Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
1 - https://www.cybintsolutions.com/cyber-security-facts-stats/
Quem são os “culpados”? Themes e plugins.
• 54% das vulnerabilidades são de
plugins
• Os plugins e os temas não são
atualizados automaticamente
• Plugins e temas premium
podem não ter sequer “auto
Update” dentro do WP Admin.
Fonte: wpwhitesecurity.com
Como? Com XSS!
• O ataque XSS (Cross-site Scripting)
injeta código dentro de um URL ou
uma função no site (“payload”)
para gerar uma resposta anormal e
ganhar acesso privilegiado
• Há formas de prevenir XSS (por
exemplo, com CloudFlare Pro)
• Há ferramentas automáticas para
detetar vulnerabilidades XSS, como
a XSSSNIPER
Fonte: wpwhitesecurity.com
Já passaram 29 segundos
Vamos «brincar» aos
Certificados SSL?
securityheaders.io
Banco BIC
Caixa de Crédito Agrícola
Quem conhece estes gurus do marketing
digital?
• Frederico Carvalho
• Paulo Faustino
• Marco Gouveia
• Virgínia Coutinho
• André Novais de Paula
• André Zeferino
Marketing Digital para Empresas
PayPal
Facebook
Novo Banco
Gearbest
Rui Cruz
O que tenho que fazer?
Exemplo para site com grade A
Colocar no .htaccess ou configuração do Ajpache:
<IfModule headers_module>
RequestHeader set X-HTTPS 1
Header set Referrer-Policy "no-referrer-when-downgrade"
</IfModule>
<IfModule mod_reqtimeout.c>
RequestReadTimeout header=20-40,MinRate=500 body=20-40,MinRate=500
</IfModule>
1 - https://keepersecurity.com/blog/2016/10/07/20-fascinating-facts-about-passwords/
2 - https://www.passwordrandom.com/most-popular-passwords
Solução: https://passwordsgenerator.net/
Uma boa password deve ter…
Para aplicar:
• Abrir o .htaccess, e adicionar no fim as seguintes linhas:
<files wp-config.php>
order allow,deny
deny from all
</files>
Forçar passwords fortes em WooCommerce
• Se usas uma loja com vários utilizadores, uma password fraca de outra
pessoa pode fazer com que o teu site seja atacado.
• A culpa nem sequer é tua na teoria, mas na prática podes evitar isso.
• Este plugin força os utilizadores e escolherem uma password forte e
segura.
Para aplicar:
• Fazer download e instalar o seguinte plugin:
https://wordpress.org/plugins/force-strong-passwords/
Segundo fator de autenticação
• Plugin fácil de configurar, permite-te usares o Authenticator do Google
(para Android e também iOS) e, depois de estares logado, inserires o
código que te é mostrado no smartphone.
• Permite outras configurações mais avançadas com outro tipo de
autenticação.
Para aplicar:
• Fazer download e instalar o seguinte plugin:
https://wordpress.org/plugins/miniorange-2-factor-
authentication/
Vamos complicar?
VPN para utilizar em lojas online? Claro!
• A forma mais avançada (e onde deixa de fazer sentido usar alguns
plugins aqui apresentados) de proteger a administração do teu CMS é o
uso de uma VPN.
• Utilizadores ilimitados, corre numa VPS com 512MB de RAM (e até
menos)
• Com isto permitimos acesso ao wp-login.php pelo IP da VPN
• Além disso, garante proteção e privacidade na navegação em outros
sites (algo pessoal, não relacionado com esta temática mas aproveitado
pelas ações aqui desenvolvidas)
VPN para utilizar em lojas online? Claro!
Para implementar a VPN:
• Instalar OpenVPN manualmente no servidor e as credenciais no PC,
Smartphone;
• Instalar e executar este script https://github.com/Angristan/OpenVPN-
install:
wget https://raw.githubusercontent.com/Angristan/
OpenVPN-install/master/openvpn-install.sh
chmod +x openvpn-install.sh
./openvpn-install.sh
VPN para utilizar em lojas online? Claro!
Para implementar no WordPress:
• No .htaccess, colocar isto no final do ficheiro:
<Files wp-login.php>
order deny,allow
Deny from all
# IP da minha casa
allow from 127.0.0.1
# IP da VPN da empresa
allow from 127.0.0.2
</Files>
No servidor
No servidor…
• Mudar a porta de SSH (22 para outra qualquer, e o ano 2018 não vale,
ok)
• Se tens muito tráfego considera aderir ao programa do CloudFlare para
hosting, que oferece proteção na web:
https://www.cloudflare.com/partners/hosting-provider/
• Mantém sempre atualizado o PHP (7,x), Apache (2,x), e restante
software em uso
• Para SSH, considera utilizares chaves de autenticação em vez de
passwords
E se tudo falhar?
(se tudo isto falhar, ao menos falhaste a tentar)
Em caso de ataque de hackers…
• Notifica antes de mais a CNPD, neste link:
https://www.cnpd.pt/bin/notifica_rgpd/data_breach.htm (a falta de
notificação dá multa, se o regulamento for estritamente cumprido, o
que não está a ser, mas não é por isso que… ☺)
• Coloca o website offline ou com uma mensagem de “brevemente
disponível” e só o voltes a colocar online quando souberes o que causou
o erro e o tiveres corrigido
• Notifica os teus utilizadores em caso de entradas em bases de dados, de
acordo com o RGPD.