Cibersegurança Configurações: Wordfence

Versão Beta para testes e avaliações: Aguarde em breve a versão final. É um especialista em cibersegurança e quer contribuir com sua opinião sobre estas configurações? Clique aqui para acessar os Contatos.

Público alvo

Qualquer desenvolvedor WordPress se beneficiará destas configurações, ainda que as mesmas tenham sido desenvolvidas para web designers e webmasters de unidades de informação e cultura GLAM (galerias, bibliotecas, arquivos e museus).

Instalar e configurar um plugin de segurança completo e profissional

Instalar um plugin de segurança que contenha: firewall (WAF), malware scanning, proteção contra ataques de força bruta, autenticação de dois fatores (2FA), limite de tentativas de login, controle para garantia de senhas fortes.

Recomendamos o Wordfence. No codex do WordPress é possível encontrar outras recomendações além deste.

Configurações recomendadas do Wordfence

– Impedir upload de código PHP no diretório.

– Ativar alertas de login no website, especialmente se não for o único administrador.

– Colocar o Firewall em “Learning mode” por uma semana, ativando a mudança automática para “Enabled and Protecting“.

– Otimizar o Wordfence Firewall.

– Limitar as tentativas de login a três, tanto para erros de usuário, quanto de senha.

– Trancar usuários com erros de login recorrentes por pelo menos 1 dia (lock out), tempo suficiente para novas providências.

– Se for Administrador único e utilizar preenchimento automático do login (ex: Gerenciador de Senha – Vide FAQ do Usuário de Internet, Questão 7), trancar automaticamente nome de usuário inválido (invalid username).

– Bloquear imediatamente usuários que tentem logar com nome de usuário “admin”.

– Impedir o uso de senhas constantes em listas de vazamento de dados, não somente para Administradores, mas para editores/autores de posts também.

– Obrigar o uso de senhas fortes para todos os usuários.

– Ocultar mensagens detalhadas de erro em tentativas de login. (Quando um usuário erra senha ou login, a mensagem padrão do WP informa qual dos dois foi digitado errado. O ideal é que mensagem seja genérica e não revele estes detalhes.)

– Impedir usuários de se registrarem com nome “admin”.

– Prevenir pesquisa por nomes de usuários do banco de dados.

– Receber alertas de uso de senhas fracas por usuários que tenham atualizado o seu perfil.

– Ativar escaneamento do website, com o máximo de cobertura possível.

– Monitorar todo o tráfego, se possível (desmarcar em hospedagens econômicas ou em caso de sobrecarga).

– Exigir 2FA: Two Factor Authentication (Autenticação de dois fatores) obrigatória para todos os usuários. Recomendamos LastPast Authenticator e Authy.

– Não permitir que usuários sejam lembrados por 30 dias.

– Requerer 2FA para chamada XMK-RPC.

Versão inicial de autoria de Ana Cecília Rocha Veiga.