Segurança: medidas básicas e essenciais

Ferramentas úteis escrito por

Você planejou direitinho seu site, bloga conteúdo de qualidade, divulga sua marca, respeita Direitos Autorais, investe na identidade visual, faz tudo certo. E um belo dia seu blog é invadido e você perde tudo ou, pelo menos, arranca todos os cabelos para conseguir recuperar a administração do seu site. Ah, você usa plugins de segurança? Pois saiba que sem tomar as medidas básicas de segurança não há plugin que dê conta de proteger seu blog. Vem cá ver como as tais medidas são fáceis de colocar em prática. :)

1. Crie uma senha segura

Se você procurar no Google, encontrará vários geradores de senhas seguras – e como decorar aquelas letras e números aleatórios? Existe uma outra maneira de criar uma senha forte sem que você precise decorar e sim entender, raciocinar sobre sua senha, pensá-la. Mas antes de ensinar a “mágica” vamos lembrar: senhas devem ter pelo menos oito caracteres e conter letras, números e caracteres especiais. Agora vamos lá. :)

Escolha uma frase longa ou uma música com o primeiro verso ou o refrão longos – se senhas devem ter no mínimo oito caracteres, escolha uma frase ou verso musical que tenha pelo menos oito palavras. Não use frases ou músicas óbvias, que todo mundo sabe que você ama. Escolha algo improvável, mas que você saiba decor, que você conheça bem mesmo não sendo da sua banda preferida, ou pode ser até a música chiclete horrível que ficou ecoando na sua cabeça de tanto que tocou em todos os lugares no verão de alguns anos atrás. Como aqui só vamos dar um exemplo, e como já falamos do Chico Buarque aqui no Metablog, escolhi uma música dele que todo mundo já deve ter escutado pelo menos uma vez na vida para facilitar a compreensão: Construção, de 1971.

O verso inicial tem sete palavras e um artigo: Amou daquela vez como se fosse a última. Vamos usar a inicial de cada letra mais o artigo: Amou daquela vez como se fosse a última  = advcsfau. Já temos aí oito caracteres para a senha, que você não precisa decorar porque está usando algo que você já sabe, basta recitar a música na sua cabeça quando for digitar sua senha.

Mas uma senha deve ter números e, de preferência, também caracteres especiais, então vamos lá. Você pode trocar o A da senha por arroba, assim: @dvcsf@u. O A também pode ser substituído pelo número 4 ao invés de arroba. Letras L e I podem ser substituídas por ponto de exclamação. A letra O pode ser substituída pelo número zero, o I ou L minúsculo também podem ser o número 1. Você cria o padrão de substituição que desejar, desse modo ao invés de decorar precisa apenas compreender o seu padrão.

Você não usou números, só os caracteres especiais? Ou então usou números e caracteres, mas a senha ainda está curta? Lembre que oito caracteres é o mínimo, mas se for mais é melhor ainda. Vamos manter a senha inicial substituindo o A por arroba: @dvcsf@u. Você pode inserir aí os números do ano de lançamento da música, por exemplo, e de maneiras diferentes: 19@dvcsf@u71 ou @dvcsf@u1971 ou 1971@dvcsf@u. Você também pode usar apenas dois números do ano de lançamento ou somar todos os números e usar o resultado da soma (no nosso exemplo a soma seria: 1 + 9 + 7 + 1 = 18). Usar a soma, porém, pode significar decoreba para quem não faz contas de cabeça rapidamente – e isso não é nenhuma vergonha, especialmente se você não for da área de exatas, ok?

O importante é que você crie um padrão para os números: metade no começo e metade no fim da senha, ou tudo no começo, ou tudo no fim, ou no meio, ou somando os números, ou usando só dois números do ano, etc. E não precisa obrigatoriamente usar o ano de lançamento da música: podem ser quaisquer outros números que você já tenha memorizado, como o prefixo do seu antigo número de telefone, o número da casa onde você morou durante a infância, etc.

Agora você já entendeu “o espírito da coisa”: usar uma frase ou verso musical que você já tenha na memória, substituir letras por caracteres, deixar todas as letras da música e acrescentar caracteres, acrescentar números. Você cria os parâmetros que desejar, desse modo não precisa decorar e sim entender sua senha, fica fácil tê-la sempre na ponta dos dedos.

Mas tem mais uma coisa importantíssima: nunca devemos usar a mesma senha para todos os serviços nos quais temos conta. E agora, #comofaz? Agora você cria mais um parâmetro: a senha criada é a senha-mestra, você deve inserir nela letras e/ou caracteres e/ou números conforme o serviço no qual a senha é utilizada. Vamos pegar a senha mestra criada nesse post e adaptá-la para uma conta no Twitter, por exemplo: usaremos a primeira letra do serviço (T) e a última (R) e acrescentar no início e no fim da senha mestra. Assim: T@dvcsf@u1971R. Se fosse uma senha para o Facebook, ficaria assim: F@dvcsf@u1971K.

Você pode posicionar as letras como no exemplo, mas também pode preferir colocá-las todas no começo ou no fim. Ou ainda usar a segunda e a penúltima letra do serviço. Também pode deixar as letras do serviço em maiúsculo. Não importa qual o parâmetro, mas sim que seja um parâmetro que você entenda para que não seja difícil se lembrar das senhas na hora de digitá-las.

Ufa, a explicação ficou longa, mas na verdade é bem fácil criar uma senha segura, não acha? E pra confirmar a força da sua senha, a Microsoft tem uma Central de Segurança e Proteção na qual você pode testar sua senha. O resultado da senha do nosso exemplo foi Best, e a sua? :D

2. Mude o usuário

Na hora de logar no WordPress seu usuário ainda é o admin? Pois fique sabendo que, quando os “robôs invasores” são criados, o primeiro login programado para o robô tentar acesso é o admin. Claro, pois é o usuário mais utilizado, então a chance de conseguir mais invasões é hackeando esse usuário. Mudar seu usuário é muito, muito fácil.

Acesse o dashboard do WordPress e, no menu à esquerda da tela, clique em Usuários. Ali estão listados todos os usuários do seu blog (caso você tenha colaboradores) e é onde irá criar um novo usuário para você e, depois, deletar o admin.

Clique em Adicionar Novo e preencha os dados na tela que irá se abrir. O Nome de Usuário é seu novo login, você pode inclusive usar uma palavra aleatória ao invés de usar seu próprio nome. Coloque um email válido e, abaixo, preencha com seu nome e sobrenome da maneira que você deseja usar seu nome na web (não precisa usar seu nome completinho como nos seus documentos, pode usar apenas seu nome e apenas um dos seus sobrenomes, por exemplo). Em Site, preencha com seu domínio principal, que provavelmente seja seu próprio blog, depois coloque a senha segura que você acabou de criar seguindo os passos descritos acima. Como você está criando o seu novo usuário e não o de um colaborador, ignore o campo Enviar senha. Em Função, selecione Administrador, afinal é claro que o seu usuário deve ter poderes completos sobre o blog.

Atenção: certifique-se de ter colocado Administrador como Função, pois você, que é dono do site, obviamente precisa ter plenos poderes sobre seu blog. Isso deve ser feito antes de deletar o perfil admin.

Criou um novo usuário com função de administrador? Você pode querer editar algumas configurações do seu perfil indo em Usuários > Seu perfil, acesse para conferir as possibilidades. Novo usuário administrador criado, é hora de deletar o admin. Volte em Usuários > Todos os usuários, selecione o admin e exclua-o. Simples assim. :)

3. Plugin Login LockDown

Agora sim vamos falar em plugin. Na verdade já falamos aqui no Metablog sobre o Login LockDown, lá em setembro de 2013, quando o WordPress sofreu ataques massivos, mas ele é muito importante para a segurança do seu site e portanto estamos relembrando esse plugin hoje.

Fez backup completo do seu blog? Então agora pode instalar o Login LockDown no seu site, a instalação é como de qualquer outro plugin. Depois de instalar, no menu à esquerda no seu dashboard, vá em Configurações > Login LockDown para configurar o plugin.

3 Comentários em Segurança: medidas básicas e essenciais

  1. Michel Campillo em abril 10, 2015

    Excelente essa dica de usar letras de a música (como a do Chico Buarque) para se lembrar de uma senha !! Conheço muita gente que deveria começar a fazer isso.

    1. Lis Comunello em abril 13, 2015

      Sempre dou essa dica, Michel, também acho super prática, útil e segura. :)

  2. Júlia em setembro 06, 2015

    Olá, nunca tinha pensado em criar um novo usuário e sempre usei o admin, tenho 700 posts publicados no usuário do admin do blog, com isso simplesmente não posso apaga-lo, tem alguma forma de fazer a mudança de autor dos textos em uma única vez? sem precisar entrar em todos os posts?
    beijos e obrigada