Medidas de segurança que você precisa considerar ao gerenciar um site WordPress
Em seu compromisso contínuo de proteger os ativos digitais e aumentar a segurança do site, estamos implementando protocolos de segurança abrangentes para o gerenciamento de sites WordPress. Essas medidas foram criadas para proteger contra acesso não autorizado e garantir que sua equipe siga as práticas recomendadas de segurança digital.
Apresentando a autenticação de dois fatores (2FA)
O protocolo de segurança fundamental é o uso obrigatório da autenticação de dois fatores (2FA). Essa camada adicional de segurança garante que o acesso ao back-end do WordPress seja rigidamente controlado e acessível somente ao pessoal autorizado. A exigência de um segundo formulário de verificação pode reduzir significativamente o risco de acesso não autorizado.
Não há mais senhas nos navegadores
Para proteger ainda mais seu ambiente digital, aplique uma política contra o salvamento de senhas de navegador. Embora conveniente, essa prática representa um risco à segurança. O melhor seria incentivar o uso de gerenciadores de senhas seguros para armazenar senhas, aumentando a segurança e a conveniência sem comprometimento.
Conexões seguras obrigatórias na Web
Reconhecendo as vulnerabilidades associadas às conexões públicas com a Internet, você deve exigir que todos os membros da equipe usem conexões seguras com a Web ao gerenciar seus sites WordPress. Isso significa utilizar VPNs e evitar redes Wi-Fi públicas a todo custo. Qualquer desvio dessa política será objeto de ação disciplinar rigorosa para manter seus altos padrões de segurança.
Documentação detalhada do site
Cada membro da equipe manterá um documento detalhado para cada site WordPress que gerenciar. Esse documento incluirá uma lista abrangente de plug-ins instalados, usuários atuais e um registro de verificações manuais mensais, entre outras informações essenciais. Essa iniciativa visa a manter a transparência e facilitar o gerenciamento eficiente de seus sites.
Instalação e gerenciamento de plug-ins
Em seu compromisso de manter um ambiente WordPress seguro, a instalação de novos plug-ins ou a remoção de plug-ins existentes agora exigirá permissão expressa por escrito. Essa política impede alterações não autorizadas que possam introduzir vulnerabilidades. Os plug-ins de gerenciador de arquivos, conhecidos por seus riscos à segurança, são estritamente proibidos.
Assuma um compromisso com a segurança
Esses aprimoramentos no protocolo de gerenciamento de sites do WordPress refletem seu compromisso inabalável com a segurança. Ao implementar essas medidas, você pode ter como objetivo proteger seus ativos digitais e a integridade das informações confiadas a você, aos seus clientes ou aos membros da sua equipe.
Entenda que a adaptação a essas mudanças pode exigir um período de ajuste. No entanto, os benefícios de longo prazo - maior segurança, melhor conformidade e uma infraestrutura digital mais robusta - superam em muito os inconvenientes iniciais.
Criamos um Procedimento Operacional Padrão (POP) para o Modelo de Protocolos de Segurança de Sites do WordPress para você baixar aqui como PDF.
Também listamos abaixo se você quiser copiar e colar.
Procedimento operacional padrão (SOP) para protocolos de segurança de sites WordPress
Controle de documentos
- Versão: 1.0
- Data: 04/08/2024
- Proprietário do documento:
- Aprovação:
Finalidade
Este POP descreve os protocolos de segurança para o gerenciamento de sites do WordPress para proteção contra acesso não autorizado e possíveis ameaças à segurança. O foco principal é ativar a autenticação de dois fatores (2FA) e evitar que as senhas sejam salvas nos navegadores.
Escopo
Este procedimento se aplica a todos os membros da equipe que gerenciam, mantêm ou acessam o backend do site WordPress.
Responsabilidades
- Administradores de sites: Responsável pela aplicação dos protocolos de segurança.
- Equipe de segurança de TI: Oferece suporte e supervisão da implementação de medidas de segurança.
- Todos os usuários: Cumprir os protocolos de segurança.
Procedimento
- Autenticação de dois fatores (2FA)
- Implementação:
- Instale e ative um plug-in 2FA, como "Two Factor Authentication" ou "Wordfence Security".
- Navegue até as configurações do plug-in e ative a 2FA para todas as funções de usuário.
- Escolha o método 2FA preferido (por exemplo, e-mail, SMS, aplicativo autenticador) e configure de acordo.
- Registro de usuário:
- Informe todos os usuários sobre a exigência de 2FA por meio de uma comunicação oficial.
- Forneça um guia passo a passo ou uma sessão de treinamento sobre a configuração da 2FA.
- Defina um prazo para que todos os usuários habilitem a 2FA em suas contas.
- Monitoramento da conformidade:
- Revise regularmente as contas de usuário para garantir que a 2FA esteja ativada.
- Resolva prontamente quaisquer problemas de conformidade ou dificuldades dos usuários.
- Nenhuma senha salva nos navegadores
- Diretrizes:
- Instrua os usuários sobre os riscos de salvar senhas nos navegadores.
- Incentive o uso de um gerenciador de senhas seguro para armazenar senhas.
- Implemente soluções técnicas para bloquear o salvamento de senhas nos navegadores, se possível.
- Conformidade:
- Conduzir auditorias periódicas para garantir a conformidade com esta política.
- Forneça suporte e alternativas aos usuários para o gerenciamento seguro de senhas.
Práticas recomendadas adicionais
- Atualizações regulares: Certifique-se de que o núcleo, os temas e os plug-ins do WordPress sejam atualizados regularmente.
- Senhas fortes: Imponha o uso de senhas fortes para todas as contas.
- Limite de tentativas de login: Instale um plug-in para limitar as tentativas de login e bloquear endereços IP após repetidas tentativas fracassadas.
- Gerenciamento de funções de usuário: Atribua as permissões mínimas necessárias para que os usuários desempenhem suas funções.
- Certificado SSL: Use um certificado SSL para criptografar os dados transmitidos de e para o seu site.
- Backups de sites: Programe backups regulares de seu site e armazene-os com segurança.
- Auditorias de segurança: Realizar auditorias periódicas de segurança e testes de penetração para identificar e solucionar vulnerabilidades.
Requisito de documentação do site
- Declaração de política: Cada membro da equipe deve manter um documento detalhado para cada site WordPress que gerencia. Esse documento serve como um registro abrangente que inclui, entre outras, as seguintes informações:
- Plugins: Uma lista de todos os plug-ins instalados, sua finalidade e a data da última atualização. Essa seção também deve observar quaisquer personalizações ou configurações específicas relevantes para a operação do plug-in.
- Usuários atuais: Uma lista atualizada de todos os usuários com acesso ao backend do WordPress, incluindo suas funções e a data em que foram adicionados. Devem ser realizadas auditorias regulares para garantir que somente usuários autorizados tenham acesso.
- Medidas de segurança: Quaisquer medidas de segurança específicas implementadas no site, incluindo configurações de 2FA, certificados SSL e regras de firewall personalizadas.
- Varreduras manuais mensais: Um registro de varreduras mensais manuais realizadas com o Immunify ou uma ferramenta semelhante, incluindo a data da varredura e quaisquer descobertas ou ações tomadas como resultado.
- Registro de alterações: Um registro de alterações detalhado de todas as atualizações, modificações ou ações significativas realizadas no site, incluindo a data e a pessoa responsável.
Instalação e gerenciamento de plug-ins
- Declaração de política: Em nenhuma circunstância um membro da equipe instalará, atualizará ou removerá plug-ins sem a permissão expressa por escrito de uma autoridade designada dentro da organização. Essa política está em vigor para evitar alterações não autorizadas que possam comprometer a segurança ou a funcionalidade do site.
- Processo de exceções: As solicitações de instalação ou atualização de plug-ins devem ser enviadas por escrito à autoridade designada, incluindo uma justificativa para a solicitação e uma avaliação das possíveis implicações de segurança.
- Plug-ins proibidos: O uso de plug-ins de gerenciador de arquivos ou de qualquer plug-in conhecido por apresentar vulnerabilidades de segurança é estritamente proibido. Isso inclui, mas não se limita a, plug-ins que permitem a manipulação direta de arquivos no painel do WordPress.
Conformidade e aplicação
- Monitoramento e auditorias: Auditorias regulares garantirão a conformidade com este SOP. Isso inclui a revisão da documentação do site quanto à integridade, a verificação da autorização dos plug-ins instalados e a garantia de que as varreduras manuais sejam realizadas conforme necessário.
- Não conformidade: Quaisquer desvios deste SOP serão tratados imediatamente. O não cumprimento pode resultar em ação disciplinar, incluindo a revogação dos privilégios de acesso ao site e possível rescisão do contrato de trabalho.
Treinamento e conscientização
- Treinamento regular: Todos os membros da equipe receberão treinamento regular sobre este SOP, incluindo a importância da segurança no gerenciamento de sites, o processo para solicitações de instalação de plug-ins e como realizar varreduras manuais eficazes.
- Campanhas de conscientização: As campanhas de conscientização contínuas reforçarão a importância de seguir os protocolos de segurança e manter uma documentação detalhada das atividades de gerenciamento do site.
Requisito de conexão segura com a Web
Declaração de política
Para garantir o mais alto nível de segurança e proteger contra acesso não autorizado e possíveis violações de segurança, todos os membros da equipe devem acessar o back-end do WordPress ou realizar qualquer atividade de gerenciamento do site por meio de uma conexão segura com a Web. Conexões públicas com a Internet, que são inerentemente inseguras e vulneráveis à interceptação, são estritamente proibidas.
Diretrizes de conexão segura
- Uso da VPN: Ao acessar o site remotamente, os usuários devem utilizar uma rede privada virtual (VPN) para garantir que a conexão seja segura e criptografada. O departamento de TI pode fornecer recomendações de serviços de VPN aprovados.
- Segurança de Wi-Fi: Para aqueles que acessam o site de casa ou de redes privadas, certifique-se de que a rede Wi-Fi esteja protegida com criptografia WPA2 ou WPA3 e que a senha da rede seja forte e exclusiva.
- Proibição de redes públicas: Em nenhuma circunstância um membro da equipe deve usar uma rede Wi-Fi pública (por exemplo, cafeterias, bibliotecas, hotéis) para acessar o painel do WordPress, realizar atualizações ou gerenciar conteúdo. Isso inclui o uso de tethering em redes Wi-Fi públicas.
Conformidade e aplicação
- Monitoramento e detecção: A equipe de segurança de TI implementará soluções de monitoramento para detectar e alertar sobre qualquer tentativa de acesso às ferramentas de gerenciamento do site a partir de redes públicas ou inseguras.
- Ações disciplinares: Qualquer membro da equipe que violar esta política sofrerá uma ação disciplinar imediata, que poderá incluir a rescisão do contrato de trabalho. Essa aplicação rigorosa é necessária para proteger a integridade e a segurança de nossos ativos digitais.
Responsabilidade do usuário e relatórios
- Responsabilidade pessoal: Todos os usuários são pessoalmente responsáveis por garantir a segurança de sua conexão com a Web ao acessar o backend do site. O desconhecimento da política ou os desafios técnicos não serão considerados desculpas válidas para a não conformidade.
- Comunicação de incidentes: Os usuários são incentivados a relatar incidentes em que os protocolos de conexão segura da Web possam ter sido violados, intencionalmente ou não. A comunicação imediata pode ajudar a reduzir os possíveis riscos à segurança.
Treinamento e conscientização
- Treinamento contínuo: A organização fornecerá educação e recursos contínuos a todos os membros da equipe sobre como proteger sua conexão com a Internet, os riscos associados a redes públicas e como usar VPNs de forma eficaz.
- Campanhas de conscientização sobre segurança: Serão realizadas campanhas regulares de conscientização para reforçar a importância dessa política e manter todos os membros da equipe atualizados sobre as práticas recomendadas para manter uma conexão segura com a Web.