A cada dia que passa, ter um ambiente seguro na internet se torna mais e mais importante. Já não se trata de um diferencial, mas de uma necessidade: afinal, quem quer ter sua marca manchada por ataques, vazamentos de informação, pichação e afins?
As notícias são cada vez mais constantes: sites, e-mails e contas em redes sociais são constantemente hackeadas. Não precisamos ir muito longe. Há algumas semanas,tivemos o caso da HBO sendo atacada e tendo seus produtos (episódios de Game Of Thrones) vazados na internet.[/vc_column_text][wgl_spacing spacer_size=”15″][vc_column_text]E, quem não lembra do Wanna Cry, o vírus que atingiu em escala mundial diversas empresas, realizando um sequestro de dados? Este, por sinal foi matéria principal de grandes jornais, de diversas emissoras.
Hoje, com a disseminação de informações na internet, se tornou muito mais fácil realizar ataques a sites. Inclusive, existem diversos cursos de hacking e ferramentas gratuitas que ajudam a realizar essas ataques, ou até mesmo as executam para o usuário – sem que ele precise ter muito conhecimento técnico.
Então, chega de história e vamos às dicas! 
#1 MFA (Multi-Factor Authentication)
O MFA (Multi-Factor Authentication) está presente em nosso dia a dia em diversas plataformas, como serviços e-mail, Facebook, aplicativos de bancos, entre outros. Já está, inclusive,se tornando natural para o usuário final.
A ideia do MFA é trabalhar com a verificação de dois pontos:
- O que você sabe?Normalmente, uma senha.
- O que você tem?Um dispositivo confiável, que apenas você tenha acesso (geralmente, o seu celular), com um aplicativo que fornecerá um código de autenticação.
Observação: Em algumas tecnologias novas, também é solicitado “algo seu” como um terceiro fator de autenticação (geralmente, biometria).
Partindo desta ideia, você autentica com um usuário e senha (1) e recebe mais um segundo código (2), seja ele um número, uma palavra ou até mesmo um QR Code.
Para trabalhar com o MFA, sugerimos alguns plugins gratuitos e bem simples de implementar:
- Rublon – Atualmente, um dos principais plugins de MFA utilizados no WordPress.
- Authy – O Authy também é uma ótima opção gratuita. Porém, para continuar utilizando após o trial, você deve deixar um número de cartão de crédito cadastrado no aplicativo.
- Google Apps Login – O Google Apps Login é uma alternativa um pouco diferente, ideal para quem quer implementar a autenticação no modelo de SSO (Single Sing-On), junto com a suíte do Google. Por meio dele, o usuário se autentica em sua conta Google, que já possui MFA nativo e, a partir dela, pode realizar o login no WordPress.
Com esse tipo de tecnologia, temos a segurança da confidencialidade no acesso ao nosso site.
#2 CAPTCHA
Quem nunca errou uma senha em algum site e teve que comprovar que não era um robô por meio de um teste?
O CAPTCHA é exatamente isso: uma validação para evitar ataques do tipo Brute Force. Faz com que você comprove que não é um robô, ao tentar diversos usuários e senhas diferentes até ter sucesso no acesso. Para CAPTCHA, temos alguns plugins legais e gratuitos também:
- Better WordPress reCaptcha – Atuando no WordPress há mais de dois anos, o Better WordPress reCaptcha traz a clássica confirmação de “Não sou um robô”, onde o usuário precisa clicar no checkbox para marcar sua atividade ou até mesmo digitar algumas letras que são mostradas em uma figura.
- Login no Captcha reCaptcha – A diferença do Login no Captcha reCaptcha, para o Better WordPress, é que ele trabalha exclusivamente com um checkbox de confirmação do usuário e não possui a extensão para digitação de desafios de letras.
- Math Captcha – O Math Captcha segue uma linha um pouco diferente para confirmação: ele pede que o usuário insira o resultado de um cálculo simples que irá ser demonstrado para ele (por exemplo 2+2).
#3 Proteção dos nomes de usuários
Ainda na linha de proteção contra ataques voltados a acessos às contas de usuários, também precisamos nos preocupar com o tratamento dos usuários na hora do login. Existem diversas técnicas para se obter os nomes dos usuários de um site, desde um simples chute, até a tentativa de interceptação de uma sessão (falaremos detalhadamente sobre isso mais tarde).
Uma simples mensagem de erro inocente, pode nos trazer informações que um usuário existe e, a partir dele, podemos focar na descoberta de sua senha. Veja no exemplo abaixo:
Neste caso, temos um simples erro de falha no login.
Porém, ele informa que este usuário existe na base. Se o usuário não existisse, ele retornaria o erro abaixo:
Neste caso, vemos que o usuário realmente não existe.
Este é um exemplo muito simples. Existem diversas técnicas avançadas para tentar extrair usuários – o que nos traz a noção de que também precisamos desta proteção.
A solução é uma configuração de incríveis TRÊS LINHAS DE CÓDIGO no seu arquivo “htaccess”, que fazem com que os usuários sejam protegidos:
RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ https://exemplo-dominio.com/? [L,R=301]Desta forma, você consegue proteger seu site de diversos métodos de extração de listas de usuários.
#4 Implementação de comunicação criptografada (HTTPS)
Hoje, a utilização de SSL na navegação é essencial, não só para proteção, mas também para reputação do seu site.
#5 Utilização de SFTP
Ainda na linha da utilização de criptografia, o serviço de FTP, também possui sua versão com SSL, se trata do SFTP.
Na mesma lógica do HTTPS, o SFTP funciona em uma comunicação criptografada, onde os arquivos não conseguem ser interceptados, tornando assim as publicações no site mais seguras. As configurações são semelhantes, você só precisa contratar um serviço de SFTP, ao invés de FTP.
É muito importante reforçar a importância de rever suas rotinas de backup e as permissões em seus diretórios de arquivos. Tenha uma senha forte e é claro, mantenha sempre atualizada a versão do seu WordPress e de seus plugins.
