a quando a quest\u00e3o \u00e9 seguran\u00e7a de informa\u00e7\u00f5es:<\/p>\n Pense em algo que voc\u00ea gosta<\/strong><\/p>\n Podem ser palavras, frases, m\u00fasicas, filmes, personagens, memes e etc. S\u00f3 precisa ser algo relevante, que gere empatia para voc\u00ea.<\/p>\n Una essas express\u00f5es<\/strong><\/p>\n Junte as palavras que voc\u00ea pensou para come\u00e7ar a montar sua senha.<\/p>\n Agora substitua algumas letras, por n\u00fameros que sejam semelhantes \u00e0s letras. Neste caso podemos usar o n\u00famero 1 para substituir a letra \u201cI\u201d e o n\u00famero 3 para substituir a letra \u201cE\u201d:<\/p>\n Use caracteres especiais em pontos-chave de sua senha como no \u00ednicio, fim ou at\u00e9 mesmo na intersec\u00e7\u00e3o das duas palavras, como por exemplo:<\/p>\n Se ficar muito grande, encurte<\/strong><\/p>\n Se sua senha ficar muito grande, voc\u00ea pode encurt\u00e1-la, mas lembre-se: uma senha segura possui, no m\u00ednimo, sete (7) caracteres, contendo letras mai\u00fasculas e min\u00fasculas, n\u00fameros e caracteres especiais \ud83d\ude42<\/p>\n![\"\"](\"https:\/\/blog.umbler.com\/wp-content\/uploads\/2017\/09\/5C5.gif\")
Quais s\u00e3o os ataques mais comuns?<\/h2>\n
Ent\u00e3o, chega de hist\u00f3ria e vamos \u00e0s dicas! \ud83d\ude42<\/strong><\/h2>\n
#1 MFA (Multi-Factor Authentication)<\/h3>\n
\nA ideia do MFA \u00e9 trabalhar com a verifica\u00e7\u00e3o de dois pontos:<\/p>\n\n
\n
#2 CAPTCHA<\/h3>\n
\n![\"\"](\"https:\/\/blog.umbler.com\/wp-content\/uploads\/2017\/09\/source.gif\")
\nPara CAPTCHA, temos alguns plugins legais e gratuitos tamb\u00e9m:<\/p>\n\n
\n
#3 Prote\u00e7\u00e3o dos nomes de usu\u00e1rios<\/h3>\n
\n![\"\"](\"https:\/\/blog.umbler.com\/wp-content\/uploads\/2017\/09\/user-blog_wp.png\")
\nNeste caso, temos um simples erro de falha no login. Por\u00e9m, ele informa que este usu\u00e1rio existe na base. Se o usu\u00e1rio n\u00e3o existisse, ele retornaria o erro abaixo:
\n![\"\"](\"https:\/\/blog.umbler.com\/wp-content\/uploads\/2017\/09\/user-blog2_wp.png\")
\nNeste caso, vemos que o usu\u00e1rio realmente n\u00e3o existe.<\/p>\nRewriteCond %{REQUEST_URI} ^\/$\r\nRewriteCond %{QUERY_STRING} ^\/?author=([0-9]*)\r\nRewriteRule ^(.*)$ https:\/\/exemplo-dominio.com\/? [L,R=301]\r\n<\/code><\/pre>\n#4 Implementa\u00e7\u00e3o de comunica\u00e7\u00e3o criptografada (HTTPS)<\/h3>\n
#5 Utiliza\u00e7\u00e3o de SFTP<\/h3>\n
[Bonus track]<\/em> Dicas imbat\u00edveis para senhas seguras<\/h3>\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
![\"Infogr\u00e1fico:](\"https:\/\/blog.umbler.com\/wp-content\/uploads\/2017\/09\/infografixo-seguran\u00e7a.jpg\")
<\/p>\n