Plugin para WordPress permite usar o seu celular como autenticador

O plugin Wordfence para WordPress agora tem uma função muito interessante: ao tentar fazer login no seu wordpress você receberá um SMS no seu celular, contendo um código único e aleatório para ser adicionado a sua senha.

wordfence-security-blog

Sem este código o login não funciona – ou seja, mesmo que alguém descubra a senha do seu WordPress não conseguirá entrar no administrativo do seu blog, porque é preciso o código que foi enviado para o seu celular via SMS. E você pode ativar este recurso para todos os usuários dos seu blog.

Esta função do Wordfence é disponível apenas na versão Premium do plugin, que pode custar entre 5 a 40 dólares por ano, dependendo da quantidade de licenças e tempo de licenciamento.

Nós testamos este plugin e o recursos de autenticador por SMS – e realmente funciona perfeitamente, adicionando uma camada de segurança ao seu WordPress.

Mesmo que você não queira comprar a versão Premium do Wordfence, vale a pena instalar a versão gratuita – que oferece vários recursos de segurança para o seu WordPress. É praticamente um plugin obrigatório em qualquer instalação do WordPress.

WordPress 3.5.2

Foi lançada a versão 3.5.2 do WordPress – se o seu site utiliza este sistema recomendamos fazer a atualização o mais breve possivel.

wordpress-security

Esta atualização corrige SETE falhas de segurança no WordPress:

* Server-Side Request Forgery (SSRF) via the HTTP API. CVE-2013-2199.
* Privilege Escalation: Contributors can publish posts, and users can reassign authorship. CVE-2013-2200.
* Cross-Site Scripting (XSS) in SWFUpload. CVE-2013-2205.
* Denial of Service (DoS) via Post Password Cookies. CVE-2013-2173.
* Content Spoofing via Flash Applet in TinyMCE Media Plugin. CVE-2013-2204.
* Cross-Site Scripting (XSS) when Uploading Media. CVE-2013-2201.
* Full Path Disclosure (FPD) during File Upload. CVE-2013-2203.

Fonte; http://codex.wordpress.org/Version_3.5.2

A atualização normalmente é fácil e automatizada, desde a versão 2.7 do WordPress é possível atualizar o sistema pela própria interface de administração.

 

Plugins de segurança para o WordPress

O repositório do WordPress contem bons plugins de segurança, que monitoram a sua instalação do WordPress buscando atividades maliciosas e suspeitas. Estes são alguns plugins que recomendamos:

EXPLOIT SCANNER – Verifica os arquivos do seu WordPress e os posts, e mostra o que pode conter código malicioso. Links de spam podem estar escondidos em seus posts usando CSS e IFRAMES, e este plugin detecta este tipo de atividade.

WORDFENCE SECURITY – É um plugin poderoso, que você deve ter. Ele compara os arquivos do seu WordPress com a distribuição original, qualquer modificação é detectada. Além disso ele bloqueia usuários após X tentativas de login erradas.

WORDPRESS SENTINEL – Outro plugin útil que monitora os arquivos do seu WordPress e alerta quando um arquivo é adicionado, alterado ou apagado.

WP NOTIFIER – Excelente plugin, ele te avisa quando saírem atualizações do WordPress, temas e plugins. Assim você não perde as atualizações e mantem seu blog sempre atualizado.

VIP SCANNER – Este plugin de segurança faz uma varredura nos templates do seu blog e alerta qualquer problema encontrado. Também detecta propaganda injetada em seus posts.

Vale a pena investir alguns minutos e instalar plugins de segurança no seu WordPress. Infelizmente os casos de ataques a sites com WordPress são comuns.

Porque você deve manter seu WordPress atualizado.

São comuns os casos de blogs/sites que tem o WordPress hackeado – e mais comum ainda é o motivo: o proprietário do blog/site instalou o WordPress, alguns plugins e temas e nunca mais tratou de atualizá-los.

As atualizações são disponibilizadas pelo desenvolvedor do WordPress não apenas para oferecer novos recursos, mas incluem também correções do código que melhoram a segurança do sistema e removem eventuais falhas de segurança, que permitem o hacker a acessar o seu WordPress e fazer modificações sem o seu conhecimento.

PORQUE VOCE DEVE SE PREOCUPAR EM MANTER O WORDPRESS ATUALIZADO?

– Com o seu WordPress hackeado se o hacker hospedar conteúdo malicioso, o Google vai bloquear o acesso ao seu site para os visitantes que utilizam o FireFox e Chrome.  Seu site/blog perde visitantes e credibilidade.

– Por estar bloqueado, hospedando conteúdo malicioso, o Google pode diminuir o PageRank do seu site/blog, e você perderá mais visitantes.

– Com o seu WordPress hackeado você pode perder seus dados mais atuais. Mesmo com o backup da empresa de hospedagem, você pode perder dados recentes pois o backup não é atualizado em tempo real.

– WordPress hackeado? Mesmo que não seja bloqueado pelo Google, você vai perder visitantes, clientes.

– Com o seu WordPress hackeado, o hacker poderá enviar emails e divulgar mensagens em nome do seu site, da sua empresa. Imagine o tipo de problema que isso pode trazer.

DICAS PARA MANTER O SEU WORDPRESS SEGURO:

1. Mantenha seu WordPress atualizado.  Hackers tem sistemas automatizados que ficam visitando sites feitos em WordPress, procurando uma determinada versão que tem uma falha de segurança conhecida. O sistema do hacker ao achar o seu WordPress desatualizado já sabe o tipo de falha que pode existir e alerta ao hacker, que por sua vez pode conseguir em poucos minutos hackear o seu site/blog. As versões mais recentes do WordPress já trazem um aviso de novas atualizações, bastando clicar para atualizar automaticamente.

2. Atualize tambem seus temas e plugins. Nem sempre é o WordPress que é invadido, os temas e plugins tambem ficam desatualizados. Não adianta muito atualizar só o WordPress. Se existem temas instalados que você não usa mais, remova-os.

3. Não utilize o usuario admin do WordPress.  O usuário admin é o mais comum, é o usuario padrão do WordPress. Mude o login deste usuario para outro, pois o hacker sempre irá tentar acessar via brute-force o seu WordPress com o usuário admin.

4. Utilize senhas fortes. O hacker tem sistemas de brute-force que tentam milhões de combinações de senhas possíveis – considere usar senhas realmente complexas. Misture letras, números e símbolos. Utilize o site http://testedesenha.com.br para avaliar a qualidade da sua senha.

5. Mantenha suas outras aplicações atualizadas. Além do WordPress seu site também tem um fórum, um guestbook ou um sistema de chat? Então atualize-os também. Todos os sistemas ativos sofrem atualizações frequentes.

6. Mantenha sua senha de FTP e painel de controle seguras. Vale a mesma regra da dica 4, mantenha senhas seguras e complexas.

7. Permissões de arquivos. Nos servidores da Mindnet não é preciso dar permissoes 777 ou qualquer outra. As permissoes padrão são suficientes para executar o WordPress.  Todos os arquivos devem ter permissão 644 e todas as pastas 755. Qualquer permissao diferente destas é insegura e desnecessária.

8. Considere utilizar uma CDN como o CloudFlare. Resumidamente, de forma leiga, uma CDN fica entre o seu site e a internet. É uma camada de distribuição do seu site – e uma CDN como o CloudFlare além de servir de cache para o seu site vai bloquear as tentativas de hackers mais comuns, aumentando consideravelmente a segurança. O serviço é gratuito, saiba mais em:  http://www.wptotal.com/cloudflare-aumente-a-velocidade-e-a-seguranca-do-seu-site/