Proteção por senha do WordPress – um guia completo
Publicados: 2022-08-02Este é um guia 'final' ou abrangente para a proteção por senha do WordPress para administradores e proprietários de sites de negócios. Ele foi escrito para aqueles que gerenciam ou são administradores de sites WordPress.
Funções à parte, a próxima segurança de site WordPress mais vulnerável e facilmente reforçada é o uso de senhas, de acordo com o WordPress e os fornecedores de software de segurança. Armado com credenciais de login, alguém poderia acessar seu site e todas as configurações e dados disponíveis no painel do WordPress. Um usuário logado pode se passar por você, adicionar, alterar ou excluir itens, desfigurar seu site e arruinar seus negócios.
Esta postagem de blog fornece uma série de diretrizes de práticas recomendadas para ajudá-lo a estabelecer uma proteção segura por senha do WordPress em toda a sua organização e instruir seus usuários sobre seu uso.
Índice
- Estabeleça uma política de segurança de senha forte
- Como é uma senha forte?
- Funções de usuário do WordPress e suas implicações de segurança
- Instale as ferramentas e plugins corretos de segurança de senha do WordPress
- Defina um bom exemplo para a proteção por senha do WordPress
- Empregar um gerenciador de senhas
- Os benefícios de usar um gerenciador de senhas
- Ativar autenticação de dois fatores ou multifator
- Eduque seus usuários na proteção por senha do WordPress
- Fale sobre as violações de dados dignas de notícia
- Aplique sua política de senha forte
- Atividades do administrador para segurança de senha do WordPress
- Enfatize os benefícios de redução de estresse e economia de tempo de usar um gerenciador de senhas
- Enfatize o investimento que vale a pena em uma forte segurança de senha do WordPress
- Estabeleça outras salvaguardas relevantes
Estabeleça uma política de segurança de senha forte
Como administrador do site WordPress, você tem a oportunidade e a responsabilidade de aplicar uma política de senha forte aos seus usuários. Ao fazer isso, você protegerá sua organização, seus sites, dados, funcionários e outros usuários de uma série de ataques.
- No caso de uma empresa e seus funcionários internos, os funcionários de marketing precisarão acessar o site WordPress para criar e editar páginas do site e postagens do blog, enquanto outros precisarão apenas de acesso para moderar e responder a comentários. Por outro lado, os funcionários de gerenciamento de contas de clientes ou de atendimento ao cliente precisarão de níveis variados de acesso às contas de clientes para responder aos tickets de suporte. Nesse caso, a maioria dos usuários internos da equipe não precisará acessar as contas dos clientes, embora alguns precisem. Aqueles que trabalham no suporte de TI podem precisar de acesso a alguns aspectos das contas dos clientes, embora não a todos.
- Vamos pensar no outro ponto de vista, o dos usuários externos em um site WordPress de comércio eletrônico. Eles podem precisar fazer login para gerenciar sua conta, fazer uma compra, acompanhar o status de uma entrega ou devolução ou entrar em contato com o suporte ao cliente. Esses mesmos usuários não devem ter acesso para criar ou excluir páginas da Web, por exemplo, ou visualizar a conta e os detalhes financeiros de outros clientes. Em alguns casos, os sites de comércio eletrônico não exigem que os usuários criem uma conta e façam login, pois às vezes pode ser uma barreira para obter uma venda.
Por que toda essa consideração é necessária? Os usuários já não sabem como criar e usar senhas seguras?
O usuário médio de computador não está bem informado sobre a proteção por senha do WordPress ou a segurança de senha do WordPress em geral. É provável que eles tenham uma atitude negligente com seus próprios dados on-line e considerem o gerenciamento de credenciais de login estressante (tudo o que discutiremos mais tarde), e eles as anotam em notas adesivas e as colam em seus monitores!
Além disso:
- Os bots de adivinhação de senhas estão se tornando mais sofisticados
- Hackers maliciosos ainda usam força bruta e ataques de dicionário
Atividades nefastas se tornam muito mais fáceis para hackers mal-intencionados se eles já tiverem as informações pessoais, como nomes reais, que provavelmente farão parte de uma senha fraca.
Como é uma senha forte?
- Senhas mais longas – Como regra geral, quanto mais curta a senha, mais suscetível ela é a um ataque de força bruta ou de dicionário. O melhor conselho atual é definir um comprimento mínimo de 16 caracteres para sua senha e permitir espaços. Alguns geradores de senha permitem que os usuários personalizem o comprimento da senha segura e aleatória que eles criam.
- Senhas mistas – Use uma combinação aleatória de caracteres (maiúsculas e minúsculas), números e caracteres especiais. Isso protegerá sua senha contra ataques de dicionário. Evite palavras de dicionário e padrões de letras ou números, substituindo letras por números ('@' em vez de 'a', '0' em vez de 'O' incluindo sequências de teclado (qwerty).
- Senhas aleatórias – Mantenha suas senhas não relacionadas a você. Não use nenhuma parte do seu nome, ou o nome de um animal de estimação, criança ou outro parente. Não use seu DOB, endereço postal ou qualquer outra informação pública que um hacker mal-intencionado possa conectar facilmente a você. Além disso, evite usar informações que um colega ou conhecido possa adivinhar, como apelidos.
- Alteração de senhas – Redefina suas senhas regularmente (recomenda-se a cada três meses). Isso reinicia o relógio em qualquer tentativa de força bruta e mantém você à frente dos avanços na tecnologia antiética de hackers.
- Senhas diferentes – Tenha uma senha diferente para cada site. Dessa forma, se um for violado, os outros ainda estarão seguros. Use um gerenciador de senhas diariamente para armazená-los, atualizá-los e usá-los.
- Senhas salvas – Não use a configuração do navegador, laptops ou pastas compartilhadas para salvar suas senhas caso seu computador seja hackeado ou roubado. É para isso que serve um gerenciador de senhas!
Funções de usuário do WordPress e suas implicações de segurança
A configuração de funções tem enormes implicações na segurança do site WordPress. Como regra geral, a segurança do WordPress deve aumentar em proporção direta ao nível de informações confidenciais contidas ou trocadas no site.
Primeiro, vamos ver as funções do Administrador:
- Super administradores – atribuídos a proprietários de vários sites usando o WordPress Multisite Network, ele oferece exatamente as mesmas permissões que a função de administrador
- Administrador – atribuído automaticamente a um proprietário/criador de site na instalação, dá a você controle total sobre um site, incluindo exclusão, eles podem: instalar, editar e excluir temas e plugins; executar atualizações e atualizações; criar, editar e excluir páginas e postagens de blog; adicionar, editar e excluir usuários, incluindo outros Administradores; e adicionar, editar e excluir mídia
Todas as outras funções de usuário, listadas em ordem decrescente de alcance de autoridade são:
- Editor – pode adicionar, editar e excluir novas páginas, postagens de blog, mídia; criar categorias e tags; publicar conteúdo escrito por eles mesmos e outros; e comentários moderados
- Autor – pode adicionar, editar e publicar apenas seu próprio conteúdo; carregar mídia; e atribuir categorias e tags existentes às postagens do blog
- Colaborador – pode adicionar e editar apenas seu próprio conteúdo; e atribuir categorias e tags existentes às suas próprias postagens de blog
- Assinante – só pode atualizar seu próprio perfil de usuário; leia o conteúdo dos outros; e adicione comentários
Seguindo o princípio do privilégio mínimo, ao definir funções para delegar tarefas no WordPress, evite dar acesso a qualquer outra pessoa (Super) Administrador, a menos que ela precise ter esse nível de controle sobre um site, seus recursos e usuários. Como os leitores podem ver o 'publicado por' (nome de usuário) em seu site, os administradores - como um nível extra de precaução - devem configurar um usuário Editor extra para si mesmos e fazer login com a conta (Super) Administrador quando precisarem executar essas tarefas de nível superior. Isso significa que hackers mal-intencionados têm ainda menos informações nas quais confiar se estiverem contemplando um ataque de força bruta.
Para obter mais informações, consulte Como usar as funções de usuário do WordPress para melhorar a segurança do WordPress.
Instale as ferramentas e plugins corretos de segurança de senha do WordPress
Uma maneira de impor senhas fortes do WordPress em seus usuários é usando o plug-in WPassword para:
- Imponha senhas fortes em seus sites WordPress em segundos
- Fornecer dicas para ajudar os usuários a criar senhas fortes (em vez de ter que adivinhar)
- Configure políticas de senha em aspectos vitais da proteção de senha, como complexidade, histórico e idade da senha
- Configure as políticas de senha com base na função do usuário para atender a funções personalizadas e especializadas ou excluir usuários específicos de políticas específicas.
- Redefina todas as senhas imediatamente se um ataque for detectado
- Implemente uma política de usuários inativos, para remover a ameaça postada por contas de usuário inativas que foram configuradas antes que a política fosse promulgada
Defina um bom exemplo para a proteção por senha do WordPress
Recomendamos que você use credenciais seguras e também incentive seus usuários a fazê-lo.
- Combine sua senha forte (veja Como é uma senha forte?) com um nome de usuário forte.
- Como administrador, evite nomes de usuário padrão óbvios e fracos, como admin, padrão, senha ou convidado
- Não torne tão fácil para os maus atores que eles têm apenas uma credencial para descobrir
Lembre-se de que, se você confiar nas medidas de segurança de senha do WordPress, também deverá aplicar senhas fortes usando um plug-in. O WordPress não tem aplicação de senha forte embutida ou padrão.
Empregar um gerenciador de senhas
Um gerenciador de senhas é um serviço online ou cliente de software que armazena e gerencia com segurança as credenciais do usuário em vários sites e serviços. Essas informações são acessadas com uma única senha mestra e opções de autenticação multifator. Exemplos populares incluem 1Password e KeePass. Mas, embora existam muitos gerenciadores de senhas online, isso não substitui backups sólidos e confiabilidade.
Os benefícios de usar um gerenciador de senhas
- Eles não terão que lembrar quais são suas senhas para cada site – simultaneamente, um dos maiores pontos problemáticos no local de trabalho que é 'resolvido' por uma prática preguiçosa e maluca de usar as mesmas credenciais em muitos serviços online.
- Eles não serão tentados a armazenar credenciais de login em forma escrita que violem os regulamentos de proteção de dados ou em arquivos online que podem ser comprometidos.
- Isso liberará os usuários para usar senhas complexas e diferentes. Muitos gerenciadores de senhas têm um gerador de senhas embutido com uma sugestão de pop-up de navegador conveniente e rápida que também grava instantaneamente um novo registro.
- Eles não deixarão sua conta ou site aberto a hackers maliciosos e bots automatizados.
- Os gerenciadores de senhas geralmente monitoram endereços de e-mail e alertam os usuários após sua aparição na dark web. E eles também podem recomendar que as senhas reutilizadas ou fracas sejam alteradas.
Ativar autenticação de dois fatores ou multifator”
A autenticação de dois fatores ou multifator é uma camada adicional de credenciais que deve ser inserida antes que um usuário receba acesso a um site ou aplicativo, além da combinação tradicional de nome de usuário e senha. É empregado quando alguém já está usando senhas fortes porque uma abordagem multifatorial é a melhor para a segurança do WordPress. Combinações de senha forte e nome de usuário podem ser roubadas. Um código de uso único é gerado por um aplicativo e recebido por e-mail ou SMS enviado para o dispositivo pessoal, conta de e-mail ou celular de um usuário, sendo mais difícil para um hacker mal-intencionado contornar.
Existem várias alternativas que reivindicam o lugar dos melhores plugins de autenticação de dois fatores para WordPress. Confira estes. Mas recomendamos nosso próprio produto – o plugin WP 2FA. Além de melhorar a autenticação do seu site WordPress, ele foi projetado com facilidade de uso e simplicidade de configuração em mente. Ele também permite que você torne o 2FA obrigatório, com políticas 2FA totalmente configuráveis para diferentes funções de usuário. A combinação dos plugins WPassword e WP 2FA torna seus sites WordPress super seguros.
Eduque seus usuários na proteção por senha do WordPress
Os usuários do seu site já sabem vagamente que há uma necessidade de segurança de senha forte. Mas muitas vezes eles não fazem nada sobre isso.
Então, sobre o que, especificamente, você precisa educá-los?
Fale sobre as violações de dados dignas de notícia
Senhas fracas são uma das maiores ameaças à segurança dos sites WordPress. Por quê? Porque credenciais fracas – facilmente contornadas com um ataque de força bruta ou de dicionário – são uma das principais causas das violações de dados sobre as quais todos lemos nas notícias. Adicione a isso as perdas de dados facilitadas pelas senhas padrão ou roubadas, ou senhas retiradas de dispositivos perdidos ou roubados, e o problema se multiplica.
O que hackers maliciosos e usuários não autorizados podem fazer quando acessam seu site?
- Em um nível básico, eles podem alterar suas configurações ou inserir malware
- Eles também podem redirecionar o tráfego para fora do seu site ou usá-lo para distribuir software pirata
- Nos ataques mais graves, eles podem roubar e fazer uso indevido de dados confidenciais, criar cobranças bancárias falsas ou coletar informações financeiras e outras para revender na dark web
- Além dessas atividades comerciais, os hacktivistas podem politizar ou desfigurar seu site com discurso de ódio
Certifique-se de que os usuários internos de sua equipe estejam cientes das principais implicações em toda a organização nas informações internas da empresa e dados de clientes externos, bem como multas ou greves obrigatórias da empresa. E repita as mesmas mensagens para os clientes do seu site para garantir que eles priorizem a segurança de seus próprios dados pessoais, financeiros, de saúde e outros dados confidenciais.
Os impactos negativos que tais violações de dados podem ter em sua organização e seu site são enormes:
- Perda de reputação e confiança em sua organização e site
- Multas substanciais de órgãos reguladores, bem como outras penalidades ou dissociações de parceiros e clientes
Aplique sua política de senha forte
- Primeiro, eduque seus usuários sobre todos os elementos em Como é uma senha forte? e os benefícios de usar um gerenciador de senhas? Por exemplo, certifique-se de que eles conheçam formulações de senha persistentes e seriamente inseguras, como thisismypassword, 123456789, [mykidsname] ou [mypetsname]. E, em vez disso, incentive o uso de formulações de senha fortes (por exemplo , vqO&V13@H%fF ou @iGOuqk%W0xY ). Não compartilhe ou use esses exemplos específicos para nenhum de seus serviços ou usuários. São simplesmente exemplos.
- Lembre a equipe interna regularmente sobre a política de emprego e/ou proteção de dados que assinaram e as responsabilidades legais pessoais que têm em relação ao empregador.
- Lembre a equipe interna regularmente que a política de proteção de dados e as declarações feitas pela empresa a clientes e clientes dependem delas seguindo as políticas da empresa e que têm implicações legais, financeiras, trabalhistas e de aplicação da lei potencialmente sérias e permanentes.
- Incentive os usuários a criar suas próprias senhas seguras usando gerenciadores de senhas que também possuem ferramentas geradoras de senhas. A maioria dos softwares de gerenciamento de senhas também terá seus próprios, o que é útil quando você está criando novas contas para serviços online e outros.
Atividades do administrador para segurança de senha do WordPress
- Verifique a força das senhas de seus usuários do WordPress com um scanner como o WPScan.
- Use as ferramentas que os hackers mal-intencionados usam para tentar 'adivinhar' as senhas de seus usuários. Agende você mesmo ataques de força bruta e de dicionário!
- Bloqueie para usuários com senhas fracas e envie um prompt para redefini-las.
- Realize workshops sobre como usar o gerenciador de senhas de sua escolha.
Enfatize os benefícios de redução de estresse e economia de tempo de usar um gerenciador de senhas
Muitos de seus usuários podem ver a necessidade de senhas fortes, mas não estão dispostos a usá-las devido à falta de familiaridade e às dificuldades ou custos percebidos na prática. É aí que você pode reforçar a facilidade e os benefícios de usar um gerenciador de senhas, juntamente com o baixo custo, confiabilidade e facilidade de manter backups de credenciais.
É uma enorme vantagem apenas ter que lembrar de uma senha em vez de várias senhas.
Do ponto de vista do usuário, os destaques são:
- Eles precisam lembrar apenas uma senha – felicidade!
- O gerenciador de senhas atuará como um novo gerador de senhas, ferramenta de gerenciamento de senhas e um prompt para inserir credenciais seguras no local para eles
Enfatize o investimento que vale a pena em uma forte segurança de senha do WordPress
Precisamos encarar os fatos. Alguns usuários em potencial serão adiados para se inscrever no seu site se forem forçados a usar senhas fortes e alterá-las com frequência. Esses procedimentos levam um pouco de tempo e esforço para serem configurados inicialmente. Alguns vão considerá-lo um aborrecimento que eles não querem, enquanto outros vão reclamar que isso estraga a experiência do usuário do seu site.
Estabelecer e aplicar uma política de segurança de senha forte do WordPress, possivelmente usando um plug-in que diferencie políticas de senha e níveis de segurança com base nas funções do usuário, reduzirá ao mínimo a perturbação do usuário.
Estabeleça outras salvaguardas relevantes
Como proprietário de um site ou administrador do WordPress, aqui estão algumas sugestões conclusivas de problemas maiores que você precisa considerar para a segurança de senha do WordPress:
- Familiarize-se com os protocolos gerais de proteção e proteção de segurança do WordPress para WordPress. Existem razões específicas pelas quais os sites do WordPress são invadidos. É uma vantagem para você como Administrador ou proprietário saber quais são e como lidar com eles. Sim, senhas fracas são um grande problema, assim como a falta de 2FA e logs de atividade. Mas você sabia que o uso de núcleos desatualizados do WordPress, plugins e outros softwares também é um problema sério?
- Empregue um plug-in de log de atividades do WordPress que informará se usuários não autorizados obtiveram acesso à sua conta e, em caso afirmativo, quais danos eles causaram. Nosso WP Activity Log ajuda você a identificar comportamentos suspeitos no estágio inicial e evitar ataques de hackers maliciosos em seu site.
- Configure uma política de usuários inativos ou inativos para o seu site WordPress. Contas de usuário negligenciadas são um ponto de entrada fácil para hackers mal-intencionados.
- Seu site pode ser invadido mesmo se você usar senhas fortes e aplicar políticas de senhas fortes aos seus usuários. É bom saber imediatamente se seu site foi violado. Este é um serviço gratuito de notificação de violação de dados que sugerimos que você verifique.
Você tem alguma dúvida sobre a proteção por senha do WordPress ou qualquer um dos produtos que mencionamos nesta postagem do blog? Deixe-nos saber abaixo! E lembre-se das palavras de Chris Pirillo:
“Senhas são como roupas íntimas: você não deixa as pessoas verem, você deve trocá-las com frequência e não deve compartilhá-las com estranhos.”
Obtenha uma avaliação de 7 dias do WPassword para experimentá-lo em ação e ajudar os usuários do seu site a usar senhas fortes do WordPress