Dois Plugins para Aumentar a Segurança do seu Blog

Este é um Guest Post escrito por Anderson do blog Como Ganhar Dinheiro na Internet.

Como seria bom se todas as pessoas fossem bem intencionadas, porém no mundo real a coisa não é bem assim. Não raro ouvimos casos de pessoas que tiveram suas contas de sites e redes sociais hackeadas. Todo mundo que mantém um site ou blog que possua área restrita deveria tomar todas as medidas possíveis para assegurar o máximo de seguridade e privacidade online. De fato, uma segurança 100% garantida não existe, mas nós podemos dificultar ao máximo o acesso indevido a nossas contas em nossos sites.

A dica deste post é para usuários do blog WordPress. Tudo começou há alguns anos quando tive um site hackeado. Fizeram um “deface” em um de meus sites. Para quem não sabe, “deface” é a técnica de modificar o página principal (ou não) do site, substituindo o conteúdo original com alguma mensagem de protesto ou aviso inócuo, como “Owned”. Após o ocorrido pesquisei sobre a segurança do WordPress e para minha surpresa descobri que o sistema não limita o número de tentativas de logins falhos. Isto significa que um hacker pode criar um bot ou script que fique tentando efetuar login no seu site ininterruptamente até conseguir encontrar a senha correta. Alguns chamam esta técnica de “brute force” (força bruta). Foi então que tive a ideia de desenvolver um plugin para inibir a ação destes vândalos digitais. Aliás, desenvolvi até dois. Veja mais detalhes no decorrer deste artigo.

Plugin Captcha on Login

O Primeiro plugin é o “Captcha on Login”, que faz exatamente exibir uma imagem com um código aleatório na página de login do blog, obrigando o usuário a informar o código corretamente para poder efetuar login no sistema. Com isto, mecanismos de ataque “brute force” não mais funcionarão, pois não há como um script ou bot descobrir qual foi o código gerado na imagem. Além disto, o plugin limita o número de tentativas de login falhos. Por exemplo, se você definiu o número máximo de tentativas de login falhos como quatro vezes, na quinta tentativa o IP do usuário (script ou bot) ficará bloqueado e ele já não mais poderá efetuar login no blog.

Na última versão também adicionei um controle para limitar ataques com cookies falsos ou modificados. Por mais que você exiba um código aleatório na página de login, um hacker pode tentar falsificar um cookie (ah! sim, o WordPress trabalha com cookies) e acessar uma página restrita diretamente.

Aqui neste modelo o ataque também é por “força bruta”, ou seja, tentativa e erro (inúmeras vezes) até tentativa e acerto. Então também é importante bloquear este tipo de ataque. Os malfeitores sempre tentam efetuar login com o nome de login padrão para o administrador do WordPress, que é admin, portanto é uma otima ideia modificar o nome de login para outro nome qualquer. O plugin “Captcha on Login” permite você modificar o seu nome de login facilmente, através da página de opções.

O plugin Captcha on Login pode ser baixado no link: Baixar Plugin Captcha on Login. Alternativamente você pode instalar este plugin diretamente pelo painel do WP, para encontrar o plugin, no campo de pesquisa basta digitar “Captcha on Login”, sem aspas.

Plugin Código no Registro

O segundo plugin, chamado “Código no Registro” é útil para quem deixa liberado o cadastro no blog WordPress. Alguns donos de sites deixam o cadastro liberado para que novos usuários possam enviar artigos como convidados ou colaboradores.

Acontece que muitos “spammers” aproveitam a brecha e fazem cadastros automatizados, bem como a publicação indiscriminada de artigos propagandísticos. Quem é mantenedor de blogs com o registro liberado para o público deve saber do que eu estou falando. E deve saber como é chato ter de ficar excluindo posts e registros de zumbis digitais.

Para evitar mais esta falha de segurança, eu desenvolvi o plugin “Código no registro”, que faz exatamente adicionar uma imagem com código aleatório na página de registro do blog. Com o plugin ativado, os visitantes que quiserem se cadastrar serão obrigados a digitar o código gerado na imagem para poder concluir o cadastro. Isto deixará seu blog a salvo dos “spammers” de plantão.

O plugin Código no Registro pode ser baixado no link: Baixar Plugin Código no Registro. Alternativamente você também pode instalar este plugin diretamente do painel de gerenciamento do seu blog WP. Para encontrar o plugin basta digitar no campo de busca “Código no Registro”, sem aspas.

Conclusão

Com esta dobradinha de plugins você conseguirá deixar seu blog WordPress um pouco mais seguro. Mas as velhas dicas de segurança ainda continuam sendo importantes, como por exemplo usar senhas longas e que contenham caracteres especiais, não instalar plugins de sites suspeitos, não digitar sua senha em computadores promíscuos (lanhouse, cyber café, computador do amigo ou vizinho, etc), trocar a senha periodicamente, etc.

Colocando estas dicas em prática e instalando os plugins indicados, seu blog ficará muito mais seguro. Como eu disse antes, não acredito em segurança 100% — e esta também é a opinião de muitos profissionais de segurança digital –, mas acredito em segurança 99%.

Veja também:

Quer conhecer a técnica que usei para ganhar R$ 1.091,80 em menos de 48 horas?

Gustavo Freitas

Problogger, empreendedor digital e criador do Método Start. Você conhece todos os meus projetos no Gustavo Freitas.Net.

Website: http://gfsolucoes.net

    1 Comentário

    1. Anderson,

      Valeu pela dica. É sempre importante atentar para a segurança dos nossos blogs. Acabei de instalar e testar e está funcionando bem. Também nunca é demais estar lembrando da importância de se utilizar senhas fortes.

    Deixe uma resposta