fbpx
Plugin de associação do WordPress
segurança do site de associação wordpress

Segurança do site de associação: como manter seu site seguro e protegido

Divulgação do leitor

A segurança do seu site é de extrema importância por dois motivos principais: o investimento que você fez no site e a privacidade das pessoas que o utilizam. Todos os sites na Internet estão em risco e exigem etapas específicas para manter a segurança e a conformidade. Isso é especialmente verdadeiro para sites que abrigam dados do usuário como sites de associação ou de comércio eletrônico.

Se o seu site for hackeado, todos os dados dos seus usuários estarão em perigo. A proteção desses dados é de sua responsabilidade e você pode assumir responsabilidades perante esses usuários. O site invadido pode ser usado para causar danos aos computadores dos visitantes ou para enviar mensagens de spam em massa. Isso prejudicaria seus usuários diretamente e mancharia a reputação da sua empresa. Talvez o pior de tudo seja que o fato de não estar em conformidade (ou ser hackeado) pode fazer com que seu site seja desindexado dos mecanismos de pesquisa da Web e impedido de enviar e-mails.

Caramba. Vamos tentar evitar isso, certo?

Embora seja quase impossível tornar seu site 100% seguro, faremos o possível para mostrar a você alguns dos elementos essenciais para proteger seu site e acompanhar os requisitos modernos de conformidade. O gerenciamento da segurança e da conformidade é uma parte importante da construção de um site. Se você ou sua equipe não for capaz de atender às necessidades de segurança, considere a possibilidade de contratar um profissional para ajudá-lo a manter a conformidade e a segurança.

segurança do site de associação wordpress

Uma visão geral dos principais recursos de segurança do MemberMouse

O MemberMouse utiliza os mais recentes padrões e protocolos de segurança para senhas, licenciamento e transações de pagamento. Também nos esforçamos para nos integrar a todas as novas versões de recursos de segurança aprimorados. Nem o site do MemberMouse nem nossos servidores jamais armazenarão os detalhes de pagamento de seus clientes. Em vez disso, essas informações são armazenadas nos servidores de seu processador de pagamentos.

O MemberMouse vem pronto para uso com várias opções para aumentar a segurança do seu site:

Como o MemberMouse lida com a segurança

Proteção de compartilhamento de conta permite limitar o número de endereços IP que podem acessar uma conta em um período de 24 horas.

Elementos de listras integração: O que há de mais moderno em Segurança de checkout 3D Secure da Stripe. Essa tecnologia tem o mais alto nível de conformidade com a PCI e é Pronto para SCA. O checkout com 3D Secure é obrigatório para os clientes do Espaço Econômico Europeu (EEE) para que estejam em conformidade. As informações de cartão de crédito e faturamento são enviadas diretamente para o Stripe e nunca entram em contato com seus servidores.

Authorize.net CIM integração: Isso habilitará o gerenciador de informações do cliente que armazena os detalhes do cliente nos servidores da Authorize.net. Além disso, a troca de tokens Accept.js foi incorporada à nossa integração CIM da Authorize.net, de modo que as informações de cartão de crédito e faturamento são enviadas diretamente para a Authorize.net e nunca entram em contato com seus servidores.

Braintree integração: Isso inclui o processo de checkout com 3D Secure usando Hosted Fields / 3D Secure 2.0. e apresenta a mais alta conformidade com PCI e está pronto para SCA. O checkout 3D Secure é obrigatório para os clientes do Espaço Econômico Europeu (EEE) para que estejam em conformidade. As informações de cartão de crédito e faturamento são enviadas diretamente para a Braintree e nunca entram em contato com seus servidores.

Limitar tentativas de login integração de plug-ins: Por padrão, o WordPress permite tentativas ilimitadas de login. Configuramos uma integração com o plug-in Limit Login Attempts que permitirá que você configure seu site para bloquear um endereço de Internet de fazer novas tentativas depois que um limite especificado de tentativas for atingido, dificultando ou impedindo um ataque de força bruta.

Indo um passo mais fundo

Ao criar um usuário ou fazer uma redefinição de senha, o MemberMouse impõe um requisito mínimo de 8 caracteres para a força da senha. O MemberMouse também suporta a adição de um filtro personalizado que permite que a senha seja avaliada com base em requisitos personalizados que você pode definir.

O checkout pode ser configurado para usar V3 do Google ReCaptcha que é a versão mais recente de um sistema invisível que minimiza os registros de bots e golpistas.

MemberMouse.com não armazena nem tem acesso a nenhum dos dados de seus usuários nem a informações de cartão de crédito.

Nossa plataforma é compatível com o GDPR e tem Recursos para gerenciar solicitações de GDPR.

O MemberMouse usa a funcionalidade padrão de senha do WordPress, portanto, você sabe que sempre terá os melhores e mais recentes recursos de armazenamento e gerenciamento de senhas.

O MemberMouse é atualizado regularmente e é compatível com as versões mais recentes do PHP.

segurança do wordpress

O ABC da segurança de hospedagem na Web

A maioria das hospedagens modernas tem o básico necessário para manter seu servidor seguro com ferramentas como Modsecurity ou firewalls de aplicativos da Web (WAF). Dito isso, você nunca deve usar hospedagem barata - ou revenda de hospedagem de baixo nível - porque eles podem não ter protocolos para manter seu servidor protegido ou a capacidade de atender a solicitações de emergência que você possa ter.

Considerando que seu host já deve ter protocolos e módulos comuns para manter seu servidor seguro, grande parte das responsabilidades de segurança do seu servidor recai sobre você. Infelizmente, é comum que muitos proprietários de sites não considerem os possíveis perigos envolvidos ao configurar seu pacote de hospedagem. Para colocar isso em perspectiva, o gerenciamento inadequado da hospedagem é responsável por 41% da maioria dos hacks. Para ajudar a manter seu servidor seguro, aqui estão algumas coisas comuns que são ignoradas e que você pode fazer para se manter seguro:

Como manter seu site seguro

Use um protocolo de senha forte para fazer login no seu plano de hospedagem com uma combinação de letras, números e caracteres. Nunca use palavras que possam ser encontradas no dicionário.

Remova todas as contas de FTP enquanto elas não estiverem em uso. Muitos hosts permitem que o FTP seja fechado quando não estiver em uso. Novamente, use protocolos de senha forte ao configurar isso.

Todas as contas de e-mail associadas ao site ou que estejam no servidor devem ter protocolos de senha fortes. Se essas contas forem invadidas, poderão ser usadas para acessar o site e causar danos, além de poderem ser usadas para o envio de e-mails de spam.

Verifique regularmente se há irregularidades em seu gerenciador de arquivos. Muitas vezes, os backups ou arquivos de banco de dados estão localizados em public_html, o que os torna publicamente disponíveis. Esses backups podem ser baixados facilmente e todas as informações seguras do seu site estão neles, inclusive o acesso ao banco de dados e as senhas de administrador. Mantenha seu sistema de arquivos organizado e armazene somente os arquivos necessários para o funcionamento do site.

Dicas adicionais

Verifique com frequência se as permissões de arquivos e pastas estão definidas corretamente. Os arquivos, inclusive o arquivo .htaccess e o arquivo wp-config, devem ter permissão 644, enquanto as pastas devem ter permissão 755. Os arquivos podem ser ajustados para a permissão errada quando determinadas ações ocorrem no painel de administração do WordPress, portanto, é importante verificá-los regularmente.

Certifique-se de que seu servidor crie backups regulares que você possa acessar. Não confie em plug-ins para lidar com backups, pois eles não são confiáveis e geralmente não funcionam com o MemberMouse.

Faça auditorias anuais no software do servidor para ter certeza de que está usando as versões mais recentes e compatíveis do PHP.

Nunca faça login no seu servidor se achar que seu computador pessoal está comprometido. Você deve usar um software de segurança compatível em qualquer computador que use para acessar o servidor e o site. Esse é um método muito comum pelo qual seu site ou servidor pode ser invadido.

Para obter mais orientações sobre como escolher um provedor de hospedagem, bem como os requisitos mínimos para executar o MemberMouse, consulte nosso artigo sobre Provedores de hospedagem WordPress.

segurança do site de associação

Algumas coisas que você deve saber sobre a segurança do WordPress

O WordPress Codex tem um artigo enorme sobre Fortalecimento do WordPress que discute as vulnerabilidades, a configuração de permissões de arquivos seguras, a proteção do acesso ao banco de dados e ao painel de administração e muito mais. Este artigo é uma leitura obrigatória para qualquer proprietário de site que queira saber mais sobre a segurança necessária para seu site. A maioria das recomendações é fácil de ser realizada e pode melhorar seriamente a saúde e a segurança de seu investimento.

As medidas mais importantes que você pode tomar para ajudar a proteger seu WordPress são:

Senhas: Exija que todas as contas de administrador usem uma senha protocolo de senha forte. Considere o uso de Autorização em 2 etapas para impedir o acesso a essas contas. Um hacker que obtiver acesso à sua conta de administrador poderá instalar scripts mal-intencionados que podem comprometer todo o seu servidor, banir seu site dos mecanismos de pesquisa e destruir seu site e os dados privados dos usuários.

A conta de e-mail associada à conta de administrador também deve ter senhas fortes e autorização em duas etapas, pois elas podem ser usadas para acessar facilmente a instalação do WordPress.

Atualizações: 83% dos sites que são hackeados não são atualizados adequadamente. Essa é a etapa mais importante que você pode fazer para proteger seu site. Nunca deixe que as atualizações fiquem para trás, ativando Atualizações automáticas que é um recurso incorporado ao WordPress.

Arrumação: Remova plugins e temas não utilizados. Você deseja manter um tema padrão do WordPress além do seu tema principal, mas todos os plug-ins não utilizados devem ser removidos, a menos que você planeje reativá-los em breve.

Nota lateral

Avalie bem se você precisa de um plug-in. Menos é melhor quando se trata do número de plug-ins e só instale plug-ins atualizados regularmente e provenientes de um vendedor de boa reputação.

Depois que plug-ins de migração, plug-ins de banco de dados ou plug-ins de edição de arquivos forem usados, eles deverão ser removidos imediatamente. O acesso não autorizado a esses plug-ins pode significar um desastre, pois eles fornecem um caminho simples para as áreas necessárias que um hacker precisa.

Acesso: Sempre trabalhe em seu site e servidor em uma rede confiável. Evite a todo custo a Internet de cafeterias ou o WIFI público.

Use um Plugin Limit Login para limitar tentativas incomuns de login. É muito comum que o login do seu site seja atacado diariamente. Às vezes, milhares de vezes por dia, portanto, o uso de um plug-in de login bloqueará tentativas ruins de logins e evitará que eles tentem acessar continuamente.

Remover contas de administrador não utilizadas no WordPress.

Desativar editores de temas e plug-ins no painel de administração do WordPress para evitar edições de arquivos quando seu site for acessado sem autoridade.

ssl https pci segurança do site de associação

Tudo sobre acrônimos: SSL, HTTPS e conformidade com a PCI

Todos os sites, independentemente de aceitarem pagamentos ou não, devem usar um SSL e ser protegidos com HTTPS. Os dados de login, bem como a transferência de informações para seus usuários, devem ser protegidos para a proteção de todos.

O Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) é um conjunto de requisitos destinados a garantir que todas as empresas que processam, armazenam ou transmitem informações de cartão de crédito mantenham um ambiente seguro. Isso não significa apenas que é exigido por lei ter um SSL devidamente instalado em seu site se você tiver uma loja ou um site de associação, mas também significa que você precisa se esforçar mais para proteger seu site, e este artigo aborda muitas dessas etapas que você pode adotar.

Se você quiser saber como instalar um SSL em seu site, temos um artigo detalhado aqui com instruções sobre como instalar um em seu site.

O simples fato de ter um certificado SSL e usar HTTPS não significa necessariamente que você estará em total conformidade com a PCI. Os requisitos variam de acordo com seu tipo de negócio, configuração técnica e/ou volume. Se você tiver preocupações com a conformidade com a PCI, é melhor falar com seu processador de pagamentos ou com um especialista em PCI-DSS. Este artigo é uma boa introdução sobre o assunto e pode ajudá-lo a entender quais etapas adicionais, se houver, você precisará tomar.

Esses guias de perguntas frequentes da PCI também são sucintos e úteis:

Quais são os "níveis" de conformidade com a PCI e como eles são determinados?

PCI SAQ 3.1: Explicação das opções de comércio eletrônico

Não se esqueça da segurança do domínio e do DNS

A segurança da conta em que seu domínio está listado (como Godaddy, Namecheap etc.) deve ser protegida usando protocolos de senha forte e, quando possível, login em dois estágios. Se for obtido acesso não autorizado às configurações de DNS do seu domínio, um site poderá ser alterado ou sequestrado e, possivelmente, o domínio poderá ser roubado. Uma auditoria anual na conta do seu domínio para garantir que todas as informações de contato associadas ao domínio estejam atualizadas e precisas é uma boa proteção e pode ajudar a manter a propriedade.

A segurança do DNS é considerada com menos frequência, mas podem ocorrer consequências graves se o seu DNS for sequestrado. Esses ataques podem redirecionar o tráfego de entrada de um site para uma cópia falsa do site, coletando informações confidenciais do usuário e expondo as empresas a grandes responsabilidades. Uma das formas mais conhecidas de proteger contra ameaças ao DNS é adotar o protocolo DNSSEC.

Há muitas opções disponíveis para a proteção do DNS, mas Cloudflare é uma ótima opção, pois não apenas protege seu DNS, mas também protege seu site contra bots e permite que todos os recursos do servidor sejam destinados a usuários reais em vez de atacar bots. A enorme variedade de opções que eles oferecem é excelente para proteger seu site e têm uma variedade de planos de preços, inclusive gratuitos.

segurança para sites de associação

Concluindo

As senhas e as atualizações são a base da segurança e, muitas vezes, são negligenciadas ou sua importância é ignorada. Muitas vezes, as pessoas acham que sua senha é forte quando, na verdade, ela provavelmente foi vazada na dark web centenas de vezes e não tem nenhuma segurança. Tente adquirir o hábito de atualizar regularmente suas senhas em todos os lugares e usar um gerenciador de senhas confiável.

Faça as atualizações do software do site o mais rápido possível. Isso não só ajudará a mantê-lo seguro, mas também resolverá problemas que você possa estar tendo com seu software ou plug-ins.

Se você tiver um infeliz encontro com um hack, use um profissional confiável para resolver o problema e nunca confie em um simples plug-in para protegê-lo ou "corrigir" o problema. Além de remover o malware e evitar que ele retorne, muitas etapas podem estar envolvidas no reparo dessas situações, incluindo a necessidade de documentação da resolução para eliminar a inclusão na lista negra de mecanismos de pesquisa e provedores de e-mail.

Você também pode ter a responsabilidade legal de informar os membros do seu site sobre a violação, e ter um profissional para ajudar com o tedioso projeto de notificar sua base de membros, o jargão necessário e o que foi violado será de grande valia.

O simples fato de se informar sobre a importância da segurança também é um ótimo ponto de partida. Abaixo, incluímos referências aos pontos de dados usados neste artigo, bem como outros recursos excelentes para aprender sobre segurança.

Recursos adicionais:

Como os sites são hackeados?
Como melhorar a segurança do WordPress [Infográfico]
Fortalecimento do WordPress
Autenticação em duas etapas
Configuração de atualizações automáticas em segundo plano
Práticas recomendadas de senha
Repositório do WordPress - Plug-ins com tags de segurança

Joshua Baer

Joshua é membro da nossa Equipe de Sucesso do Cliente. Ele adora escrever, ajudar as pessoas com a tecnologia e vencer desafios difíceis. Ele pode ser encontrado com frequência fazendo longas viagens, caminhando por áreas inexploradas, cultivando orquídeas e assistindo a filmes clássicos de ficção científica.

Conteúdo relacionado
10 exemplos de sites de associação
10 sites de associação de nicho que vão inspirar você
temas de sites de associação do wordpress
16 dos melhores temas de associação do WordPress em 2023
como nomear seus níveis de associação
O guia completo para nomear seus níveis de associação

Deixe um comentário

Comece hoje mesmo

Comece a criar seu site de associação com o MemberMouse!

Digite um e-mail válido e tente novamente

Fácil configuração - Garantia de reembolso de 14 dias - Cancelamento a qualquer momento

Plugin de associação do WP
pt_BR PT
pt_BR PT en_US EN es_ES ES de_DE DE fr_FR FR
Recursos
Empresa
Recursos
Conectar
Do blog
10 sites de associação de nicho que vão inspirar você
O guia completo para nomear seus níveis de associação
Então você quer começar um negócio de associação?
16 dos melhores temas de associação do WordPress em 2023

© 2024 MemberMouse, LLC   Termos e condições   |   Política de privacidade