5 coisas para dizer aos seus clientes sobre a segurança do WordPress
Publicados: 2021-02-05Construir e proteger um site WordPress é sempre um desafio. Os desenvolvedores tomam muito cuidado para escrever um código sólido e implementar recursos como plugins de segurança para mitigar os ataques inevitáveis.
Mesmo assim, não estamos fora de perigo. Parafraseando o velho ditado: um site é tão seguro quanto seu elo mais fraco. Além de possíveis explorações devido ao código, o elo mais fraco tende a ser um usuário desinformado. Alguém que, sem culpa própria, faz uma má escolha que deixa seu site vulnerável.
Para usar outro clichê: a melhor defesa é um bom ataque. Nesse caso, significa ser proativo quando se trata de ensinar aos clientes as melhores práticas de segurança. Algumas coisas (como senhas fortes) são universais, enquanto outras são mais específicas do próprio WordPress. E esse é o nosso foco de hoje.
Com isso, vamos rever cinco coisas que seus clientes precisam saber sobre a segurança do WordPress.
Não instale um plugin WordPress sem consultar um profissional
Nós entendemos: a tentação de instalar plugins é real. Afinal, eles estão a apenas alguns cliques de distância.
Mas o risco também é real. Os plugins do WordPress variam muito em termos de qualidade e, portanto, segurança. Não é incomum encontrar um plugin no repositório oficial que não tenha sido atualizado em um ano ou mais. Talvez seja inofensivo; talvez não seja.
Por isso, os web designers devem incentivar os clientes a realizar uma consulta rápida antes de instalar um plugin. Ofereça-se para dar uma olhada e rever os detalhes. Essa única etapa pode evitar um cenário de pesadelo em relação à segurança e estabilidade do site.
Existem vários benefícios. Primeiro, isso mantém você informado sobre o que está acontecendo com o site. Além disso, permite que você direcione os clientes na direção de plugins bons e respeitáveis. Sem mencionar que isso treina os clientes a pensar antes de clicar. Isso beneficia a todos.
Crie novas contas de usuário, em vez de compartilhar uma única
Muitas organizações têm mais de uma pessoa que precisa acessar o painel do WordPress. Muitas vezes, esses usuários compartilham uma única conta.
Na superfície, isso pode parecer uma simples questão de confiança. E certamente há um elemento disso. Se um membro da equipe deixar a organização, existe a possibilidade de ele ainda ter acesso se a senha não tiver sido alterada. E uma pessoa maliciosa poderia causar algum dano.
A outra preocupação real aqui é sobre a segurança do dispositivo. Se você tem, digamos, cinco pessoas compartilhando uma conta de administrador do WordPress, basta um de seus dispositivos para ser explorado. Por exemplo, um keylogger no PC de um usuário pode comprometer a conta.
Portanto, é recomendável que cada usuário tenha sua própria conta. Isso é fácil de fazer no WordPress, e podemos até criar funções de usuário personalizadas que limitam o que alguém pode e não pode fazer.
Mantenha o WordPress Core, Plugins e Temas Atualizados
Idealmente, seus clientes contratarão você para lidar com atualizações de software. Mas se são eles que assumem a responsabilidade, é importante que tratem a questão com muita seriedade.
Como desenvolvedor, há poucas coisas mais irritantes do que solucionar problemas de um site comprometido, apenas para fazer login no WordPress e ver que as coisas estão várias versões desatualizadas. É como deixar a porta da frente da sua casa aberta, 24 horas por dia, 7 dias por semana. Você não deve ficar muito surpreso quando alguém entra e leva sua nova TV chique.
A importância de manter o núcleo do WordPress, plugins e temas atualizados não pode ser exagerada. Sabendo que ainda pode estar além do nível de conforto de alguns clientes. Isso está ok. Ou eles podem contratá-lo para lidar com isso ou, no mínimo, habilitar atualizações automáticas sempre que possível.
Independentemente de como as atualizações são implementadas, elas devem ser cuidadas. Embora não garanta segurança, é muito melhor do que a alternativa.
A autenticação de dois fatores pode fazer uma grande diferença
Adicionar autenticação de dois fatores ao WordPress é bastante simples. Mas só vale a pena se as partes interessadas realmente o usarem.
É verdade, não é muito conveniente. Ter que verificar um e-mail, uma mensagem de texto ou verificar um aplicativo móvel para fazer login pode ser uma grande dor. Mas este passo extra é vital. Ele cria uma enorme barreira entre um agente mal-intencionado e o acesso ao back-end do seu site.
E a experiência do usuário está realmente melhorando. Algumas implementações agora estão combinando reconhecimento de dispositivo com 2FA. Isso significa que, desde que o dispositivo de um usuário seja reconhecido, não haverá necessidade de verificar um login por um determinado período de tempo.
Além disso, o 2FA tornou-se padrão em muitos lugares. Alguns aplicativos de banco on-line não permitem que você faça login sem ele. Não há razão para que seu site também não aproveite essa tecnologia.
O que é seguro hoje pode não ser amanhã
Independentemente da plataforma em que é executado, um site não é um assunto único. Requer atenção frequente (se não constante) – com a segurança desempenhando um papel importante.
A web está em constante evolução. A nova tecnologia envelhece muito rapidamente. E o que antes era considerado uma prática recomendada de segurança às vezes pode ser provado o contrário.
Por isso, a segurança do site é um desafio que realmente não tem fim. É uma batalha diária para pequenas e grandes organizações.
O resultado é que os sites precisam mudar junto com os tempos. Quando se trata do WordPress, isso pode significar substituir os plugins de segurança mais antigos por algo melhor. Ou acabar com temas e plugins abandonados para apertar as coisas. Também pode exigir uma mudança nos hosts ou ambientes de servidor.
É importante entender que só porque você investiu em segurança hoje não significa que não terá que fazê-lo novamente amanhã.
Eduque os clientes hoje para um site WordPress mais seguro
Nossos clientes geralmente confiam em nós para fornecer algum conhecimento junto com um site matador. E a segurança pode ser o assunto mais importante sobre o qual podemos educá-los.
Fazer um esforço para fazê-lo desde o início pode render dividendos a longo prazo. Um cliente que entende como manter seu site WordPress seguro tem menos probabilidade de cometer um desses erros cruciais. Isso por si só pode ser a diferença entre limpar um site invadido e navegar tranquilamente.