Tutoriais
Tutoriais HostMídia

Como proteger formulários no WordPress

Se deparar com a situação em que uma vulnerabilidade do WordPress está sendo explorada, é bastante comum. E não poderia ser diferente, afinal de contas, estamos falando do CMS mais popular da Internet.

Por conta dessa popularidade e adesão de boa parte dos desenvolvedores, o WordPress é alvo de ataques, invasões e todas as ações imagináveis de hackers.

Uma das vulnerabilidades mais comuns, é a exploração de formulários, criados a partir do wp-admin ou de plugins específicos. Portanto, em nosso tutorial, ensinaremos como proteger seus formulários deste ataque.

Pré-requisitos

  • Ser cliente de um plano de hospedagem de sites, revenda de hospedagem, hospedagem WordPress, servidor VPS ou dedicado;
  • Possuir uma instalação WordPress em sua hospedagem;
  • Ter acesso ao cPanel e também ao administrador do WordPress;
  • Estar com o site publicado na Internet, já com o certificado SSL instalado.

Passo 1 - Configurando a API do Google recaptcha

1º. Acesse ao console de administrador do reCaptcha da Google.

2º. Preencha as informações da seguinte forma:

  • Label - É o “nome” desse reCaptcha que está sendo criado. Você pode deixá-lo como o nome de seu domínio ou de acordo com os seus critérios.
  • reCaptcha type - Nesse campo, você escolherá o tipo do reCaptcha que deseja instalar em seu site. A versão 3 utiliza o score como verificação das requisições e a versão 2 utiliza um desafio para verificação de requisições. Existem 3 categorias de desafios:

1. A caixa de seleção "Eu Não Sou um Robô".

2. O selo invisível do reCAPTCHA, que funciona em segundo plano. Normalmente é apresentado no canto inferior da página.

3. O reCAPTCHA Android, que valida através de um aplicativo de celular.

  • Domains - Insira os domínios que deseja instalar o reCaptcha.
  • Owners - Demonstra os proprietários do reCaptcha em questão.
  • Accept the reCAPTCHA Terms of Service - Marque a caixa de seleção para aceitar os termos e condições do mesmo.
  • Send alerts to Owners - Marque se deseja receber um alerta da Google se houver o mesmo for mal configurado ou se estiver ocorrendo tráfegos suspeitos.

3º. Clique em “Submit” para concluir a configuração. Na próxima página que será exibida, salve em sua máquina ou copie a chave secreta e chave do site.

Passo 2 - Configurando o plugin reCaptcha no WordPress

1º. Acesse diretamente o administrador do WordPress, pela URL do mesmo, normalmente:

  • https://dominio.com.br/wp-admin

* Troque dominio.com.br pelo endereço do seu site.

2º. Busque por "reCAPTCHA by BestWebSoft", na opção "Adicionar Novo", em "Plugins" e, após encontrá-lo, instale o plugin.

3º. Vá para a página de configuração do plugin e realize a configuração conforme o seguinte:

  • Authentication - Nessa opção, você irá inserir as chaves (do site e secreta) informadas pelo Google no momento da configuração da API do reCaptcha.

  • General - São as configurações gerais da ferramenta.
  • reCaptcha Version - Escolha a versão do recaptcha que deseja utilizar em seu site e que escolheu no momento de configuração da API da Google. (Invisible é uma opção da versão 2).
  • Enable reCaptcha for - Abra os acordeões e marque os formulários que deseja instalar o reCaptcha. Para plugins externos, como o Contact Form 7, Jetpack Contact Form, etc., será necessário realizar o upgrade para versão Pro do plugin.

  • Hide reCaptcha for - Selecione os usuários que deseja que o reCaptcha não seja exibido.
  • Theme - Escolha se deseja utilizar o tema escuro ou claro do reCaptcha.

  • Size, Language e Multilanguage - São as opções de tamanho do captcha, a língua principal do mesmo ou se deseja utilizar múltiplas linguagens no mesmo, todas disponíveis apenas para usuários PRO do plugin.

  • Use reCaptcha Globally - Marque essa opção para utilizar o reCaptcha quando o Google não estiver acessível ou bloqueado em seu país.
  • Whitelist Notification - Insira a mensagem que será exibida para os usuários que estiverem na lista branca. A mesma será demonstrada no lugar do reCaptcha.
  • Advanced Protection - Marque essa opção para manter o botão de envio desativado até que o reCaptcha seja carregado (não use esta opção se vir a mensagem "Falha ao carregar Google reCaptcha").
  • Disabled Submit Button - Marque essa opção para manter o botão de envio desabilitado até que o usuário passe no teste reCaptcha (Disponível para a versão 2).

4.º. Após concluir a configuração do plugin, clique em “Save Changes”.

Conclusão

Embora existam muitos ataques ao WordPress, com um pouco de cuidado e dedicação, é possível proteger a plataforma e blindar os recursos para evitar prejuízos e situações desagradáveis.

Configurar ferramentas como o captcha ou recaptcha do Google, é apenas uma alternativa diante de várias outras recomendações e boas práticas, como, por exemplo, manter os plugins sempre atualizados ou desinstalar aqueles que já não mais utilizados, proteger o wp-login, criar senhas fortes e assim por diante.