Segurança WordPress - 2WP

Senhas do WordPress

Eu sei que falo muito sobre como é sua responsabilidade garantir que seus sites estejam seguros com suas senhas do WordPress. Dito isto, existem instâncias em que você tem pouquíssimo controle sobre as vulnerabilidades que outros usuários introduzem no site. Especificamente, estou me referindo a usuários que não cumprem práticas de senha inteligentes e seguras.

Para ser justo, pense em quantos nomes, números, aniversários, endereços, fatos e assim por diante que você deve acompanhar diariamente. Em seguida, pense em quantos aplicativos você efetua login. A última coisa que você ou qualquer outra pessoa quer fazer é ter que memorizar uma senha única e complicada para cada uma delas.

Mas as senhas existem por algum motivo. Você não pode economizar em proteger um site (ou, se você é um usuário, suas informações privadas). Simplesmente porque você não quer gerar uma senha melhor do que a que você criou no Gmail há cinco anos. O mesmo vale para todos os seus usuários.

Então, vamos falar sobre as senhas do WordPress e por que eles desempenham um papel tão importante na consolidação da segurança do seu site WordPress.

A História das Senhas e do WordPress

O WordPress sempre sugeriu que os desenvolvedores assumissem a responsabilidade de garantir que senhas fortes sejam usadas por todos que tenham acesso ao seu site. Além disso, em um esforço para cumprir o OWASP 10 , o WordPress implementou uma série de medidas de segurança ao longo dos anos para proteger melhor os usuários das práticas de senha defeituosas. Especificamente:

3.7
Na atualização 3.7 , o WordPress adicionou um indicador de força da senha durante a configuração da conta e as reinicializações da senha. Isso era para dar aos usuários um empurrão para criar senhas mais fortes.

4.0
Com a versão 4.0 em 2014, o WordPress começou a destruir todas as sessões existentes no momento em que um usuário desconectou o CMS.

4.3

Em 2015 , o WordPress adicionou um novo recurso de senha para ajudar os usuários a gerar senhas complicadas.

Senhas do WordPress

Senhas do WordPress

O WordPress também adicionou um recurso de preenchimento automático que incentivará os usuários a criar senhas fortes com a sugestão do WordPress.

Senhas do WordPress

Hoje a partir de agora, o WordPress habilitou os seguintes recursos de fortificação de senha:

  • O WordPress gerencia todas as informações de login do usuário e cookies de autenticação do lado do servidor.
  • O software principal oferece proteção adicional para senhas através de técnicas de salgação e alongamento.
  • Há também um sistema de permissão do WordPress que restringe quem tem acesso a informações de usuários particulares, incluindo endereços de e-mail para usuários que deixam comentários, bem como conteúdo que foi publicado, mas marcado como “privado”.

Por que o WordPress nem se preocupa com isso? Bem, é porque uma senha fraca pode abrir sites com muitos riscos. A equipe de segurança do WordPress talvez não seja capaz de automatizar completamente as atualizações do núcleo. Ou exigir que todos usem plugins de segurança e backup, mas eles certamente como podem fazer tudo o que podem para exigir decisões mais inteligentes durante a inscrição e o login.

O caminho certo para usar senhas com o WordPress

Quando o Wordfence monitorou sites por um período de 16 horas em 2016, isso é o que eles encontraram:

“Durante esse período, vimos um total de 6.611.909 ataques visando 72.532 sites individuais. Vimos ataques durante este período de 8.941 endereços IP exclusivos e a média de ataques por site da vítima foi de 6.26 “.

Sem medidas de segurança adicionais no lugar, tudo seria necessário para uma senha de usuário particularmente fraca para sucumbir a este tipo de ataque de força bruta. E então, para onde isso te deixaria? Seu site, seus usuários e qualquer visitante que chegou ao seu site poderiam estar expostos a essa vulnerabilidade.

Então, não vamos permitir que isso aconteça. Aqui estão 8 coisas que você pode fazer para impor a criação de senhas mais fortes no seu site WordPress:

1. Ouça o WordPress

Senhas do WordPress

Senhas do WordPress

Esta sugestão é um pouco simplificada demais, mas você obtém o ponto: crie uma senha complicada.

2. Seja complexo

O WordPress recomenda que uma senha tenha mais de seis caracteres. No entanto, se você quiser garantir que as senhas sejam tão inabaláveis ​​quanto possível, exija algo mais longo. 10 a 50 caracteres devem ser feitos.

3. Misture

Você pode pensar que uma longa série de números ou uma longa frase será suficiente. Não. É melhor exigir uma mistura de letras maiúsculas, letras minúsculas, números e símbolos na criação de senhas para o seu site.

4. Rejeitar o antigo

Embora muitos usuários possam sentir que está certo reverter para uma senha de duas ou três rezas, você vai querer desligá-lo impedindo o uso de qualquer senha anterior.

5. Exigir atualizações frequentes

Se você empregou cada uma das regras acima no processo de geração de senha em seu site, isso é ótimo. No entanto, permitir uma senha – não importa o quão forte seja – para se sentar e apressar em seu servidor. É como deixar o projeto de um site para estagnar: apenas notícias ruins. É por isso que você deve exigir que todos os usuários atualizem sua senha com freqüência (digamos, a cada poucos meses).

6. Adicionar autenticação de dois fatores

Senhas do WordPress

Perguntando sobre como você pode adicionar autenticação de dois fatores ao seu site? O plugin de segurança do Defender inclui esse recurso, entre outros aprimoramentos de segurança de login.

7. Use um complemento de segurança

Senhas do WordPress

Muitos plugins de segurança do WordPress não apenas monitorarão seu site e fornecerão patches para vulnerabilidades detectadas. Você pode usar esses plugins para limitar o número de tentativas de login falhadas como intervalo para ataques de força bruta (novamente, o plugin Defender ajudará com isso).

Alguns plugins de segurança premium também permitem que você audite as senhas de seus usuários de uma só vez. Se você não tiver sido muito rígido sobre a imposição de segurança de senha até agora, esse poder definitivamente poderia ser útil. Wordfence equipou seu plugin com esta funcionalidade se você estiver interessado.

8. Obter um Gerenciador de Senha

Como o WordPress sugere no seu guia de senha , “A melhor maneira de criar uma senha forte é usar um gerenciador de senhas para gerar uma seleção longa e aleatória de letras, números e símbolos”.

Enquanto o WordPress deu grandes passos para garantir o login e encorajar as melhores práticas de geração de senhas, não há nenhuma funcionalidade de economia automática ou de preenchimento aqui, o que é parte do motivo pelo qual estamos discutindo isso. Não é que os usuários do WordPress não podem criar senhas longas e complicadas por conta própria. O problema é o aspecto de memorização (e conveniência).

Este é o lugar onde um gerenciador de senhas de terceiros como LastPassou 1Password seria útil.

Essas ferramentas funcionam em várias capacidades:

  1. Eles servem como um nome de usuário mestre e armazenamento de senha, então você só precisa procurar em um lugar para obter informações de login para todos os sites e aplicativos.
  2. Eles também coletam e protegem outros detalhes sensíveis que você insere on-line com freqüência, como informações de cartão de crédito.
  3. Os gerenciadores de senhas podem ajudar os usuários a gerar senhas completamente novas e fortes também.
  4. Quando ativado, um gerenciador de senhas preencherá automaticamente seus detalhes de login para sites salvos. Isso se torna mais conveniente se, digamos, você gerenciar várias contas de usuário no mesmo site.

Enquanto você não pode exigir que todos os que entram no seu site usem um gerenciador de senhas, isso é algo que você pode adicionar ao seu próprio fluxo de trabalho. E algo que você pode encorajar todos os membros da equipe a fazerem também.

Resumo

Garantir que o seu site WordPress esteja seguro de uma violação de segurança é difícil, pelo menos. Há tantas maneiras diferentes nas quais os hackers podem entrar no seu caminho, e é por isso que seria bobo permitir que algo tão simples quanto uma senha não seja controlada.

Até agora, todos sabem que uma senha mais forte leva a uma experiência online mais segura. Não é sempre a escolha preferida, pois muitas vezes leva a maiores inconvenientes em ter que gerar uma senha complicada. Lembre-se de uma única para cada novo site visitado. Ao dar aos seus usuários as ferramentas necessárias para proteger melhor suas senhas, você pode capacitá-las para ajudá-lo a proteger o login do WordPress mais facilmente.

Dito isso você ainda pode contar com o suporte de um de nossos especialistas em WordPress, será um prazer !