WordPress

Procedimento Operacional Padrão (SOP) dos Protocolos de Segurança de Sites WordPress

Medidas de segurança que você precisa considerar ao gerenciar um site WordPress

Em seu compromisso contínuo de proteger os ativos digitais e melhorar a segurança do site, estamos implementando protocolos de segurança abrangentes para o gerenciamento de sites WordPress. Essas medidas são projetadas para proteger contra acesso não autorizado e garantir que sua equipe siga as melhores práticas em segurança digital.

Apresentando a autenticação de dois fatores (2FA)

O protocolo de segurança fundamental é o uso obrigatório de autenticação de dois fatores (2FA). Essa camada adicional de segurança garante que o acesso ao seu back-end do WordPress seja rigidamente controlado e acessível apenas a pessoal autorizado. Exigir um segundo formulário de verificação pode reduzir significativamente o risco de acesso não autorizado.

Não há mais senhas nos navegadores

Para proteger ainda mais seu ambiente digital, aplique uma política contra o salvamento de senhas do navegador. Embora conveniente, essa prática representa um risco de segurança. Seria melhor incentivar o uso de gerenciadores de senhas seguros para armazenar senhas, aumentando a segurança e a conveniência sem concessões.

Conexões seguras obrigatórias da Web

Reconhecendo as vulnerabilidades associadas às conexões públicas com a Internet, você deve exigir que todos os membros da equipe usem conexões seguras com a Web ao gerenciar seus sites WordPress. Isso significa utilizar VPNs e evitar redes Wi-Fi públicas a todo custo. Qualquer desvio desta política será recebido com medidas disciplinares rigorosas para manter seus altos padrões de segurança.

Documentação detalhada do site

Cada membro da equipe manterá um documento detalhado para cada site WordPress que gerencia. Este documento incluirá uma lista abrangente de plug-ins instalados, usuários atuais e um registro de verificações mensais manuais, entre outras informações críticas. Esta iniciativa visa manter a transparência e facilitar a gestão eficiente de seus sites.

Instalação e gerenciamento de plug-ins

Em seu compromisso de manter um ambiente WordPress seguro, a instalação de novos plug-ins ou a remoção dos existentes agora exigirá permissão expressa por escrito. Essa política impede alterações não autorizadas que possam introduzir vulnerabilidades. Os plug-ins do gerenciador de arquivos, conhecidos por seus riscos de segurança, são estritamente proibidos.

Assuma um compromisso com a segurança

Esses aprimoramentos do protocolo de gerenciamento de sites WordPress refletem seu compromisso inabalável com a segurança. Ao implementar essas medidas, você pode proteger seus ativos digitais e a integridade das informações confiadas a você, seus clientes ou membros de sua equipe.

Entenda que a adaptação a essas mudanças pode exigir um período de ajuste. No entanto, os benefícios de longo prazo – segurança aprimorada, conformidade aprimorada e uma infraestrutura digital mais robusta – superam em muito os inconvenientes iniciais.

Criamos um Procedimento Operacional Padrão (SOP) para o Modelo de Protocolos de Segurança de Sites WordPress para você baixe aqui em PDF .

Também listamos abaixo se você quiser copiar e colar.

Procedimento Operacional Padrão (SOP) para Protocolos de Segurança de Sites WordPress

Controle de documentos

Versão: 1.0
Data: 04/08/2024
Proprietário do documento:
Aprovação:

Propósito

Este SOP descreve os protocolos de segurança para gerenciar sites WordPress para proteger contra acesso não autorizado e possíveis ameaças à segurança. O foco principal é habilitar a autenticação de dois fatores (2FA) e impedir que as senhas sejam salvas nos navegadores.

Âmbito

Este procedimento se aplica a todos os membros da equipe que gerenciam, mantêm ou acessam o back-end do site WordPress.

Responsabilidades

Administradores de sites: Responsável por aplicar protocolos de segurança.
Equipe de segurança de TI: Fornece suporte e supervisão da implementação de medidas de segurança.
Todos os usuários: Cumpra os protocolos de segurança.

Procedimento

Autenticação de dois fatores (2FA)
- Implementação:
  1. Instale e ative um plugin de 2FA, como "Autenticação em Dois Fatores" ou "Segurança Wordfence".
  2. Navegue até as configurações do plug-in e ative o 2FA para todas as funções de usuário.
  3. Escolha o método 2FA preferido (por exemplo, e-mail, SMS, aplicativo autenticador) e configure de acordo.
- Inscrição do usuário:
  1. Informe todos os usuários sobre o requisito de 2FA por meio de uma comunicação oficial.
  2. Forneça um guia passo a passo ou uma sessão de treinamento sobre como configurar o 2FA.
  3. Defina um prazo para que todos os usuários ativem a 2FA em suas contas.
- Monitoramento de conformidade:
  1. Revise regularmente as contas de usuário para garantir que a 2FA esteja ativada.
  2. Resolva quaisquer problemas de conformidade ou dificuldades do usuário imediatamente.
Nenhuma senha salva nos navegadores
- Diretrizes:
  1. Eduque os usuários sobre os riscos de salvar senhas em navegadores.
  2. Incentive o uso de um gerenciador de senhas seguro para armazenar senhas.
  3. Implemente soluções técnicas para bloquear o salvamento de senhas em navegadores, se possível.
- Conformidade:
  1. Realize auditorias periódicas para garantir a conformidade com esta política.
  2. Forneça suporte e alternativas aos usuários para gerenciamento seguro de senhas.

Práticas recomendadas adicionais

Atualizações regulares: Certifique-se de que o núcleo, os temas e os plug-ins do WordPress sejam atualizados regularmente.
Senhas fortes: Imponha o uso de senhas fortes para todas as contas.
Limitar tentativas de login: Instale um plug-in para limitar as tentativas de login e bloquear endereços IP após repetidas tentativas fracassadas.
Gerenciamento de funções de usuário: Atribua as permissões mínimas necessárias para que os usuários desempenhem suas funções.
Certificado SSL: Use um certificado SSL para criptografar dados transmitidos de e para seu site.
Backups de sites: Agende backups regulares do seu site e armazene-os com segurança.
Auditorias de segurança: Realize auditorias periódicas de segurança e testes de penetração para identificar e resolver vulnerabilidades.

Requisito de documentação do site

Declaração de política: Cada membro da equipe é obrigado a manter um documento detalhado para cada site WordPress que gerencia. Este documento serve como um registro abrangente que inclui, mas não se limita a, as seguintes informações:
- Plugins: Uma lista de todos os plug-ins instalados, sua finalidade e a data da última atualização. Esta seção também deve observar quaisquer personalizações ou configurações específicas relevantes para a operação do plug-in.
- Usuários atuais: Uma lista atual de todos os usuários com acesso ao back-end do WordPress, incluindo suas funções e a data em que foram adicionados. Auditorias regulares devem ser realizadas para garantir que apenas usuários autorizados tenham acesso.
- Medidas de segurança: Quaisquer medidas de segurança específicas implementadas no site, incluindo configurações de 2FA, certificados SSL e regras de firewall personalizadas.
- Varreduras mensais manuais: Um registro de verificações mensais manuais realizadas usando o Immunify ou uma ferramenta semelhante, incluindo a data da verificação e quaisquer descobertas ou ações tomadas como resultado.
- Registro de alterações: Um registro de alterações detalhado de quaisquer atualizações, modificações ou ações significativas realizadas no site, incluindo a data e a pessoa responsável.

Instalação e gerenciamento de plug-ins

Declaração de política: Sob nenhuma circunstância qualquer membro da equipe instalará, atualizará ou removerá plug-ins sem permissão expressa por escrito de uma autoridade designada dentro da organização. Esta política está em vigor para evitar alterações não autorizadas que possam comprometer a segurança ou a funcionalidade do site.
- Processo de exceções: As solicitações de instalação ou atualização de plug-ins devem ser enviadas por escrito à autoridade designada, incluindo uma justificativa para a solicitação e uma avaliação de quaisquer possíveis implicações de segurança.
- Plugins proibidos: O uso de plug-ins do gerenciador de arquivos ou qualquer plug-in conhecido por representar vulnerabilidades de segurança é estritamente proibido. Isso inclui, mas não se limita a, plug-ins que permitem a manipulação direta de arquivos no painel do WordPress.

Conformidade e Aplicação

Monitoramento e auditorias: Auditorias regulares garantirão a conformidade com este SOP. Isso inclui revisar a documentação do site quanto à integridade, verificar a autorização dos plug-ins instalados e garantir que as verificações manuais sejam realizadas conforme necessário.
Não conformidade: Quaisquer desvios deste SOP serão resolvidos imediatamente. A não conformidade pode resultar em ação disciplinar, incluindo revogação de privilégios de acesso ao site e possível rescisão do contrato de trabalho.

Treinamento e conscientização

Treinamento Regular: Todos os membros da equipe receberão treinamento regular sobre este SOP, incluindo a importância da segurança no gerenciamento de sites, o processo para solicitações de instalação de plug-ins e como realizar verificações manuais eficazes.
Campanhas de conscientização: Campanhas de conscientização contínuas reforçarão a importância de seguir os protocolos de segurança e manter a documentação detalhada das atividades de gerenciamento do site.

Requisito de conexão segura com a Web

Declaração de política

Para garantir o mais alto nível de segurança e proteger contra acesso não autorizado e possíveis violações de segurança, todos os membros da equipe devem acessar o back-end do WordPress ou realizar qualquer atividade de gerenciamento de site por meio de uma conexão segura com a Web. As conexões públicas à Internet, que são inerentemente inseguras e vulneráveis à interceptação, são estritamente proibidas.

Diretrizes de conexão segura

Uso de VPN: Ao acessar o site remotamente, os usuários devem utilizar uma Rede Privada Virtual (VPN) para garantir que sua conexão seja segura e criptografada. O departamento de TI pode fornecer recomendações para serviços VPN aprovados.
Segurança Wi-Fi: Para aqueles que acessam o site de redes domésticas ou privadas, certifique-se de que a rede Wi-Fi esteja protegida com criptografia WPA2 ou WPA3 e que a senha da rede seja forte e exclusiva.
Proibição de rede pública: Sob nenhuma circunstância qualquer membro da equipe deve usar uma rede Wi-Fi pública (por exemplo, cafeterias, bibliotecas, hotéis) para acessar o painel do WordPress, realizar atualizações ou gerenciar conteúdo. Isso inclui o tethering por meio de redes Wi-Fi públicas.

Conformidade e Aplicação

Monitoramento e detecção: A equipe de segurança de TI implementará soluções de monitoramento para detectar e alertar sobre qualquer tentativa de acessar as ferramentas de gerenciamento do site a partir de redes públicas ou inseguras.
Ações disciplinares: Qualquer membro da equipe que violar esta política enfrentará ação disciplinar imediata, incluindo a rescisão do contrato de trabalho. Essa aplicação rigorosa é necessária para proteger a integridade e a segurança de nossos ativos digitais.

Responsabilidade do usuário e relatórios

Responsabilidade pessoal: Todos os usuários são pessoalmente responsáveis por garantir a segurança de sua conexão com a web ao acessar o back-end do site. O desconhecimento da política ou os desafios técnicos não serão considerados desculpas válidas para o não cumprimento.
Relatório de incidentes: Os usuários são incentivados a relatar incidentes em que os protocolos de conexão segura da web podem ter sido violados, intencionalmente ou não. Relatórios imediatos podem ajudar a mitigar possíveis riscos de segurança.

Treinamento e conscientização

Educação Continuada: A organização fornecerá educação e recursos contínuos a todos os membros da equipe sobre como proteger sua conexão com a Internet, os riscos associados às redes públicas e como usar VPNs de forma eficaz.
Campanhas de conscientização de segurança: Campanhas regulares de conscientização serão realizadas para reforçar a importância dessa política e manter todos os membros da equipe atualizados sobre as melhores práticas para manter uma conexão web segura.

Procedimento Operacional Padrão (SOP) dos Protocolos de Segurança de Sites WordPress

Medidas de segurança que você precisa considerar ao gerenciar um site WordPress

Apresentando a autenticação de dois fatores (2FA)

Não há mais senhas nos navegadores

Conexões seguras obrigatórias da Web

Documentação detalhada do site

Instalação e gerenciamento de plug-ins

Assuma um compromisso com a segurança

Procedimento Operacional Padrão (SOP) para Protocolos de Segurança de Sites WordPress

Controle de documentos

Propósito

Âmbito

Responsabilidades

Procedimento

Práticas recomendadas adicionais

Requisito de documentação do site

Instalação e gerenciamento de plug-ins

Conformidade e Aplicação

Treinamento e conscientização

Requisito de conexão segura com a Web

Declaração de política

Diretrizes de conexão segura

Conformidade e Aplicação

Responsabilidade do usuário e relatórios

Treinamento e conscientização

Confira outra postagem no blog!

WooCommerce 10.3.6: Por que esta versão do Dot É Importante para Sua Loja

Principais plugins de pré-encomenda do WooCommerce (gratuitos e pagos) para aumentar as vendas

Aumente a credibilidade do produto com marcas brilhantes para WooCommerce

Plug-in de filtro de produto WooCommerce: ajude os compradores a encontrar o que precisam

Como permitir que os clientes salvem vários endereços no WooCommerce

Melhore a experiência do cliente com um botão de cancelamento de pedido do WooCommerce

Imagens de variação adicionais do WooCommerce: aumente o apelo visual e as vendas

Melhor plug-in WooCommerce para data de entrega, hora e agendamento de coleta

Como gerenciar facilmente eventos no WooCommerce com o Quick Event Manager

Barra de frete grátis WooCommerce: mostre aos clientes o quão perto eles estão do frete grátis

Economize tempo com a ferramenta geradora de cupons em massa WooCommerce

Como os cupons de URL podem ajudar a melhorar as conversões da loja WooCommerce