Configurando o plugin de segurança “All In One WP Security” #04

Configurando o plugin de segurança “All In One WP Security” #04

Enfim, o 4º e último post (e mais longo também) da série “Como criar sites WordPress seguro contra ataques“, e nesta postagem vou falar sobre o poderoso plugin de segurança e firewall “All In One WP Security & Firewall” para auxiliar ainda mais na proteção do seu site e deixá-lo imbatível. :)

TODOS OS POSTS DESTA SÉRIE

Para instalar o plugin, pesquise por “All In One WP Security” no seu WordPress, clique em “Instalar agora” ou baixe o plugin clicando aqui e faça o upload do seu computador para o WP.

ATENÇÃO: Se você vai aplicar as alterações a seguir em um site que já tem conteúdo e já está online, é muito importante que antes de fazer essas mudanças, você faça um BACKUP DOS ARQUIVOS E BANCO DE DADOS do site para garantir que possa reverter os arquivos em caso de algo dá errado.

Vou mostrar quais as configurações mais necessárias do plugin no vídeo, e abaixo do vídeo, detalho passo a passo todas as mudanças que fiz na instalação de demonstração, o porque é importante configurar e para que serve tais configurações.

EXPLICANDO TODAS AS CONFIGURAÇÕES

Configuração 1:
WP Security > Configurações > WP Meta Info

Porque configurar?
Por padrão o WP mostra no código fonte a sua versão, hackers sabem disso e fazem buscas automatizadas por essa informação, na tentativa de encontrar sites com a instalação desatualizada que facilite sua invasão. Marcando esta opção, não será mais mostrado essa informação no código do seu site.

Configuração 2:
Config2 login lockdown configuration
Porque configurar?
As mudanças desta aba são relacionadas ao login do site. ATENÇÃO: Salve em local seguro seus dados de login ou até você irá ser bloqueado, caso exceda as tentativas de login configuradas no plugin.
1. Marque esta opção para ativar os recursos desta aba.
2. Permite solicitações de desbloqueio (útil para casos de bloqueio de usuário admin por engano).
3. Número máximo de tentativas de login antes de ser bloqueado.
4. Período de tempo das tentativas de login.
5. Tempo em minutos que o usuário permanecerá bloqueado.
6. Mostra uma mensagem genérica mesmo que um invasor esteja digitando o usuário correto com a senha errada.
7. Marque esta opção se você quiser bloquear instantaneamente tentativas de login com nomes de usuários que não existem em seu sistema.
8. Receba notificações por e-mail quando alguém for bloqueado. OBS.: Não sei porque, mas nem sempre as notificações chegam.

Configuração 3:
WP Security > Registro de Usuário > Aprovação Manual

Porque configurar?
Com esta configuração marcada, o plugin impedi que seja criado novos usuários automaticamente por meio de alguma vulnerabilidade.

Configuração 4:
WP Security > Registro de Usuário > Captcha ao Registrar

Porque configurar?
Insere um formulário de captcha na página de registo de usuários.

Configuração 5:
WP Security > Segurança Base de Dados > DB Prefix

Porque configurar?
Configuração necessária apenas para quem não alterou a “Table Prefix” como mostrei no vídeo 1 dessa série ou é uma instalação WordPress antiga, neste caso quero reforçar novamente que é fundamental fazer um backup para poder restaurar, caso dê algo errado.

Configuração 6:
Config6 backup banco de dados para email
Porque configurar?
Por mais que você faça backups por meio de um plugin ou mesmo pelo cPanel, ainda sim é interessante configurar este backup automático do arquivo mais importante, que contem as informações mais valiosas do seu site, porque segurança nunca é demais.
1. Marque esta opção para agendar backups do banco de dados do site.
2. Intervalo de tempo em que o backup será criado automaticamente.
3. Número de cópias de backups guardados no servidor onde seu site está hospedado.
4. Se marcado, todos os backups serem enviados para seu e-mail também.

Configuração 7:
WP Security > Segurança Sistema de Arquivos > Permissões Arquivos

Porque configurar?
Altere todas as permissões de acordo com as orientações do plugin clicando em “Set Recommended Permissions” para impedir acessos não autorizados aos principais arquivos de administração do WordPress.

Configuração 8:
WP Security > Segurança Sistema de Arquivos > WP File Access

Porque configurar?
Marque para impedir acesso aos arquivos “default” do seu WordPress.

Configuração 9:
Config9 firewall settings
Porque configurar?
Ativa configurações básicas de Firewall, bloqueio de acesso externo ao XML-RPC e debug.log. O XML-RPC é alvo frequente de vários tipos de ataques por conter vulnerabilidades na API WordPress XML-RPC. ATENÇÃO: O aplicativo WordPress iOS não funcionará com o XML-RPC desativado.
1. Marque para ativar o firewall.
2. Desativa o XML-RPC.
3. Bloqueie acesso externo ao debug.log porque este contém informações importantes.

Configuração 10:
Config10 additional firewall rules
Porque configurar?
Recursos de firewall com configurações mais avançadas para o seu site.
1. Impede que qualquer pessoa liste todo o conteúdo de todos os diretórios, quando o mesmo não contém o arquivo index.php.
2. Desabilitar “Trace and Track” no seu site irá ajudar a prevenir ataques de rastreamento HTTP.
3. Essa configuração nega todos os pedidos que usam um servidor proxy ao postar comentários que geralmente é SPAM de comentários.
Não marquei as 2 últimas opções dessa aba porque geralmente dão conflitos com outros plugins e temas.

Configuração 11:
WP Security > Firewall > 5G Blacklist Firewall Rules

Porque configurar?
Permite ativar as regras de proteção de segurança 5G Blacklist criadas por Perishable Press. Essas regras ajudam a reduzir o número de solicitações de URL’s mal-intencionadas ao seu site.

Configuração 12:
Config11 login form captcha settings
Porque configurar?
Uma das principais formas de ataques é o Brute-force attack ou Ataque de Força Bruta em português que nada mais é, que um algoritmo que testa todas as combinações possíveis de senhas e usuários na tentativa de descobrir os dados de login do dono do site e invadi-lo. Ativando este recurso, vai ser adicionado um captcha na página de login que além dos dados de acesso, também vai ser preciso digitar a resposta de uma questão matemática simples, isso neutraliza no mínimo 90% dos Ataques de Força Bruta.
1. Habilita a função de captcha na página de login.
2. Habilita a função de captcha em formulários de login.
3. Habilita a função de captcha na página de “Esqueceu a Senha”.

Configuração 13:
WP Security > Brute Force > Honeypot

Porque configurar?
Este configuração adiciona um campo especial escondido na página de login do WordPress. Isso só será visível para robots e serve para enganá-los e o redirecionam para uma página de erro.

Configuração 14:
Config13 comment spam settings
Porque configurar?
Configurações importantes para serem feitas nos comentários do seu site afim de reduzir consideravelmente comentários SPAM enviados por meio de ferramentas automatizadas e Spambots.
1. Habilita captcha nos comentários.
2. Bloqueia todos os pedidos de comentários enviados por bots automatizados.

Configuração 15:
WP Security > Prevenção SPAM > Comment SPAM IP Monitoring

Porque configurar?
Defina o número limite de comentários SPAM antes de bloquear o IP automaticamente e adicioná-lo a lista negra. Essa aba também exibe uma lista dos endereços IP das pessoas ou bots que deixaram comentários SPAM em seu site.

FUNÇÕES INTERESSANTES DO PLUGIN

No vídeo, queria focar apenas nas configurações básicas e principais e por isso não mostrei essas funções. Além das configurações que já fizemos, o plugin ainda dispõe de algumas funções bacanas para te auxiliar em diversas tarefas.

Função 1:
WP Security > Painel > Locked IP Addresses

O que esta função faz?
Lista todas as informações como IP, ID, nome de usuário e datas das pessoas que o plugin bloqueou tentando invadir o site ou digitou combinações de usuários erradas.

Função 2:
WP Security > Configurações > General Settings

O que esta função faz?
Esta aba concentra links das respectivas abas onde pode criar backups manuais do banco de dados, .htaccess e wp-config.php, além da função para desativar todos os recursos de segurança, caso você ache que alguma funcionalidade no seu site está quebrada devido a algum recurso que está ativo no plugin e a função para desativar todas as regras de firewall que pode ser usada pelo mesmo motivo da função anterior.

Função 3:
WP Security > Configurações > Import/Export

O que esta função faz?
Essa função é muito interessante para quem tem muitos sites e quer instalar o All In One WP Security em todos eles. Para não ter que fazer as mesmas configurações em todos, basta exportar de um site já configurado e importar nos sites que o plugin ainda não está configurado.

Função 4:
WP Security > Contas de Usuários > Password

O que esta função faz?
Ferramenta bem legal deste excelente plugin All In One WP Security & Firewall onde você digita sua senha ou uma possível senha e ela calcula quanto tempo um PC de configuração boa e software apropriado para quebrar senha levaria para descobrir sua senha.

Função 5:
WP Security > Login de Usuário > Failed Login Records

O que esta função faz?
Lista todas as informações como IP, ID, nome de usuário e a data de tentativas falhadas de login.

Função 6:
WP Security > Manutenção

O que esta função faz?
Essa função é bem útil na hora de atualizar seu site ou fazer algum teste. Basta ativar e só você terá acesso ao site, os demais visitantes verá a mensagem pré-configurada por você nesta aba.

CONFIGURAÇÕES MAIS AVANÇADAS QUE NÃO DEMONSTREI NO VÍDEO

As configurações a seguir não foram mostradas no vídeo demonstrativo por não serem obrigatórias ou por se tratar de algo mais avançado e que deve ser testado individualmente ou em alguns casos, varia se deve ativar ou não de acordo com uso de determinadas funções do WordPress pelo administrador do site.

Configuração avançada 1:
WP Security > Contas de Usuários > WP Username

Porque configurar?
Caso você não tenha alterado o nome de admin como orientei no vídeo 3, este recurso permite a alteração do nome de usuário padrão “admin” para um nome mais seguro de sua escolha.

Configuração avançada 2:
WP Security > Contas de Usuários > Display Name

Porque configurar?
Mais uma configuração pra tornar seu nome de usuário seguro que já fizemos no vídeo 3 e nesta aba você confirma se configurou corretamente ou não.

Configuração avançada 3:
WP Security > Login de Usuário > Forçar Logout

Porque configurar?
Permite que você especifique um período de tempo em minutos para expirar sua sessão logado na área de administração do WP e após expirar, o usuário será obrigado a fazer login novamente. Acho chato essa configuração, mas para quem costuma usar vários computadores para entrar no seu site é uma boa pedida.

Configuração avançada 4:
WP Security > Segurança Sistema de Arquivos > PHP File Editing

Porque configurar?
Desabilita a capacidade do admin (ou hacker) editar arquivos PHP de temas e plugins através do editor no menu Aparência. Não costumo marcar essa opção porque uso constantemente o editor, mas se você não usa é interessante ativar essa configuração.

Configuração avançada 5:
WP Security > Gerenciador Lista Negra

Porque configurar?
Dê um BAN (negar acesso total) nos endereços IP ou intervalos de IP, além também de bloquear user agents que estão frequentemente tentando invadir seu site.

Configuração avançada 6:
Firewall > Internet Bots

Porque configurar?
Bloqueia Googlebots fakes de navegar pelas páginas do seu website. Esta opção bloqueia todos os bots que usam a sequência “Googlebot” em suas informações User Agent, mas não são oficialmente do Google (independentemente se eles são mal-intencionados ou não), recomendo não usá-la.

Configuração avançada 7:
Firewall > Prevent Hotlinks

Porque configurar?
Previne que outros sites exibam as suas imagens sem hospedar no host deles. Pra mim não funcionou, mas vale o teste porque em tese inibiria uma prática muito comum, que é copiar e colar todo e conteúdo em HTML. O autor além de ser plagiado ainda paga a conta porque aumenta o consumo da sua hospedagem.

Configuração avançada 8:
Firewall > 404 Detection

Porque configurar?
Habilitando esta opção, todos os erros 404 do site serão registrados. Você pode monitorar esses eventos e selecionar alguns endereços IP que sejam possíveis ameaças para bloqueá-los temporariamente de acessar seu site.

Configuração avançada 9:
WP Security > Brute Force > Rename Login Page

Porque configurar?
Muda a URL padrão de login no WP que é wp-login.php para uma de sua escolha. ATENÇÃO: Essa configuração é bem complexa porque se você esquecer qual o novo endereço que você definiu para logar-se no site, ficará impossível de acessar seu site. Pra reverte isso, só revertendo para um backup anterior ou fazendo alterações no código .htaccess do seu site hospedado no host, caso saiba o que está fazendo.

Configuração avançada 10:
WP Security > Brute Force > Cookie Based Brute Force Prevention

Porque configurar?
Nega acesso a página de login para todas as pessoas, exceto aqueles que têm um cookie especial no navegador. ATENÇÃO: Essa configuração é bem avançada, recomendo usar com cautela e alerto mais uma vez, crie um backup antes, siga as regras para ativá-la e de preferência em um site de teste pra ver como se comporta e só depois no site principal.

Configuração avançada 11:
WP Security > Brute Force > Login Whitelist

Porque configurar?
Autoriza apenas alguns IP’s específicos a ter acesso a página de login. ATENÇÃO: Mas uma opção que deve ser usado com bastante cautela.

Configuração avançada 12:
WP Security > Verificador > Detecção de Substituição de Arquivo
Porque configurar?
Detecta periodicamente se houve quaisquer alterações em seus arquivos do núcleo WordPress, arquivos de plugin e outros tipos de arquivo, como .php ou .js e irá notificá-lo sobre qualquer nova alteração. ATENÇÃO: Esta é mais uma opção que deve ser usada com bastante cuidado.

Configuração avançada 13:
WP Security > Miscellaneous > Copy Protection

Porque configurar?
Desativa as opções “Clique com botão direito”, “Seleção de texto” e a opção “Copiar” no front-end do seu site.

Configuração avançada 14:
WP Security > Miscellaneous > Frames

Porque configurar?
Impede que o conteúdo do seu site seja mostrado em outros sites através de frames ou iframes.

CONCLUSÃO

Caraca muleque, depois de mais de 2.300 palavras, chegamos ao fim desse verdadeiro guia do plugin All In One WP Security & Firewall, onde mostrei tudo detalhadamente como configurar esse maravilhoso plugin. Chegamos ao fim da série de posts e vídeos que deve te ajudar bastante a deixar sua instalação WordPress super segura, espero que você tenha gostado desse riquíssimo conteúdo e possa nos ajudar a levá-lo ao máximo de pessoas possível, compartilhando nas redes sociais. Não custa nada, não dói e é bem rapidinho. :D

Compartilhe este post

Comentários (3)

  • Rui Reply

    Caramba Gilvan, show de bola. Muito obrigado… e como a tecnologia muda rapidamente hein? Mas mesmo o programa já tendo novas versões em tão pouco tempo, tudo que você relatou é aplicável. Valeu mesmo.

    10 de abril de 2016 at 18:32
    • Gilvan Medeiros Reply

      Que bom que foi útil pra ti Rui. Realmente já saíram algumas atualizações do plugin, mas isso é normal devido a adequação às novas versões do WP e principalmente por se tratar de um plugin de segurança.

      10 de abril de 2016 at 19:32
  • Julio Cesar Reply

    Muito bom esse passo a passo, enfim consegui configurar esse plugin rsrs obrigado.

    21 de junho de 2016 at 19:54

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

19 − 14 =