A segurança do seu site é de extrema importância para o bem do investimento que você fez nele e dos usuários que o utilizam. Todos os sites na Internet estão sob o escrutínio dos perigos da Web e exigem medidas para manter a segurança e a conformidade, ainda mais quando esses sites abrigam dados dos usuários.
Se o seu site for hackeado, todos os dados dos seus usuários estarão em perigo, o que é sua responsabilidade proteger, e você poderá assumir responsabilidades perante esses usuários. O site invadido poderia ser usado para causar danos aos computadores dos visitantes ou para enviar mensagens de spam em massa, manchando o nome da sua empresa. O pior de tudo é que não estar em conformidade ou ser hackeado pode fazer com que seu site seja desindexado dos mecanismos de busca da Web ou impedido de enviar e-mails.
Embora seja quase impossível tornar seu site 100% seguro, tentaremos transmitir alguns dos aspectos essenciais que você pode fazer para manter seu site seguro e atender aos requisitos modernos de conformidade. Gerenciar a segurança e a conformidade é uma parte importante da construção de um site e, se você não for capaz de atender às necessidades de segurança, deverá contratar ajuda profissional para manter a conformidade e a segurança.
Recursos de segurança do MemberMouse
O MemberMouse usa os mais recentes padrões e protocolos de segurança para senhas, licenciamento e transações de pagamento, e nos esforçamos para nos integrarmos a todas as novas versões de recursos de segurança aprimorados. O site do MemberMouse e nossos servidores jamais armazenarão os detalhes de pagamento de seus clientes; em vez disso, eles são armazenados nos servidores do processador de pagamentos.
O MemberMouse vem pronto para uso com várias opções para aumentar a segurança de seu site:
- Proteção de compartilhamento de conta (ativado por padrão) permite limitar o número de endereços IP que podem acessar uma conta em um período de 24 horas.
- O MemberMouse pode ser integrado com Elementos de listrasque é o mais recente em Checkout seguro 3D tecnologia de segurança da Stripe, que possui o mais alto nível de conformidade com a PCI e é Pronto para SCA. O checkout 3D Secure é obrigatório para os clientes do Espaço Econômico Europeu (EEE), para que estejam em conformidade. As informações de cartão de crédito e faturamento são enviadas diretamente para o Stripe e nunca entram em contato com seus servidores.
- Ao usar o Stripe Connect na versão 2.4.3+, suas chaves do Stripe são armazenadas com segurança separadamente do site em que estão instaladas, proporcionando uma prevenção de acesso à prova de balas.
- O MemberMouse pode ser integrado ao Authorize.net CIM, Isso habilitará o gerenciador de informações do cliente que armazena os detalhes do cliente nos servidores da Authorize.Net. Além disso, a troca de tokens Accept.js foi incorporada à nossa integração CIM da Authorize.net, de modo que as informações de cartão de crédito e faturamento são enviadas diretamente para a Authorize.net e nunca entram em contato com seus servidores.
- O MemberMouse pode ser integrado ao Braintree, que inclui Checkout seguro 3D O processo de checkout 3D Secure 2.0 usa Hosted Fields / 3D Secure 2.0. e está em conformidade com o mais alto nível de PCI e pronto para SCA. O checkout 3D Secure é obrigatório para os clientes do Espaço Econômico Europeu (EEE), para que estejam em conformidade. As informações de cartão de crédito e faturamento são enviadas diretamente para a Braintree e nunca entram em contato com seus servidores.
- Integração do plug-in Limit Login Attempts - Por padrão, o WordPress permite tentativas ilimitadas de login. Configuramos uma integração com o plug-in plugin Limitar tentativas de login que permitirá que você configure seu site para bloquear um endereço de Internet para que não faça mais tentativas depois que um limite especificado de novas tentativas for atingido, dificultando ou impossibilitando um ataque de força bruta.
- Ao criar um usuário ou fazer uma redefinição de senha, o MemberMouse impõe um requisito mínimo de 8 caracteres para a força da senha. O MemberMouse também suporta a adição de um cfiltro personalizado que permite que a senha seja avaliada com base em requisitos personalizados que você pode definir.
- O checkout pode ser configurado para usar V3 do Google ReCaptcha que é a versão mais recente de um sistema invisível que minimiza os registros de bots e golpistas.
- O membermouse.com não armazena nem tem acesso a nenhum dos dados do usuário nem a informações de cartão de crédito.
- O MemberMouse é compatível com o GDPR e tem recursos para gerenciar solicitações de GDPR.
- O MemberMouse usa a funcionalidade padrão de senha do WordPress, portanto, você sabe que sempre terá os melhores e mais recentes recursos de armazenamento e gerenciamento de senhas.
- O MemberMouse é atualizado regularmente e é compatível com as versões mais recentes do PHP.
Segurança de hospedagem
A maioria das hospedagens modernas tem o básico necessário para manter seu servidor seguro com ferramentas como Modsecurity ou firewalls de aplicativos da Web (WAF). Você nunca deve usar hospedagem barata ou revenda de hospedagem de baixo nível que talvez não tenha protocolos para manter seu servidor seguro ou a capacidade de atender a solicitações de emergência que você possa ter.
Considerando que seu host já deve ter protocolos e módulos comuns para manter seu servidor seguro, grande parte das responsabilidades de segurança do seu servidor recai sobre você. Infelizmente, é comum que muitos proprietários de sites não considerem os possíveis perigos envolvidos ao configurar seu pacote de hospedagem e o gerenciamento inadequado da hospedagem é responsável por 41% da maioria dos hacks. Para ajudar a manter seu servidor seguro, aqui estão algumas coisas comuns que são negligenciadas e que podem ser atendidas para manter seu servidor seguro:
- Use um protocolo de senha forte fazer login em seu plano de hospedagem com uma combinação de letras, números e caracteres e nunca usar palavras que possam ser encontradas no dicionário.
- Remova todas as contas de FTP enquanto elas não estiverem em uso. Muitos hosts permitem que o FTP seja fechado quando não estiver em uso. Novamente, use protocolos de senha forte ao configurar isso.
- Todas as contas de e-mail associadas ao site ou que estejam no servidor devem ter protocolos de senha fortes. Se essas contas forem invadidas, poderão ser usadas para acessar o site e causar danos, além de poderem ser usadas para o envio de e-mails de spam.
- Verifique regularmente se há irregularidades em seu gerenciador de arquivos. Muitas vezes, os backups ou arquivos de banco de dados estão localizados em public_html, o que os torna publicamente disponíveis. Esses backups podem ser baixados facilmente e todas as informações seguras do seu site estão neles, inclusive o acesso ao banco de dados e as senhas de administrador. Mantenha seu sistema de arquivos organizado e armazene somente os arquivos necessários para o funcionamento do site.
- Verifique com frequência se as permissões de arquivos e pastas estão definidas corretamente. Os arquivos, inclusive o arquivo .htaccess e o arquivo wp-config, devem ter permissão 644, enquanto as pastas devem ter permissão 755. Os arquivos podem ser ajustados para a permissão errada quando determinadas ações ocorrem no painel de administração do WordPress, portanto, é importante verificá-los regularmente.
- Certifique-se de que seu servidor crie backups regulares que você possa acessar. Não confie em plug-ins para lidar com backups, pois eles não são confiáveis e geralmente não funcionam com o MemberMouse.
- Faça auditorias anuais no software do servidor para ter certeza de que está usando as versões mais recentes e compatíveis do PHP.
- Nunca faça login no seu servidor se achar que seu computador pessoal está comprometido. Você deve usar um software de segurança compatível em qualquer computador que use para acessar o servidor e o site. Esse é um método muito comum pelo qual seu site ou servidor pode ser invadido.
Para obter mais orientações sobre como escolher um provedor de hospedagem, bem como os requisitos mínimos para executar o MemberMouse, consulte nosso artigo Provedores de hospedagem WordPress.
Segurança do WordPress
O WordPress Codex tem um artigo enorme sobre Fortalecimento do WordPress que discute as vulnerabilidades, a configuração de permissões de arquivos seguras, a proteção do acesso ao banco de dados e ao painel de administração e muito mais. Este artigo é uma leitura obrigatória para qualquer proprietário de site que queira saber mais sobre a segurança necessária para seu site. A maioria das recomendações é fácil de ser realizada e pode melhorar seriamente a saúde e a segurança de seu investimento.
As medidas mais importantes que você pode tomar para ajudar a proteger seu WordPress são:
- Senhas: Exigir que todas as contas de administrador usem um protocolo de senha forte. Considere o uso de Autorização em 2 etapas para impedir o acesso a essas contas. Um hacker que obtiver acesso à sua conta de administrador poderá instalar scripts mal-intencionados que podem comprometer todo o seu servidor, banir seu site dos mecanismos de pesquisa e destruir seu site e os dados privados dos usuários.
A conta de e-mail associada à conta de administrador também deve ter senhas fortes e autorização em duas etapas, pois elas podem ser usadas para acessar facilmente a instalação do WordPress.
- Atualizações: 83% dos sites que são hackeados não são atualizados adequadamente. Essa é a etapa mais importante que você pode fazer para proteger seu site. Nunca deixe que as atualizações fiquem para trás Ativação de atualizações automáticas que é um recurso incorporado ao WordPress.
- Arrumação: Remova os plug-ins e temas não utilizados. Você deseja manter um tema padrão do WordPress além do seu tema principal, mas todos os plug-ins não utilizados devem ser removidos, a menos que você planeje reativá-los em breve.
Avalie bem se você precisa de um plug-in. Menos é melhor quando se trata do número de plug-ins e só instale plug-ins atualizados regularmente e provenientes de um vendedor de boa reputação.
Depois que plug-ins de migração, plug-ins de banco de dados ou plug-ins de edição de arquivos forem usados, eles deverão ser removidos imediatamente. O acesso não autorizado a esses plug-ins pode significar um desastre, pois eles fornecem um caminho simples para as áreas necessárias que um hacker precisa.
- Acesso: Sempre trabalhe em seu site e servidor em uma rede confiável. Evite a todo custo a Internet de cafeterias ou o WIFI público.
Use um Plug-in Limit Login para limitar tentativas incomuns de login. É muito comum que o login do seu site seja atacado diariamente. Às vezes, milhares de vezes por dia, portanto, o uso de um plug-in de login bloqueará tentativas ruins de logins e evitará que eles tentem acessar continuamente.
Remover contas de administrador não utilizadas no WordPress.
Desativar editores de temas e plug-ins no painel de administração do WordPress para evitar edições de arquivos quando seu site for acessado sem autoridade.
Conformidade com SSL, HTTPS e PCI
Todos os sites, sejam eles de pagamento ou não, devem usar um SSL e ser protegidos com HTTPS. Os dados de login, bem como a transferência de informações para seus usuários, devem ser protegidos para a proteção de todos.
O Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) é um conjunto de requisitos destinados a garantir que todas as empresas que processam, armazenam ou transmitem informações de cartão de crédito mantenham um ambiente seguro. Isso não significa apenas que é exigido por lei ter um SSL devidamente instalado em seu site se você tiver uma loja ou um site de associação, mas também significa que você precisa se esforçar mais para proteger seu site, e este artigo aborda muitas dessas etapas que você pode adotar.
Se você quiser saber como instalar um SSL em seu site, temos um artigo detalhado aqui com instruções sobre como instalar um em seu site.
O simples fato de ter um certificado SSL e usar HTTPS não significa necessariamente que você estará em total conformidade com a PCI. Os requisitos variam de acordo com seu tipo de negócio, configuração técnica e/ou volume. Se você tiver preocupações com a conformidade com a PCI, é melhor falar com seu processador de pagamentos ou com um especialista em PCI-DSS. Este artigo é uma boa cartilha sobre o assunto e pode ajudá-lo a entender quais etapas adicionais, se houver, você precisará tomar:
http://tomkconsulting.com/news049-PCI-Overview.htm
Esses guias de perguntas frequentes da PCI também são sucintos e úteis:
https://www.pcicomplianceguide.org/faq/#4
https://www.pcicomplianceguide.org/pci-saq-3-1-e-commerce-options-explained/
Segurança de domínios e DNS
A segurança da conta em que seu domínio está listado (como Godaddy, Namecheap etc.) deve ser protegida usando protocolos de senha forte e, quando possível, login em dois estágios. Se for obtido acesso não autorizado às configurações de DNS do seu domínio, um site poderá ser alterado ou sequestrado e, possivelmente, o domínio poderá ser roubado. Uma auditoria anual na conta do seu domínio para garantir que todas as informações de contato associadas ao domínio estejam atualizadas e precisas é uma boa proteção e pode ajudar a manter a propriedade.
A segurança do DNS é considerada com menos frequência, mas podem ocorrer consequências graves se o seu DNS for sequestrado. Esses ataques podem redirecionar o tráfego de entrada de um site para uma cópia falsa do site, coletando informações confidenciais do usuário e expondo as empresas a grandes responsabilidades. Uma das formas mais conhecidas de proteger contra ameaças ao DNS é adotar o protocolo DNSSEC.
Há muitas opções disponíveis para a proteção do DNS, mas Cloudflare é uma ótima opção, pois não apenas protege seu DNS, mas também protege seu site contra bots e permite que todos os recursos do servidor sejam destinados a usuários reais em vez de atacar bots. A enorme variedade de opções que eles oferecem é excelente para proteger seu site e têm uma variedade de planos de preços, inclusive gratuitos.
Em conclusão
As senhas e as atualizações são a base da segurança e, muitas vezes, são negligenciadas ou sua importância é ignorada. Muitas vezes, as pessoas acham que sua senha é forte quando, na verdade, ela provavelmente foi vazada na dark web centenas de vezes e não tem nenhuma segurança. Tente adquirir o hábito de atualizar regularmente suas senhas em todos os lugares e usar um gerenciador de senhas confiável.
Faça as atualizações do software do site o mais rápido possível. Isso não só ajudará a mantê-lo seguro, mas também resolverá problemas que você possa estar tendo com seu software ou plug-ins.
Se você tiver um infeliz encontro com um hack, use um profissional confiável para resolver o problema e nunca confie em um simples plug-in para protegê-lo ou "corrigir" o problema. Além de remover o malware e evitar que ele retorne, muitas etapas podem estar envolvidas no reparo dessas situações, incluindo a necessidade de documentação da resolução para eliminar a inclusão na lista negra de mecanismos de pesquisa e provedores de e-mail.
Você também pode ter a responsabilidade legal de informar os membros do seu site sobre a violação, e ter um profissional para ajudar com o tedioso projeto de notificar sua base de membros, o jargão necessário e o que foi violado será de grande valia.
O simples fato de se informar sobre a importância da segurança também é um ótimo ponto de partida. A seguir, incluirei referências aos pontos de dados usados neste artigo, bem como outros recursos excelentes para aprender sobre segurança.