{"id":421,"date":"2016-02-17T09:30:37","date_gmt":"2016-02-17T11:30:37","guid":{"rendered":"https:\/\/blog.umbler.com\/?p=421"},"modified":"2018-12-06T11:16:44","modified_gmt":"2018-12-06T13:16:44","slug":"dicas-para-um-wordpress-mais-seguro-senhas-fortes-e-dupla-autenticacao","status":"publish","type":"post","link":"https:\/\/blog.umbler.com\/br\/dicas-para-um-wordpress-mais-seguro-senhas-fortes-e-dupla-autenticacao\/","title":{"rendered":"Dicas para um WordPress mais seguro: senhas fortes e dupla autentica\u00e7\u00e3o"},"content":{"rendered":"

Iniciamos hoje uma parceria com a Apiki<\/strong>, a maior refer\u00eancia em WordPress<\/a> no Brasil, e destacaremos, aqui no Blog da Umbler, alguns dos principais posts sobre a ferramenta. Para come\u00e7ar, falaremos sobre um assunto important\u00edssimo para o CMS mais utilizado no mundo: seguran\u00e7a<\/a>. A Apiki lan\u00e7ou uma iniciativa focada em Seguran\u00e7a para WordPress<\/a> chamada #WordPressSeguro<\/strong>, com informa\u00e7\u00f5es para garantir a seguran\u00e7a de sites nesta plataforma. S\u00e3o diversos pontos abordados, desde pequenos comportamentos a serem adotados em usos di\u00e1rios, at\u00e9 implementa\u00e7\u00f5es mais complexas.<\/p>\n

O primeiro passo que voc\u00ea deve dar rumo a uma instala\u00e7\u00e3o segura \u00e9 usar usu\u00e1rios e senhas fortes, que dificultem ataques de for\u00e7a bruta. Confira as recomenda\u00e7\u00f5es da Apiki:<\/p>\n

Voc\u00ea deveria dar mais aten\u00e7\u00e3o \u00e0s suas senhas. Sim, no plural. O recomendado \u00e9 uma espec\u00edfica para cada servi\u00e7o, nada de compartilhar. Adote aplicativos para ajudar com isso.
\nUma senha forte protege sua conta, privacidade<\/a> e previne ataques direcionados ou automatizados. Uma senha fraca \u00e9 a maneira mais f\u00e1cil de comprometer sistemas, dentre eles o WordPress.
\nEm situa\u00e7\u00f5es direcionadas, o atacante usar\u00e1 engenharia social para tentar descobrir sua senha. Azar o seu se fizer uso de coisas \u00f3bvias como data de nascimento, CPF e etc. Em casos automatizados \u00e9 feito o uso de dicion\u00e1rios de senhas para combina\u00e7\u00e3o com usu\u00e1rios e validar cada possibilidade. A cada ano assistimos senhas superfracas serem as mais utilizadas.<\/p><\/blockquote>\n

Ingredientes para os ataques de for\u00e7a bruta<\/h2>\n

O acesso \u00e0 administra\u00e7\u00e3o do WordPress, assim como todo sistema restrito, requer uma combina\u00e7\u00e3o de nome de usu\u00e1rio e senha. Um ataque de for\u00e7a bruta \u00e9 uma pr\u00e1tica muito comum que visa tentar adivinhar os dados de acesso atrav\u00e9s de tentativa e erro. H\u00e1 v\u00e1rias t\u00e9cnicas para coibir as tentativas, mas no contexto deste artigo a melhor delas \u00e9 n\u00e3o fazer uso do usu\u00e1rio \u201cadmin\u201d e principalmente ter uma senha forte.<\/p>\n

Tudo \u00e9 automatizado com o uso de ferramentas, dicion\u00e1rios de senhas comumente utilizadas e nomes de usu\u00e1rios comuns ou desvendados. E, quando encontram sites com a combina\u00e7\u00e3o de usu\u00e1rio \u201cadmin\u201d e outros descobertos, al\u00e9m de senhas fracas que constam em seus dicion\u00e1rios, os resultados s\u00e3o o ganho do acesso \u00e0 administra\u00e7\u00e3o do seu site e liberdade para fazer a festa.<\/p>\n

N\u00e3o fa\u00e7a uso do usu\u00e1rio \u201cadmin\u201d<\/h3>\n

N\u00e3o utilizar o usu\u00e1rio \u201cadmin\u201d, muito usado em ataques de for\u00e7a bruta, \u00e9 uma boa pr\u00e1tica de seguran\u00e7a e sua remo\u00e7\u00e3o pode ser feita via interface administrativa do WP, plugins ou alterando o banco de dados.<\/p>\n

Via interface administrativa \u00e9 o caminho mais simples. Crie um novo usu\u00e1rio com a fun\u00e7\u00e3o Administrador. Fa\u00e7a logout e acesse novamente com o novo usu\u00e1rio criado. Delete o usu\u00e1rio \u201cadmin\u201d. Transfira os conte\u00fados para o novo usu\u00e1rio e pronto.<\/p>\n

Recursos nativos da plataforma para o aux\u00edlio de seguran\u00e7a<\/h2>\n
\"Exemplo
Exemplo de uso de senha forte e do medidor de n\u00edvel de senha do WordPress<\/figcaption><\/figure>\n

A cada vers\u00e3o disponibilizada novos recursos t\u00eam sido lan\u00e7ados para aumentar a seguran\u00e7a do usu\u00e1rio e ajud\u00e1-lo na gest\u00e3o de sua senha. Acredita-se, ainda, que novas melhorias precisam ser implementadas.<\/p>\n

Na imagem acima \u00e9 exibido um exemplo do medidor de n\u00edvel de senha do WP e o uso de uma senha forte. Os n\u00edveis s\u00e3o fraco, m\u00e9dio e forte. Para Leandro, o ideal seria \u201cque a plataforma de forma nativa n\u00e3o permitisse o uso de senha se n\u00e3o de n\u00edvel forte\u201d.<\/p>\n

Abaixo a imagem ilustra a op\u00e7\u00e3o de logout remoto. Um recurso que permite fechar uma sess\u00e3o iniciada em outros lugares. \u00c9 muito \u00fatil para quem perdeu o computador, celular ou fez uso de um p\u00fablico.<\/p>\n

\"Exemplo
Exemplo da op\u00e7\u00e3o de Logout remoto do WordPress<\/figcaption><\/figure>\n

Todas as senhas s\u00e3o criptografadas e o padr\u00e3o pode ser \u00fanico para cada instala\u00e7\u00e3o. No arquivo wp-config.php h\u00e1 constantes PHP que armazenam hashes que s\u00e3o utilizados pela aplica\u00e7\u00e3o nas tratativas de senha e criptografia. O WordPress.org disponibiliza uma API que geram esses c\u00f3digos atrav\u00e9s do servi\u00e7o secret-key.<\/p>\n

\"Exemplo
Exemplo de retorno do servi\u00e7o secret-key do WordPress.org<\/figcaption><\/figure>\n

Al\u00e9m de usu\u00e1rios e senhas seguras, outra medida de seguran\u00e7a que deve ser implementada em sites em WordPress \u00e9 autentica\u00e7\u00e3o em dois passos, uma medida f\u00e1cil de ser instalada. O Leandro Vieira, da Apiki, fez um relato muito bom sobre a implementa\u00e7\u00e3o desta medida de seguran\u00e7a:<\/p>\n

Para se autenticar no WordPress, voc\u00ea faz uso de senha. Sua senha \u00e9 algo que podemos afirmar que voc\u00ea sabe. Implementando a camada de autentica\u00e7\u00e3o de dois fatores, al\u00e9m de usar o que voc\u00ea sabe, a sua senha, ser\u00e1 feito o uso tamb\u00e9m de algo que voc\u00ea tenha \u2013 nesse contexto, um dispositivo m\u00f3vel ou algum outro.<\/p><\/blockquote>\n

As possibilidades de identifica\u00e7\u00e3o de usu\u00e1rio<\/h2>\n

Como usu\u00e1rio de sistema, voc\u00ea pode ser identificado atrav\u00e9s de tr\u00eas fatores:<\/p>\n

    \n
  1. Quem \u00e9 voc\u00ea?<\/li>\n
  2. O que voc\u00ea tem?<\/li>\n
  3. O que voc\u00ea sabe?<\/li>\n<\/ol>\n

    Quem \u00e9 voc\u00ea?<\/h3>\n

    Cada ser humano \u00e9 \u00fanico e algumas propriedades ajudam nessa identifica\u00e7\u00e3o, como DNA, retinas, impress\u00f5es digitais e qualquer outra coisa espec\u00edfica de um indiv\u00edduo \u2013 as chamadas informa\u00e7\u00f5es biom\u00e9tricas.<\/p>\n

    O TouchID lan\u00e7ado pela Apple \u00e9 um exemplo de autentica\u00e7\u00e3o que faz uso de impress\u00f5es digitais se baseando no \u201cQuem \u00e9 voc\u00ea\u201d. Informa\u00e7\u00f5es biom\u00e9tricas n\u00e3o s\u00e3o perdidas ou esquecidas pelos usu\u00e1rios, mas s\u00e3o problem\u00e1ticas porque n\u00e3o podemos reset\u00e1-las. O TouchID armazena suas impress\u00f5es digitais localmente em seu aparelho, ao contr\u00e1rio de um banco de dados nas nuvens evitando um poss\u00edvel ganho dessas informa\u00e7\u00f5es por hackers.<\/p>\n

    O que voc\u00ea tem?<\/h3>\n

    Dispositivos como celulares e smartphones, por exemplo, s\u00e3o algo que temos e que podem ser utilizados no processo de identifica\u00e7\u00e3o. Autentica\u00e7\u00f5es de dois fatores modernas fazem uso desses aparelhos, nos quais um c\u00f3digo \u00fanico \u00e9 enviado ao usu\u00e1rio ap\u00f3s digitar sua senha, provando assim que ele tem o telefone.<\/p>\n

    Os c\u00f3digos s\u00e3o comumente enviados via SMS, mas, por n\u00e3o ser um canal de comunica\u00e7\u00e3o segura, aplicativos e plugins t\u00eam sido desenvolvidos para trabalharem de forma segura e moderna no processo de autentica\u00e7\u00e3o.<\/p>\n

    O que voc\u00ea sabe?<\/h3>\n

    Sua senha ou o fator de conhecimento \u00e9 o m\u00e9todo de autentica\u00e7\u00e3o mais conhecido. E para se dar bem com ela \u00e9 preciso que voc\u00ea fa\u00e7a sua parte criando senhas fortes e que o provedor da aplica\u00e7\u00e3o adote boas pr\u00e1ticas de seguran\u00e7a para o armazenamento delas.<\/p>\n

    Armazenar as senhas de forma criptografada \u00e9 preciso para n\u00e3o deix\u00e1-las expostas a hackers e gestores de banco de dados. O WordPress codifica as senhas baseado nas chaves secretas armazenadas no wp-config.php.<\/p>\n

    Al\u00e9m disso, \u00e9 poss\u00edvel, e desejado, realizar a comunica\u00e7\u00e3o de uso das senhas dos usu\u00e1rios e do uso da administra\u00e7\u00e3o do WordPress em ambiente seguro. Basta fazer uso das constantes abaixo no arquivo wp-config.php para orientar a aplica\u00e7\u00e3o de seu uso e, claro, ter um certificado dispon\u00edvel para seu dom\u00ednio.<\/p>\n

    define( \u2018FORCE_SSL_LOGIN\u2019, true );<\/code><\/pre>\n
    For\u00e7a o uso somente do login em ambiente<\/p>\n
    segurodefine( \u2018FORCE_SSL_ADMIN\u2019, true );<\/code><\/pre>\n
    For\u00e7a o uso do login e administra\u00e7\u00e3o em ambiente seguro.<\/p>\n
    Plugins para autentica\u00e7\u00e3o<\/h2>\n
    Para implementar a dupla autentica\u00e7\u00e3o no WordPress \u00e9 poss\u00edvel utilizar uma s\u00e9rie de plugins. Para compreender os benef\u00edcios e casos onde cada um pode ser melhor, a Apiki fez uma s\u00e9rie de testes em 2015, que voc\u00ea pode conferir na tabela abaixo:<\/p>\n\n\n\n\n\n\n\n\n\n\n
    <\/th>\nGratuito<\/th>\nSuporte a Multisite<\/th>\nConfigura\u00e7\u00e3o de fun\u00e7\u00f5es (roles) de usu\u00e1rios<\/th>\nM\u00e9todos de autentica\u00e7\u00e3o<\/th>\n<\/tr>\n<\/thead>\n
    Authy<\/a><\/td>\nSim. Mas requer um cart\u00e3o de cr\u00e9dito v\u00e1lido ap\u00f3s o trial.<\/td>\nSim. Mas n\u00e3o possui configura\u00e7\u00e3o global na rede.<\/td>\nSim<\/td>\nSMS e Aplicativos (iOS, Android, BlackBerry, OSX, Windows, Linux)<\/td>\n<\/tr>\n
    Clef<\/a><\/td>\nSim<\/td>\nSim. Possui configura\u00e7\u00e3o global na rede.<\/td>\nSim<\/td>\nAplicativos (iOS e Android)<\/td>\n<\/tr>\n
    Duo<\/a><\/td>\nN\u00e3o oferece suporte multisite, testes n\u00e3o realizados.<\/td>\n<\/tr>\n
    Google Authenticator<\/a><\/td>\nN\u00e3o oferece suporte multisite, testes n\u00e3o realizados.<\/td>\n<\/tr>\n
    Rublon<\/a><\/td>\nSim<\/td>\nSim. Mas n\u00e3o possui configura\u00e7\u00e3o global na rede.<\/td>\nSim<\/td>\nE-mail e aplicativo (iOS, Android e Windows Phone)<\/td>\n<\/tr>\n
    WordFence<\/a><\/td>\nOferece vers\u00e3o gratuita para o recurso de autentica\u00e7\u00e3o de dois fatores, testes n\u00e3o realizados.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
    Implementar plugins de dupla autentica\u00e7\u00e3o \u00e9 como criar uma camada extra de prote\u00e7\u00e3o. Utilizar senhas fortes e n\u00e3o utilizar o usu\u00e1rio \u201cadmin\u201d, por exemplo, s\u00e3o comportamentos simples que podem evitar ataques. Entre diversas possibilidades de prote\u00e7\u00e3o para seu site em WordPress, \u00e9 importante analisar o cen\u00e1rio em que ele se encontra (quantidade de acessos, volume de informa\u00e7\u00f5es, banco de dados, etc.) e quais s\u00e3o suas necessidades (prote\u00e7\u00e3o de informa\u00e7\u00e3o de usu\u00e1rios, riscos de ataques espec\u00edficos, entre outros). S\u00f3 assim \u00e9 poss\u00edvel garantir seguran\u00e7as mais efetivas.<\/p>\n
    Para saber mais<\/h2>\n
    Confira na \u00edntegra os artigos sobre senhas fortes e dupla autentica\u00e7\u00e3o produzidos pela Apiki<\/a>:<\/p>\n