Defender é o plugin de segurança para o WordPress recomendado pela Hostnet. Ele é desenvolvido pela WPMU DEV e oferece uma variedade de recursos para seu site. Se trata de um plugin gratuito mas que também possui uma série de recursos extras na versão paga. você pode clicar aqui para ver a página oficial do plugin.
A seguir alguns dos recursos deste plugin:
- Firewall: O Defender possui um firewall de aplicativo da web (WAF) que protege seu site contra ataques de hackers e tentativas de intrusão.
- Varreduras de Segurança: Ele realiza varreduras de segurança regulares em seu site WordPress em busca de vulnerabilidades conhecidas e malware.
- Proteção contra Força Bruta: Defender protege contra tentativas de login de força bruta, que são ataques nos quais os hackers tentam adivinhar suas credenciais de login.
- Bloqueio de IP: Você pode bloquear endereços IP específicos que estão tentando acessar seu site de forma maliciosa.
- Notificações de Segurança: Defender fornece notificações em tempo real sobre atividades suspeitas em seu site, ajudando você a responder rapidamente a possíveis ameaças.
- Blindagem do Site: Ele oferece recomendações de segurança e recursos para fortalecer a segurança do seu site, como a remoção de informações de versão do WordPress.
Neste artigo vamos tratar das principais configurações do Defender. O primeiro passo é instalar e ativar o plugin.
1 – Instalar, ativar o plugin e aplicar as configurações iniciais
Para iniciar as configurações vamos acessar Defender >> Recomendações (recommendations) no painel administrativo do WordPress e clicar no botão ACTIVATE & CONFIGURE (ativar e configurar).
Ao clicar no botão o plugin iniciará um procedimento de configuração inicial padrão ativando diversos recursos.
Ao final deste procedimento inicial basta clicar no botão Finish (finalizar).
Com a configuração inicial seu site já está bem mais seguro. podemos entretanto explorar configurações extras que podem aumentar seu nível de segurança.
2 – Verificação de malware
Em seguida, vamos verificar se algum arquivo foi detectado com malware ou se há outro alerta; por padrão é executada uma verificação inicial ao finalizar a ativação, você também pode fazer esse procedimento de forma manual em: Defender >> Malware Scanning.
Lá podemos clicar em New scan sempre que acharmos conveniente.
Atenção: Nem tudo o que possa aparecer na lista é realmente um problema!
Alguns arquivos podem ser criados por plugins ou pela hospedagem e serem detectados como inseguros pelo plugin. Se informe antes de efetuar alterações e faça o Backup de seu site antes de excluir qualquer arquivo.
Caso tenha dúvidas, entre em contato com o Suporte.
No exemplo acima, o arquivo ‘config_instalador.php‘ foi criado pelo servidor durante a instalação do site, mas é reconhecido como um arquivo incomum. Nesse caso não há necessidade de fazer qualquer alteração. Sendo o indicado ignorar o arquivo em futuras análises. para isso clique em Bulk actions, selecione Ignore e depois clique em Apply (aplicar).
Se tratando de ameaças reais, devemos usar a opção Delete. Por via de regra, arquivos com nomes aleatórios, ou que estejam em pastas incomuns devem ser removidos. Segue exemplo:
3 – Configurações de Firewall
Em Defender >> Firewall podemos acessar a área de informações e configurações de firewall. As tentativas de acesso indevido ao site e ações maliciosas são apresentadas aqui. Mesmo que existam muitas tentativas, não há motivo para se assustar pois o bloqueio está sendo efetuado plenamente.
3.1 – Proteção de login
Login protection (proteção de login), contém as configurações que irão tratar do bloqueio dos IPS que fizerem sucessivas tentativas falhas de login, por usuário inexistente ou por senha incorreta. Os valores padrão são suficiente, porém é possível alterar de acordo com sua necessidade.
Outra opção importante é a de bloqueio por tentativa de login com nomes de usuários específicos. Sites em WordPress comumente possuem contas administrativas com o nomes de usuário adm, admin, administrator ou administrador.
A Hostnet recomenda não utilizar estes nomes de usuário e utilizar a opção Banned usernames (nomes de usuários proibidos) para bloquear tentativas de acesso através destes nomes de usuário.
Atenção: Se bloquear seu nome de usuário, você será impossibilitado de logar novamente, a menos que insira seu IP na lista branca(será abordado logo abaixo). Por isso recomendamos que verifique seu nome de usuário antes de efetuar qualquer bloqueio.
Veja como mudar seu nome de usuário com o Defender no tópico 5.
3.2 – Proteção contra acesso a arquivos não existentes (404)
Bots, como são chamados os robôs que vasculham a internet em busca de vulnerabilidades, podem tentar acessar arquivos em seu site para ganhar acesso administrativo, inserir código malicioso ou extrair informações confidenciais. O Defender nos ajuda a impedir estas tentativas.
Em 404 detection temos acesso ao bloqueio de tentativas de acesso à arquivos inexistentes. A opção padrão é de 20 tentativas em 5 minutos para bloqueio do IP. O que já é suficiente, podemos entretanto aumentar a segurança alterando o tipo de bloqueio de temporário para permanente.
3.3 – Bloqueio / desbloqueio de IPs
A sessão ip banning possui as opções de “lista negra e “lista branca” ou seja, a área de IPs com acesso bloqueado e liberado ao site, respectivamente. Em allowlist, pode colocar IPs seguros, como o dos administradores do site, que podem tomar qualquer ação e não serão bloqueados pelo plugin.
Atenção: nunca coloque o IP de um administrador na blocklist, pois ele perderá o acesso ao site.
Demais configurações avançadas de firewall não serão abordadas neste post, recomendamos que sejam mantidas em seu padrão.
4 – Autenticação em dois fatores (2FA) [opcional]
A autenticação em dois fatores permite ao usuário confirmar o login através de um código gerado por uma ferramenta externa. É especialmente eficiente em proteger contra acessos não autorizados por alguém que tenha seu login e senha.
Para ativar, vá em Defender >> 2FA e clique em Activate.
Em User Roles é possível escolher os níveis de usuário que poderão fazer uso da autenticação. Também é possível torná-la obrigatória através de Force Authentication.
App Title determina como seu site será identificado no aplicativo de autenticação.
Observe que estas configurações vão variar de acordo com as necessidades de seu site, por isso avalie os prós e contras antes de ativar.
4.1 – Configurar a autenticação na página do usuário
Uma vez ativa, deve concluir a configuração na página do usuário. Cada usuário deve realizar essa configuração individualmente, já que se trata de dados particulares e cada um terá seu próprio código aleatório gerado.
Acesse o canto superior direito da tela, passe o mouse sobre o nome de usuário e clique em “editar perfil”.
Em seguida, desça até o fim da página e ative TOTP Authenticator App. Será apresentado um QR-Code e um código alfa-numérico individual para o usuário que está configurando, não compartilhe este código.
Feito isto, deve instalar o Google Authenticator em seu Smartphone, pode realizar através de um destes links:
4.2 – Configurar o aplicativo no smartphone
Em seu Smartphone, abra o aplicativo e clique no botão ‘+’ no canto inferior direito. Escolha a opção “ler QR-Code”, não sendo possível, use “inserir chave de configuração” e digite o código alfa-numérico.
Concluindo a leitura do código, será gerada uma entrada referente ao site. Neste exemplo o nome do app foi configurado como “Hostnet”, e é assim que ele é apresentando na lista do Google Authenticator.
Para concluir, digite em seu site o código gerado pelo aplicativo e clique em verificar.
Pronto, a configuração de autenticação agora está completa! A partir de agora sempre que este usuário logar será solicitado a autenticação através do código gerado no celular.
O código é dinâmico, trocando para um valor aleatório de 6 dígitos a cada 30 segundos. Portanto, você deve sempre abrir o app para verificar o código gerado no momento do login.
5 – Verificação de recomendações
Em Defender >> Recommendations (recomendações) podemos checar quais opções estão ativas. Por padrão as opções ocultar relatórios de erros e desabilitar o editor de arquivos estão desativadas, recomendamos que as mantenham desativadas.
Clicando em actioned temos a seguinte lista ativa:
As funções de “pingback e trackback” e XML-RPC são necessárias para algumas integrações (como WooCommerce por exemplo), portanto caso encontre algum problema, é recomendado que desative estas opções no Defender.
Recomenda-se fortemente evitar o uso de “admin” como nome de usuário, pois pode ser um alvo fácil para invasores Para alterar, clique em recomendações, selecione a opção, e preencha o campo com o novo nome de usuário e clique em ativar.
Ao ativar essa opção você será automaticamente deslogado e precisará realizar o login novamente.
6 – Fortalecendo a segurança
Em tools (ferramentas) estão configurações opcionais que podem ajudar a aumentar a segurança de seu site, mas não são obrigatórias.
6.1 – Alterando a url de login
Mascarar o endereço de login é uma importante opção de segurança, serve para evitar ataques baseados no endereço padrão: endereco-do-site/wp-admin.
Atenção: Caso seu site possua uma página de login customizada ou utilize o plugin WPS Hide Login, você deve DESATIVAR esta opção para evitar conflitos. Caso contrário será impossibilitado de logar em seu site.
clique em “+” da opção Mask Login Area para ir até ela.
Clique em activate para escolher o novo endereço de login.
Deve inserir o novo endereço em Masking URL slug (máscara de endereço), use apenas letras minúsculas, números, hífen ou underline.
Redirect traffic (redirecionar tráfego) permite redirecionar alguém que tente acessar o endereço /wp-admin para uma página específica, seja dentro de seu site ou um Custom Url (endereço customizado) que pode ser qualquer endereço da web.
Recomendamos usar a Home nesta opção, assim o usuário será redirecionado para a página principal de seu site.
Para completar esta configuração, clique em Save Changes.
6.2 – Cabeçalhos de segurança
Na aba Security Headers (cabeçalhos de segurança) ativaremos todas as opções, deixando as configurações internas em seu padrão.
Esta sessão trata de opções de cabeçalhos de segurança e protege seu site contra ataques comuns, controlando como o conteúdo é exibido e carregado.
Clique em Save Changes para salvar as alterações.
Caso encontre algum problema ao utilizar o Microthemer, desative a opção X-Frame-Options.
6.3 – Google ReCaptcha
O ReCaptcha permite evitar uma série de tentativas de ataque em seu site, seja através de formulários, comentários ou outros métodos de inserção de dados.
para ativá-la clique em Google Recaptcha e depois em activate.
Recomendamos o V2 Invisible (Versão dois invisível) pois tem melhor compatibilidade, inclusive no checkout de lojas virtuais.
Acesse o site de gerenciamento do Google Recaptcha e crie um novo, caso não possua. Copie o site key e secret key e cole nos devidos campos.
Mais abaixo temos as opções de mensagem de erro e locais onde o conteúdo estará ativo. A Hostnet recomenda ativar o ReCaptcha em todos os formulários, inclusive no WooCommerce caso utilize.
Clicando em Save Changes para salvar as alterações, a página será recarregada com uma prévia do funcionamento do ReCaptcha.
Se tudo estiver correto, a imagem à esquerda será exibida. Caso contrário, revise as configurações do ReCaptcha antes de continuar.
Atenção: Não deslogue sem corrigir o ReCaptcha, caso contrário será impossibilitado de logar novamente em seu site!
7 – Considerações finais
Concluímos as configurações do Defender, agora seu site está mais seguro e resistente à ameaças!
Observe que nem todas as configurações são obrigatórias, cabendo a você avaliar o que faz sentido ser ativado de acordo com a necessidade específica de seu site.
Também é importante se atentar para incompatibilidades ou conflitos com funções do Defender e seus plugins ou tema. Caso encontre algum problema é recomendável desativar a opção no Defender e buscar uma alternativa que seja compatível.
Por fim, caso encontre algum problema que não consiga resolver, ou então não consiga mais acessar seu WordPress, conte com o Suporte Hostnet para lhe ajudar!
Pode ter mais informações em nossa área de atendimento ao cliente.
Post baseado no artigo Defender: seu site WordPress mais seguro de Ivan Gneiding.
Pode acessar mais artigos em: Artigos / FAQ – Comunidade Hostnet