CB
(@cbrandt)
Olá, @silviasayuri,
A pergunta que eu me faria nessa situação é a seguinte: se vc remover esses usuários que considera suspeitos, vc vai ficar tranquila? Ou seja, não vai ser a coisa mais fácil para eles voltar com usernames e emails “não suspeitos”? E aí? Vc vai ficar preocupada com todo novo usuário que se cadastrar?
Onde eu quero chegar é que você deve se concentrar em adotar políticas de segurança que funcionem para todos os usuários. Um bom começo é este documento do WordPress, longo demais meio fora de ordem, mas com muitas dicas boas: https://codex.wordpress.org/pt-br:Blindando_o_WordPress
Além de instalar o Wordfence (ou equivalente), como sugerido no documento acima, eu sugiro também instalar o plugin Simple History, disponível em português, que cria um registro de todas as atividades dos usuários (a menos que seu tema ou outro plugin já tenham essa funcionalidade). Vc pode usar ele para monitorar os usuários que considera suspeitos, ver o que estão fazendo.
Boa sorte!
olá @silviasayuri,
bem, o normal é que usuários se cadastrem como “Assinante”, que limite demais o acesso, sendo basicamente para questões de front-end, como efetuar as compras ou ter acesso a certos conteúdos.
mas ao estar dentro do WordPress, isso permite que se explore brechas de segurança que de tempos em tempos surgem.
o @cbrandt fez ótimas orientações, veja os pontos que ele aponta.
a única diferença que apontaria seria usar o Sucuri Security ao invés do Wordfence. não que o Wordfense seja ruim, pelo contrário, é referência em segurança. mas exige conhecimento intermediários para avançados e se você não configurar corretamente ele vai consumir muitos recursos de seu WordPress e pode causar lentidão.
uso o Sucuri Security principalmente para 2 pontos: 1) configuro em Settings > Alerts as notificações de alterações no WordPress; 2) quando recebo notificações de tentativa de falha de login, verifico o IP de quem tentou e bloqueio o IP, que é algo mais efetivo que bloquear e-mail.
claro que não há absolutamente nenhum sistema totalmente à prova de invasões. o que se pode fazer é colocar o maior número de barreiras possível e ter backups diários guardados para restaurar o WordPress em caso de invasão.
abraços,
Olá @cbrandt
Olá Ralden
Muito obrigada pelas respostas, eu vou ver suas orientações e tentar aplicar em meu site.
Muito obrigada
Abraços
Silvia
olá @silviasayuri,
nesses últimos dias tive que lidar com tentativa de invasão de um site de um cliente. todo dia o Sucuri Security alertando tentativa de acesso, e a cada dia com um IP diferente.
e acho que encontrei uma solução que acredito sirva para você também. é o plugin abaixo,
https://br.wordpress.org/plugins/login-recaptcha/
com ele, só é possível tentar fazer login mediante o desafio do recaptcha. e como o Google aprimorou muito, hoje em dia muitas vezes bastando clicar na caixa “Eu não sou um robô” que o Google identifica, essa solução está ótima.
especialmente porque barra scripts que tenta invasão na força bruta.
abraços,
Bom dia Ralden, puxa foi bom você me escrever, eu estava tão concentrada no projeto que havia até esquecido daqui, me desculpe.
Então eu instalei um plugin chamado All In One WP Security que tem muitas providencias a serem tomadas inclusive com opção para ativar o recaptcha. É mais simples, não tem a cx de seleção apenas umas “aulinhas de matemática” rsrs… Mas achei bem bacana, e eu tb contratei uns serviços de segurança. Depois que eu tomei essas providências, não tive mais o problema que mencionei neste tópico. Por enquanto está tranquilo. De qq forma vou ver este plugin que está indicando, muito obrigada!
