Destaque do recurso do iThemes Security Pro - Ajustes do WordPress

Nas postagens do Destaque do Recurso, destacaremos um recurso do plug-in iThemes Security Pro e compartilharemos um pouco sobre por que desenvolvemos o recurso, para quem se destina e como usá-lo.

Hoje vamos cobrir o WordPress Tweaks, uma coleção de ferramentas para proteger o seu site WordPress.

Por que você deve usar os ajustes do WordPress

Uma das grandes vantagens do WordPress é a compatibilidade com ferramentas e serviços de terceiros. No entanto, se você não estiver aproveitando esses serviços, terá pontos de entrada desnecessários em seu site que um hacker poderia explorar.

O WordPress também oferece outras conveniências que permitiriam a um invasor amplificar um ataque de força bruta ou até mesmo fazer alterações maliciosas em arquivos armazenados em seu servidor.

Você deve usar as configurações do iThemes Security Pro WordPress Tweaks porque são um conjunto de ferramentas projetadas especificamente para proteger alguns dos pontos fracos potenciais do WordPress.

Como usar os ajustes do WordPress no iThemes Security Pro

Para começar a usar o WordPress Tweaks, clique no link Avançado no Menu de segurança.

Assim que estiver no menu Avançado. clique na guia Tweaks do WordPress .

As configurações de ajustes do WordPress

Os ajustes do WordPress são divididos em 2 seções, Acesso à API e Usuários. Vamos examinar mais de perto essas configurações.

Acesso API

1. XML-RPC

A configuração Desativar Editor de Arquivos desativa o editor de arquivos do WordPress para plug-ins e temas. Desativar o editor de arquivos do WordPress adiciona uma grande quantidade de segurança ao seu site.

Se um hacker conseguir entrar em seu site, o editor de arquivos WP permitirá que ele faça alterações maliciosas em arquivos armazenados em seu servidor. No entanto, se você desabilitar o editor de arquivos WP, o hacker ainda precisará das credenciais do servidor para fazer alterações maliciosas em seus plug-ins e temas.

O recurso XML-RPC do WordPress permite que serviços externos acessem e modifiquem o conteúdo do site. Por exemplo, o Jetpack requer XML-RPC para se conectar a sites WordPress e modificar o conteúdo.

A configuração XML-RPC no iThemes Security Pro tem 3 opções:

• Desativar XML-RPC - XML-RPC está desativado no site. Essa configuração é altamente recomendada se Jetpack, o aplicativo móvel WordPress, pingbacks e outros serviços que usam XML-RPC não são usados.
• Desabilitar Pingbacks - Desabilite apenas pingbacks. Outros recursos XML-RPC funcionarão normalmente. Selecione esta configuração se precisar de recursos como Jetpack ou o aplicativo WordPress Mobile.
• Ativar XML-RPC - XML-RPC está totalmente ativado e funcionará normalmente. Use esta configuração apenas se o site deve ter uso irrestrito de XML-RPC.

Recomendamos usar a opção Desativar XML-RPC se não estiver usando nenhum serviço que use XML-RPC.

2. Várias tentativas de autenticação por solicitação XML-RPC

Existem outras maneiras de fazer login no WordPress além de usar um formulário de login. Usando XML-RPC, um invasor pode fazer centenas de tentativas de nome de usuário e senha em uma única solicitação HTTP.

O método de amplificação de força bruta permite que os invasores façam milhares de tentativas de nome de usuário e senha usando XML-RPC em apenas algumas solicitações HTTP.

A configuração de Múltiplas tentativas de autenticação por solicitação XML-RPC no iThemes Security Pro tem duas opções:

• Bloquear - bloqueia solicitações XML-RPC que contêm várias tentativas de login. Essa configuração é altamente recomendada.
• Permitir - permite solicitações XML-RPC que contêm várias tentativas de login. Use esta configuração apenas se um serviço exigir.

O uso de várias tentativas de autenticação por opção de bloco de solicitação XML-RPC impedirá várias tentativas de autenticação por solicitação XML-RPC. Limitar o número de tentativas de nome de usuário e senha a um para cada solicitação ajudará muito a proteger seu login do WordPress.

3. API REST

A API REST do WordPress faz parte do WordPress e fornece aos desenvolvedores novas maneiras de gerenciar o WordPress.

Por padrão, a API REST pode ser usada para acessar informações que você pode acreditar serem privadas em seu site, incluindo:

• Postagens publicadas de todos os tipos de postagem, incluindo aquelas que não parecem postagens, como produtos ou programas para membros.
• Detalhes do usuário que podem incluir usuários que não possuem postagens ou páginas publicadas.
• Entradas da biblioteca de mídia que podem expor links para baixar mídia que não está publicamente vinculada em nenhum lugar. Isso pode incluir links para baixar conteúdo exclusivo para membros, backups criados por alguns plug-ins ou qualquer outro tipo de arquivo adicionado à biblioteca de mídia. (Observe que os backups BackupBuddy não são armazenados na biblioteca de mídia e não podem ser acessados ​​por meio da API REST.)

A configuração da API REST no iThemes Security Pro tem duas opções:

• Acesso restrito - acesso restrito à maioria dos dados da API REST. Isso significa que a maioria das solicitações exigirá um usuário conectado ou um usuário com privilégios específicos, bloqueando solicitações públicas de dados potencialmente privados. Recomendamos selecionar esta opção.
• Acesso padrão - o acesso aos dados da API REST é deixado como padrão. As informações, incluindo postagens publicadas, detalhes do usuário e entradas da biblioteca de mídia, estão disponíveis para acesso público.

Recomendamos o uso da opção Acesso restrito para limitar o acesso a informações privadas.

Comercial

1. Desative o Editor de Arquivos

A configuração Desativar Editor de Arquivos desativa o editor de arquivos do WordPress para plug-ins e temas. Desativar o editor de arquivos do WordPress adiciona uma grande quantidade de segurança ao seu site.

Se um hacker conseguir entrar em seu site, o editor de arquivos WP permitirá que ele faça alterações maliciosas em arquivos armazenados em seu servidor. No entanto, se você desabilitar o editor de arquivos WP, o hacker ainda precisará das credenciais do servidor para fazer alterações maliciosas em seus plug-ins e temas.

2. Forçar apelido exclusivo

A configuração Forçar apelido exclusivo força os usuários a escolher um apelido exclusivo ao atualizar seu perfil ou criar uma nova conta. Usar um apelido exclusivo evita que bots e invasores colham facilmente os nomes de usuário de login dos usuários do código nas páginas do autor. Observe que isso não atualiza automaticamente os usuários existentes, pois afetará os URLs de feed do autor, se usados.

Forçar os usuários a usar um apelido exclusivo é outro exemplo de segurança através da obscuridade. Seria melhor você habilitar os recursos de autenticação de dois fatores e Requisitos de senha do iThemes Security Pro para proteger seu login do WordPress.

3. Desativar arquivos de usuário extra

A configuração Desabilitar Arquivos Extra do Usuário no iThemes Security Pro torna mais difícil para os bots determinarem os nomes de usuário ao desabilitar os arquivos de postagem dos usuários que não postam no seu site.

Desativar a página do autor de um usuário se a contagem de postagens for 0 é outro exemplo de segurança através da obscuridade. Seria melhor habilitar os recursos de autenticação de dois fatores e Requisitos de senha do iThemes Security Pro para proteger seu login do WordPress.

4. Faça login com endereço de e-mail ou nome de usuário

Por padrão, o WordPress permite que os usuários façam login usando um endereço de e-mail ou nome de usuário. A configuração Login com endereço de e-mail ou nome de usuário permite restringir os logins para aceitar apenas endereços de e-mail ou nomes de usuário.

A configuração de Login com endereço de e-mail ou nome de usuário no iThemes Security Pro tem três opções:

• Endereço de e-mail e nome de usuário (padrão) - permite que os usuários façam login usando o endereço de e-mail ou nome de usuário de seu usuário. Este é o comportamento padrão do WordPress.
• Apenas endereço de e-mail - os usuários só podem fazer login usando o endereço de e-mail de seu usuário. Isso desativa o login usando um nome de usuário.
• Somente nome de usuário - os usuários só podem fazer login usando seu nome de usuário. Isso desativa o login usando um endereço de e-mail.

Limitar os logins a endereços de e-mail pode adicionar um pouco de proteção contra um ataque de força bruta. Embora um bot possa vasculhar a página do autor em busca de nomes de usuário, é menos provável que eles vasculhem um site em busca de endereços de e-mail de usuários.

Mas, novamente, seria melhor habilitar os recursos de autenticação de dois fatores e Requisitos de senha do iThemes Security Pro para proteger seu login do WordPress.

Conclusão: ajustes do WordPress para fortalecer a segurança do WordPress

Os ajustes do WordPress no iThemes Security Pro foram projetados especificamente para fortalecer a segurança do seu site WordPress. Com o plug-in iThemes Security Pro, você também pode adicionar essas camadas extras de segurança ao seu site, incluindo:

• Autenticação de dois fatores
• Logins sem senha
• Detecção de alteração de arquivo
• Proteção de força bruta local

Michael Moore

A cada semana, Michael elabora o Relatório de vulnerabilidade do WordPress para ajudar a manter seus sites seguros. Como Gerente de Produto da iThemes, ele nos ajuda a continuar melhorando a linha de produtos da iThemes. Ele é um nerd gigante e adora aprender sobre todas as coisas de tecnologia, antigas e novas. Você pode encontrar Michael saindo com sua esposa e filha, lendo ou ouvindo música quando não está trabalhando.