Saiba como usar o iThemes Security, plugin de segurança do WordPress

Você ainda não conhece o iThemes Security plugin? Os sites baseados em WordPress são especialmente vulneráveis devido à quantidade de extensões (plugins, temas e widgets, por exemplo) necessárias para adicionar mais personalidade e funcionalidade às páginas do CMS usadas em estratégias de Marketing Digital.

Esses elementos podem se tornar portas de entrada de intrusões. Elas ocorrem, principalmente, quando os usuários não executam atualizações, deixam de considerar a confiabilidade dos desenvolvedores antes de realizar os downloads ou usam as extensões com senhas fracas ou outros métodos de segurança.

Neste artigo, falamos um pouco mais sobre o iThemes Security plugin, suas funcionalidades, vantagens, desvantagens e como instalá-lo em seu WordPress. Veja, a seguir:

• O que é o iThemes Security plugin?
• Quais as funcionalidades desse plugin para WordPress?
• Quais as versões disponíveis do iThemes Security plugin?
• Como instalar e usar o iThemes Security Plugin no seu site WordPress?
• Quais as vantagens e desvantagens do iTheme Security plugin?

O que é o iThemes Security plugin?

O iThemes Security verifica todo o site em busca de vulnerabilidades que podem ser rapidamente corrigidas ou ocultadas (para evitar o aprendizado de máquina sobre as falhas). Também, relata alterações no sistema de arquivos e no banco de dados que podem comprometer a segurança das informações.

Além disso, ele impede ataques de força bruta. Eles consistem em tentativas repetidas de acesso por meio da adivinhação de combinações, até que o login e/ou senha corretos sejam efetivados. Essa forma antiga de intrusão passou a ser mais sofisticada com ferramentas baseadas em Inteligência Artificial (IA) e Machine Learning, ou aprendizado de máquina.

Dessa forma, o plugin relata automaticamente os endereços de IP que efetivaram essas tentativas de login malsucedidas. Depois, ele os bloqueia (host, bots e usuários) por um período predeterminado, e com base na experiência de ataques em outros sites, entre outras ações de segurança.

O plugin foi desenvolvido pela equipe do iThemes, que desde 2008, cria ferramentas de segurança para o WordPress. A empresa também oferece treinamentos e suporte profissional para garantir a funcionalidade do plugin, disponível apenas em inglês e espanhol.

Como funciona

O iThemes Security integra rotinas como modo de espera, liberação de bloqueios e atualização de elementos do site por meio de um único painel, o iThemes Sync Pro. Essa característica é extremamente funcional para proprietários de sites que administram mais de uma página simultaneamente (exclusivo para a versão paga da ferramenta).

A extensão opera em rede (por meio do iThemes Sync Pro) e em instalação únicas. Além disso, a ferramenta funciona com Apache, LiteSpeed ​​ou NGINX (que exige edições manuais das configurações de hospedagem), porém, com melhor desempenho em servidores com mais de 64 MB de RAM.

Quais as funcionalidades desse plugin para WordPress?

Neste tópico, listamos algumas funcionalidades descritas no site oficial do plugin iThemes Security.

Proteção contra ataques de força bruta

O usuário consegue limitar o número de tentativas de login com falha permitidas para acesso, para que bots ou usuários sejam bloqueados após esse limite estabelecido.

Detecção de alteração de arquivo

Mesmo que algum usuário malicioso consiga acessar o painel de administrador do site em WordPress, o proprietário autorizado consegue bloquear a adição, remoção e alteração de arquivos e configurações. Além disso, pode configurar o recebimento de alertas por email para identificar rapidamente qualquer tipo de modificação.

Detecção de erro 404

O erro 404 acontece quando a página solicitada pelo usuário não é encontrada no servidor por vários motivos. Entre eles, tentativas de acesso de uma URL incorreta, ou porque o caminho foi alterado ou removido pelo administrador do site.

Além disso, quando um bot escaneia um site em busca de vulnerabilidades, muitos erros 404 são gerados para os demais usuários que tentam acessar a página. O iThemes Security plugin age a partir do bloqueio do IP quando um limite de erros predefinido é atingido.

Aplicação de senha forte

Defina qual nível de usuários em seu site (administradores, editores, usuários, etc.) precisam ter senhas fortes. A aplicação desse mecanismo é uma das melhores maneiras de bloquear o WordPress.

Bloqueio de usuários maliciosos

O iThemes Securitybloqueia usuários maliciososcujas tentativas de login malsucedidas vão em desacordo com a política estabelecida pelo site, geram erros 404, ou que estejam em uma lista negra de bots.

Modo de espera

Com esse recurso, o painel de administrador do WordPress pode ficar inacessível em horários específicos.

Ocultação de configurações de administrador

Essa também é uma boa prática para contemplar mais segurança aos sites em WP. Consiste em alterar a URL padrão da área de login do painel de administrador para inibir a atuação de invasores.

Backups do banco de dados

Os backups do banco de dados podem ser agendados e enviados por email para o proprietário do site.

Notificações por email

O usuário também consegue receber notificações por emailque informam bloqueios, tentativas de acesso malsucedidas ou alterações de arquivo.

Autenticação de dois fatores

Esse é um recurso exclusivo da versão paga, mas muito funcional para aumentar a segurança do site. Além da inserção de uma senha, os usuários autorizados recebem um código secundário em dispositivos móveis previamente cadastrados.

Painel de Segurança

O painel de segurança integra todos os dados para o devido monitoramento da atividade executada no site. Além disso, são exibidos relatórios instantâneos sobre a segurança do site para que o usuário execute as correções e configurações adicionais recomendadas.

Verificação de malwares

Essa funcionalidade desenvolvida pelo iThemes integra o Site Scanner para verificar a existência de malwares e outras vulnerabilidades conhecidas. Pode ser executada diariamente e configurada para disparar notificações, caso um problema seja encontrado.

Gerenciamento de versão a atualização

Softwares desatualizados são portas de entrada para agente maliciosos. No caso do WordPress, não se limitam apenas ao sistema de gerenciamento de conteúdo, mas também, temas, plugins e outros elementos de personalização.

Com a opção de gerenciamento de versão do iThemes Security Pro, é possível atualizar automaticamente todas as versões dos elementos que compõem o WordPress.

Quais as versões disponíveis do iThemes Security plugin?

Relacionamos, abaixo, as funcionalidades disponíveis nos planos gratuitos e Pro do iThemes Security Plugin. Assim como em todas as ferramentas com as duas possibilidades, na versão Pro da extensão, todos os recursos do modelo gratuito são acrescidos por outros, ainda mais funcionais.

Dentre os planos pagos, também existem outras formas de assinatura, que se diferenciam pela quantidade de sites em que é possível executar as funções do plugin e, inclusive, gerenciá-las de forma integrada por meio do iThemes Sync Pro.

Funções disponíveis na versão gratuita

• Verificação de segurança do site em WordPress;
• banimento de usuários maliciosos;
• impedimento de acesso ao site a partir de endereços IP específicos;
• detecção de erro 404;
• ocultação de login e URL de administrador;
• alteração de chaves do WordPress;
• modo de espera;
• backups periódicos do banco de dados;
• detecção de alteração de arquivos;
• remoção de informações do cabeçalho do Windows Live Write e RSD;
• remoção de notificações de atualização de funções para usuários específicos;
• remoção de mensagens de erro de login;
• remoção da conta “admin”;
• alteração do ID do usuário com o ID 1;
• alteração do prefixo da tabela de banco de dados do WordPress;
• alteração do caminho do conteúdo;
• exigência de SSL para qualquer postagem, página ou página de administração;
• desativação de edições de arquivos no administrador do WordPress;
• redução de comentários com spam;
• proteção de força bruta XML-RPC, local e em rede;
• logs de segurança;
• envio de relatórios e notificações por email;
• personalização de mensagens de bloqueio;
• aplicação de senha forte;
• verificação de permissão de arquivo;
• integração com iThemes Sync;
• Malware Scan.

Funcionalidades exclusivas do Ithemes Security Pro

• Widget de painel;
• integração com o Google reCAPTCHA;
• autenticação de dois fatores;
• importação e exportação de configurações;
• comparação de arquivos online do WordPress Core;
• verificação programada de malware;
• registro de ação do usuário;
• escalonamento de privilégio temporário;
• integração WP-CLI;
• expiração de senha;
• suporte de tíquete privado;
• verificação de segurança do usuário WordPress;
• painel do iThemes Security Pro;
• login sem senha;
• recusa de senhas comprometidas;
• atualizações automáticas.

Como instalar e usar o iThemes Security Plugin no seu site WordPress?

Antes de tudo, faça um backup para que todas as configurações anteriores (banco de dados, arquivo de configuração e arquivo .htaccess) do site fiquem seguras. Mesmo que o plugin tenha a opção de criação de uma cópia de segurança após a sua ativação, essa é uma boa prática que você pode adotar sempre que fizer alguma modificação no seu site em WordPress.

Esse backup do banco de dados incluirá postagens, conteúdo visual, direcionamento de páginas, comentários e informações do usuário — ou tudo incluído no banco de dados do seu site. Existem muitos plugins que executam essa rotina para garantir uma segurança a mais para o usuário.

Instalação

Para a instalação de qualquer plugin, você pode seguir as etapas de instalação automática padrão do WordPress ou realizá-la de forma manual, por meio da adição do arquivo pelo FTP.

Busque o iThemes Security plugin no diretório de plugin do WP: acesse o cPanel e, na barra lateral do painel administrativo, clique em Plugins > Add New > iThemes Security.

Você também pode carregar os arquivos de instalação para o seu servidor.

Ativação

Ative o plugin, também, por meio do menu “Plugins” no painel administrativo do WordPress e, depois, clique no botão “Proteja seu site agora”. Depois de ativado, uma nova seção chamada “Segurança” aparecerá na sua barra lateral.

Ao clicar nessa funcionalidade, o plugin iniciará uma verificação de segurança de todo o site. Durante essa ação, vários módulos são ativados automaticamente.

Ao clicar na opção “Secure Site” e no decorrer dessa verificação, o usuário é convidado a participar da “Rede de Proteção Contra Força Bruta“. Além de oferecer segurança contra esse tipo de intrusão, permite que outros usuários do plugin sejam protegidos no futuro, uma vez que o iThemes Security registra o IP de usuários maliciosos para assegurar toda a rede.

Depois que a verificação inicial termina, o usuário é encaminhado para uma página em que constam os principais recursos do plugin. Sempre que você quiser ativar uma nova funcionalidade, deve clicar em “Ativar” e realizar todas as configurações necessárias para personalizá-lo conforme sua demanda.

Quais as vantagens e desvantagens do iTheme Security plugin?

O iTheme Security plugin tem muitos recursos de proteção, que cobrem várias demandas de segurança de sites em WordPress por um preço que vale o investimento. Além disso, é de fácil instalação e configuração.

Ela pode ser ajustada conforme a necessidade de proteção do usuário: envia notificações e tem uma interface para a visão do status de segurança, que garante a exibição de muitos dados que podem ser analisados antes de executar outras configurações, correções e mitigações de problemas.

A documentação do plugin é bem completa. Apesar de não ter versão disponível em português, ajuda os usuários que ainda não têm muita familiaridade com a ferramenta de segurança, o que aumenta ainda mais sua usabilidade.

O Sucuri SiteCheck — software que executa a verificação de malwares do plugin — , além de ser muito bem avaliado pelos usuários, também oferece muitas funcionalidades para os adeptos à versão PRO.

Apesar disso, como todos os plugins de segurança, a ferramenta pode quebrar o seu site. Isso, porque o iThemes Security exige um grande volume de alterações que podem interferir — ou não, o que dependerá de vários outros fatores —, no desempenho da página. Por isso, é altamente recomendável realizar um backup antes da instalação da extensão.

O iThemes Security também não opera em todo o seu potencial com algumas plataformas de hospedagem. Isso ocorre, especialmente, para uso de recursos mais avançados, como a detecção de alterações de arquivo e para uso no CMS baseado em planos de hospedagem compartilhada de VPS ou de baixa memória RAM.

Na Stage, plataforma de hospedagem WordPress, esse problema não acontece, uma vez que a capacidade do servidor suporta a adição de vários recursos ao seu CMS.

Para algumas funcionalidades, o plugin também poderá exigir a edição do arquivo htaccess., principalmente, se você tiver que ocultar algumas configurações de página. Isso exige certo conhecimento em codificação.

Em geral, o iThemes Security plugin é uma ferramenta de segurança de bom desempenho e uma solução abrangente para ataques de terceiros. Entretanto, isso não quer dizer que você pode “baixar a guarda” e achar que todos os malwares e vulnerabilidades do seu site serão detectados.

Para inibir qualquer falha de segurança, existem boas práticas que podem ser adotadas em todas as rotinas de trabalho, processos de instalação e atualização. Há muitos riscos na Web e você precisa aprender a lidar com eles de forma inteligente: adicione um segundo detector de malware e tenha backups armazenados na nuvem, por exemplo.

Se você quiser aprender mais sobre segurança digital, veja o artigo completo que separamos para você!