O que considerar antes de instalar o WordPress?
Para instalar o WordPress é preciso levar em consideração alguns processos operacionais que devem ser feitos antes da instalação.
Você deveria dar mais atenção às suas senhas. Sim, no plural. O recomendado é uma específica para cada serviço, nada de compartilhar. Adote aplicativos para te ajudar com isso.
Uma senha forte protege sua conta, privacidade e previne ataques direcionados ou automatizados. Uma senha fraca é a maneira mais fácil de comprometer sistemas, dentre eles o WordPress.
Em situações direcionadas, o atacante usará engenharia social para tentar descobrir sua senha. Azar o seu se fizer uso de coisas óbvias como data de nascimento, CPF e etc. Em casos automatizados é feito o uso de dicionários de senhas para combinação com usuários e validar cada possibilidade. A cada ano assistimos senhas super fracas serem as mais utilizadas.
Uma ajuda de Edward Snowden para criar senhas fortes
No vídeo abaixo, Edward Snowden dá dicas de como escolher uma senha forte e por conseguinte garantir uma maior segurança para WordPress.
Os ingredientes para os ataques de força bruta
O acesso à administração do WordPress, assim como todo sistema restrito, requer uma combinação de nome de usuário e senha. Um ataque de força bruta é uma prática muito comum que visa tentar adivinhar os dados de acesso através de tentativa e erro. Há várias técnicas para coibir as tentativas, mas no contexto deste artigo a melhor delas é não fazer uso do usuário “admin” e principalmente ter uma senha forte.
Tudo é automatizado com o uso de ferramentas, dicionários de senhas comumente utilizadas e nomes de usuários comuns ou desvendados. E quando encontram sites com a combinação de usuário “admin”, e outros descobertos, e senhas fracas que constam em seus dicionários os resultados são o ganho do acesso à administração do seu site e liberdade para fazer a festa.
Não faça uso do usuário “admin”
Não fazer uso do usuário “admin”, comumente utilizado em ataques de força bruta, é uma boa prática de segurança e sua remoção pode ser feita via interface administrativa do WP, plugins ou alterando o banco de dados.
Via interface administrativa é o caminho mais simples. Crie um novo usuário com a função Administrador. Faça logout e acesse novamente com o novo usuário criado. Delete o usuário “admin”. Transfira os conteúdos para o novo usuário e pronto.
Recursos nativos da plataforma para o auxílio de segurança
A cada versão disponibilizada novos recursos tem sido disponibilizados para aumentar a segurança do usuário e ajudá-lo na gestão de sua senha. Ainda acredito que novas melhorias precisam ser implementadas.
Exemplo de uso de senha forte e do medidor de nível de senha do WordPress
Na imagem acima é exibido um exemplo do medidor de nível de senha do WP e o uso de uma senha forte. Os níveis são fraco, médio e forte. Eu gostaria que a plataforma de forma nativa não permitisse o uso de senha se não de nível forte.
Abaixo a imagem ilustra a opção de logout remoto. Um recurso que te permite fechar uma sessão iniciada em outros lugares. É muito útil para quem perdeu o computador, celular ou fez uso de um público.
Exemplo da opção de Logout remoto do WordPress
Todas as senhas são criptografadas e o padrão pode ser único para cada instalação. No arquivo wp-config.php há constantes PHP que armazenam hashes que são utilizados pela aplicação nas tratativas de senha e criptografia.
O WordPress.org disponibiliza uma API que geram esses códigos através do serviço secret-key.
Exemplo de retorno do serviço secret-key do WordPress.org
Autenticação de dois fatores
Adicionar uma segunda camada de autenticação é aumentar o nível de segurança da plataforma interligando sua conta a um dispositivo móvel. Falarei em outro momento mais detalhadamente sobre a autenticação de dois fatores no WordPress. De imediato segue uma lista de plugins que adicionam essa funcionalidade. A ordem é alfabética.
Você, como usuário através da simples escolha de nome de usuário e senha, contribui – ou não – para que sua instalação de WordPress fique mais segura.
