Gestão de usuários e da produção de conteúdo

Versão Beta para testes e avaliações: Aguarde em breve a versão final. É um especialista em cibersegurança e quer contribuir com sua opinião sobre este checklist? Clique aqui para acessar os Contatos.

Público alvo

Qualquer desenvolvedor WordPress se beneficiará da quase totalidade dos checklists dev, ainda que os mesmos tenham sido desenvolvidos para web designers e webmasters de unidades de informação e cultura GLAM (galerias, bibliotecas, arquivos e museus).

Atribuição de funções dos usuários

– Atribuir corretamente as funções para cada usuário, concedendo-lhes somente o imprescindível para realização de suas atividades no websites (Principle of Least Privilege ou Principle of Least Authority).

– Nas Configurações, aba “Geral” do Painel de Controle do WordPress, desmarcar o item “qualquer pessoa pode se registrar”.

– Caso o registro automático seja imprescindível, verificar se a função padrão do novo usuário é a “Assinante”.

– Deletar todas as contas com logins óbvios, como “admin” ou o nome do usuário, especialmente nas contas com função de Administrador.

– Criar uma conta separada para publicação de conteúdo (posts, etc.) com a função de “Editor”.

– No perfil dos usuários, acrescentar apelidos e selecionar um nome de publicação diferente do login.

– Retornar usuários para perfis mais restritivos sempre que se encerrarem trabalhos temporários que exigiam a liberação de funções avançadas.

– Deletar usuários inativos ou alterar suas permissões para “Assinante”.

Obs:  Veja aqui uma tabela prática com a funcionalidade de cada nível de acesso por tipo de usuário.

Monitorar os comentários, desabilitando-os sempre que não forem imprescindíveis

– Desabilitar os comentários, se possível.

– Caso sejam imprescindíveis, exigir o preenchimento de nome e e-mail, bem como aprovar os comentários manualmente, um por um.

– Se forem poucos os comentários do website, verificar as credenciais do autor antes de publicar (e-mail válido, contas de redes sociais ativas, etc.)

– Desabilitar pingbacks e trackbacks, pois podem ser entrada para ataques DDoS.

– Instalar o plugin antispam Akismet.

– Instalar reCAPTCHA. (Caso utilize Contact Form 7 pode ser feito via integração. Confira aqui como remover o ícone reCAPTCHA das páginas sem formulário de contato)

– Assinalar comentários com códigos como spam.

– Evitar comentários com URLs. Caso autorize a publicação de um comentário com URL, verificar a confiabilidade do endereço. Desconfiar severamente de comentários com mais de uma URL.

– Não publicar comentários em línguas desconhecidas.

– Fechar comentários de posts “datados” após algumas semanas. Por exemplo: um post de uma exposição que já ocorreu.

Versão inicial de autoria de Ana Cecília Rocha Veiga.