7 dicas para proteger usuários do WordPress em 2021

Publicados: 2021-03-16

A melhor maneira de proteger seus usuários do WordPress em 2021 é usando uma senha forte e autenticação de dois fatores. Isso parece muito simples, certo? A realidade é que a segurança do usuário do WordPress é um pouco mais sutil.

Sempre que falamos sobre segurança do usuário, muitas vezes ouvimos perguntas como, todos os usuários do WordPress devem ter os mesmos requisitos de segurança e o quanto segurança é segurança demais?

Não se preocupe. Nós respondemos a todas essas perguntas. Mas, primeiro, vamos falar sobre os diferentes tipos de usuários do WordPress.

Quais são os diferentes tipos de usuários do WordPress?

Existem 5 usuários padrão diferentes do WordPress.

Administrador
editor
Autor
Contribuinte
Assinante

Observação: os vários sites do WordPress têm um sexto usuário. O Super administrador tem todo o acesso aos recursos de administração de rede do site e todos os outros recursos. Eles podem criar e remover sites na rede, bem como gerenciar os usuários, plug-ins e temas da rede.

Cada usuário possui recursos diferentes. Os recursos determinam o que eles podem fazer ao acessar o painel. Leia mais sobre as funções e permissões do usuário do WordPress.

O dano potencial de diferentes usuários WP hackeados

Antes que possamos entender como proteger nossos usuários do WordPress, devemos primeiro entender o nível de ameaça de cada tipo de usuário comprometido. O tipo e o nível de dano que um invasor pode infligir varia muito, dependendo das funções e capacidades do usuário que ele hackear.

Administrador - Nível de ameaça alto

Os usuários administradores podem fazer o que quiserem.

Crie, remova e modifique usuários.
Instale, remova e edite plug-ins e temas.
Crie, remova e edite todas as postagens e páginas.
Publique e cancele a publicação de postagens e páginas.
Adicione e remova mídia.

Se um hacker conseguir colocar as mãos em um dos administradores do seu site, ele poderá retê-lo como resgate. Ransomware se refere a quando um hacker assume o controle do seu site e não o libera de volta para você, a menos que você pague uma taxa pesada.

Se um hacker conseguir colocar as mãos em um dos administradores do seu site, ele poderá retê-lo como resgate. Ransomware se refere a quando um hacker assume o controle do seu site e não o libera de volta para você, a menos que você pague uma taxa pesada.

O tempo médio de inatividade de um ataque de ransomware é de 9,5 dias. Quanta receita custaria 10 dias sem vendas NENHUMA?

Editor - Nível de ameaça alto

O Editor gerencia todo o conteúdo do site. Esses usuários ainda têm um pouco de poder.

Crie, exclua e edite todas as postagens e páginas.
Publique e cancele a publicação de todos os posts e páginas.
Faça upload de arquivos de mídia.
Gerenciar todos os links.
Gerenciar comentários.
Gerenciar categorias.

Se um invasor assumir o controle de uma conta do Editor, ele pode modificar uma de suas páginas para usar em um ataque de phishing. Phishing é um tipo de ataque usado para roubar dados do usuário, incluindo credenciais de login e números de cartão de crédito.

Phishing é uma das maneiras mais seguras de colocar seu site na lista negra do Google. A cada dia, 10.000 sites entram na lista de bloqueio do Google por vários motivos.

Nota: O iThemes Security Site Scan realiza verificações diárias no status da lista de bloqueio do Google em seu site.

Autor - Nível Médio de Ameaça

O autor foi projetado para criar e gerenciar seu próprio conteúdo.

Crie, exclua e edite seus próprios posts e páginas.
Publique e cancele a publicação de suas próprias postagens.
Carregar arquivos de mídia

Se um invasor obtiver o controle da conta de um Autor, ele pode criar páginas e postagens que enviam os visitantes do seu site a sites maliciosos.

Contribuidor e assinante - baixo nível de ameaça

O Colaborador é a versão simplificada da função de usuário Autor. Eles não têm poder de publicação.

Crie e edite suas próprias postagens.
Exclua suas próprias postagens não publicadas.

O Assinante pode ler coisas que os outros usuários publicam.

Embora os hackers com função de Contribuidor ou Assinante não possam fazer alterações maliciosas, eles podem roubar qualquer informação sensível armazenada na conta do usuário ou página de perfil.

7 dicas para proteger seus usuários do WordPress

Ok, isso é uma coisa bem desagradável que hackers podem fazer em nossos sites. A boa notícia é que a maioria dos ataques às contas de usuário do WordPress podem ser evitados com apenas um pequeno esforço de sua parte.

Vamos dar uma olhada nas coisas que você pode fazer para proteger seus usuários do WordPress. A verdade é que esses métodos de segurança ajudarão a proteger todo tipo de usuário do WordPress. Mas, à medida que examinamos cada um dos métodos, informaremos quais usuários você deve exigir para usar o método.

1. Apenas dê às pessoas as capacidades de que precisam

A maneira mais fácil de proteger seu site é fornecer aos usuários os recursos de que eles precisam e nada mais. Se a única coisa que alguém vai fazer em seu site é criar e editar suas próprias postagens de blog, eles não precisam da capacidade de editar as postagens de outras pessoas.

2. Limite as tentativas de login

Ataques de força bruta referem-se a um método de tentativa e erro usado para descobrir combinações de nome de usuário e senha para invadir um site. Por padrão, não há nada embutido no WordPress para limitar o número de tentativas de login malsucedidas que alguém pode fazer.

Sem um limite para o número de tentativas de login malsucedidas, um invasor pode fazer, eles podem continuar tentando um número infinito de nomes de usuário e senhas até que tenham sucesso.

O recurso de proteção contra força bruta local do iThemes Security Pro mantém registros de tentativas de login inválidas feitas por endereços IP e nomes de usuário. Quando um IP ou nome de usuário fizer muitas tentativas consecutivas de login inválido, ele será bloqueado e impedido de fazer mais tentativas de login.

3. Proteja os usuários do WordPress com senhas fortes

Quanto mais forte for a senha da sua conta de usuário do WordPress, mais difícil será adivinhá-la. Leva 0,29 milissegundos para quebrar uma senha de sete caracteres. Mas, um hacker precisa de dois séculos para quebrar uma senha de doze caracteres!

Idealmente, uma senha forte é uma sequência alfanumérica de doze caracteres. A senha deve conter letras maiúsculas e minúsculas, bem como outros caracteres ASCII.

Embora todos possam se beneficiar com o uso de uma senha forte, você pode querer apenas forçar as pessoas com recursos de nível de autor ou superior a ter senhas fortes.

O recurso de Requisito de senha do iThemes Security Pro permite que você force usuários específicos a usar uma senha forte.

4. Recuse senhas comprometidas

Embora 91% das pessoas saibam que reutilizar senhas não é uma prática, 59% das pessoas ainda reutilizam suas senhas em todos os lugares! Muitas dessas pessoas ainda estão usando senhas que sabem que apareceram em um despejo de banco de dados.

Os hackers usam uma forma de ataque de força bruta chamada de ataque de dicionário. Um ataque de dicionário é um método de invadir um site WordPress com senhas comumente usadas que aparecem em despejos de banco de dados. A “Coleção nº 1? A violação de dados hospedada no MEGA hospedado incluiu 1.160.253.228 combinações exclusivas de endereços de e-mail e senhas. Isso é bilhão com um b. Esse tipo de pontuação realmente ajudará um ataque de dicionário a restringir as senhas do WordPress mais comumente usadas.

É fundamental evitar que usuários com recursos de nível de Autor e superiores usem senhas comprometidas. Você também pode pensar em não permitir que seus usuários de nível inferior usem senhas comprometidas.

É totalmente compreensível e encorajado a tornar a criação de uma nova conta de cliente o mais fácil possível. No entanto, seu cliente pode não saber que a senha que está usando foi encontrada em um despejo de dados. Você estaria prestando um grande serviço ao seu cliente, alertando-o sobre o fato de que a senha que ele está usando foi comprometida. Se eles estiverem usando essa senha em todos os lugares, você poderá evitá-los de grandes dores de cabeça no futuro.

O recurso Recusar senhas comprometidas do iThemes Security Pro força os usuários a usar senhas que não tenham aparecido em nenhuma violação de senha rastreada por Have I Been Pwned.

5. Proteja os usuários do WordPress com autenticação de dois fatores

A autenticação de dois fatores é um processo de verificação da identidade de uma pessoa, exigindo dois métodos separados de verificação. O Google compartilhou em seu blog que o uso de autenticação de dois fatores pode impedir 100% dos ataques de bot automatizados. Eu realmente gosto dessas probabilidades.

No mínimo, você deve exigir que seus administradores e editores usem a autenticação de dois fatores.

O recurso de autenticação de dois fatores do iThemes Security Pro oferece muita flexibilidade ao implementar 2fa em seu site. Você pode habilitar dois fatores para todos ou alguns de seus usuários e pode forçar seus usuários de alto nível a usar 2fa em cada login.

6. Limite o acesso do dispositivo ao painel WP

Limitar o acesso ao painel do WordPress a um conjunto de dispositivos pode adicionar uma forte camada de segurança ao seu site. Se um hacker não estiver no dispositivo correto para um usuário, ele não poderá usar o usuário comprometido para infligir danos ao seu site.

Você só deve limitar o acesso do dispositivo aos seus Administradores e Editores.

O recurso Dispositivos confiáveis iThemes Security Pro identifica os dispositivos que você e outros usuários usam para fazer login no seu site WordPress. Quando um usuário faz login em um dispositivo não reconhecido, os Dispositivos confiáveis podem restringir seus recursos de nível de administrador. Isso significa que se um invasor conseguisse invadir o back-end do seu site WordPress, ele não teria a capacidade de fazer alterações maliciosas em seu site.

7. Proteja os usuários do WordPress contra sequestro de sessão

O WordPress gera um cookie de sessão toda vez que você faz login em seu site. E digamos que você tenha uma extensão de navegador que foi abandonada pelo desenvolvedor e não está mais lançando atualizações de segurança. Infelizmente para você, a extensão do navegador negligenciada tem uma vulnerabilidade. A vulnerabilidade permite que atores mal-intencionados sequestrem os cookies do seu navegador, incluindo o cookie de sessão do WordPress mencionado anteriormente. Esse tipo de hack é conhecido como Session Hijacking . Portanto, um invasor pode explorar a vulnerabilidade da extensão para pegar carona em seu login e começar a fazer alterações maliciosas com seu usuário do WordPress.

Você deve ter proteção contra sequestro de sessão em vigor para seus administradores e editores.

O recurso de dispositivos confiáveis do iThemes Security Pro torna o sequestro de sessão uma coisa do passado. Se o dispositivo de um usuário for alterado durante uma sessão, o iThemes Security desconectará automaticamente o usuário para evitar qualquer atividade não autorizada na conta do usuário, como alterar o endereço de e-mail do usuário ou enviar plug-ins maliciosos.

Empacotando

A popularidade do WordPress o torna um alvo para hackers em todo o mundo. Como discutimos, um invasor pode causar danos ao hackear até mesmo o nível mais baixo de usuário do WordPress. A boa notícia é que, embora não haja como evitar ataques aos usuários do WordPress, com um pouco de esforço de nossa parte, podemos evitar que os ataques sejam bem-sucedidos.

Michael Moore

A cada semana, Michael elabora o Relatório de vulnerabilidade do WordPress para ajudar a manter seus sites seguros. Como Gerente de Produto da iThemes, ele nos ajuda a continuar melhorando a linha de produtos da iThemes. Ele é um nerd gigante e adora aprender sobre todas as coisas de tecnologia, antigas e novas. Você pode encontrar Michael saindo com sua esposa e filha, lendo ou ouvindo música quando não está trabalhando.