Se deparar com a situação em que uma vulnerabilidade do WordPress está sendo explorada, é bastante comum. E não poderia ser diferente, afinal de contas, estamos falando do CMS mais popular da Internet.
Por conta dessa popularidade e adesão de boa parte dos desenvolvedores, o WordPress é alvo de ataques, invasões e todas as ações imagináveis de hackers.
Uma das vulnerabilidades mais comuns, é a exploração de formulários, criados a partir do wp-admin ou de plugins específicos. Portanto, em nosso tutorial, ensinaremos como proteger seus formulários deste ataque.
Pré-requisitos
- Ser cliente de um plano de hospedagem de sites, revenda de hospedagem, hospedagem WordPress, servidor VPS ou dedicado;
- Possuir uma instalação WordPress em sua hospedagem;
- Ter acesso ao cPanel e também ao administrador do WordPress;
- Estar com o site publicado na Internet, já com o certificado SSL instalado.
Passo 1 - Configurando a API do Google recaptcha
1º. Acesse ao console de administrador do reCaptcha da Google.
2º. Preencha as informações da seguinte forma:
- Label - É o “nome” desse reCaptcha que está sendo criado. Você pode deixá-lo como o nome de seu domínio ou de acordo com os seus critérios.
- reCaptcha type - Nesse campo, você escolherá o tipo do reCaptcha que deseja instalar em seu site. A versão 3 utiliza o score como verificação das requisições e a versão 2 utiliza um desafio para verificação de requisições. Existem 3 categorias de desafios:
1. A caixa de seleção "Eu Não Sou um Robô".
2. O selo invisível do reCAPTCHA, que funciona em segundo plano. Normalmente é apresentado no canto inferior da página.
3. O reCAPTCHA Android, que valida através de um aplicativo de celular.
- Domains - Insira os domínios que deseja instalar o reCaptcha.
- Owners - Demonstra os proprietários do reCaptcha em questão.
- Accept the reCAPTCHA Terms of Service - Marque a caixa de seleção para aceitar os termos e condições do mesmo.
- Send alerts to Owners - Marque se deseja receber um alerta da Google se houver o mesmo for mal configurado ou se estiver ocorrendo tráfegos suspeitos.
3º. Clique em “Submit” para concluir a configuração. Na próxima página que será exibida, salve em sua máquina ou copie a chave secreta e chave do site.
Passo 2 - Configurando o plugin reCaptcha no WordPress
1º. Acesse diretamente o administrador do WordPress, pela URL do mesmo, normalmente:
-
https://dominio.com.br/wp-admin
* Troque dominio.com.br pelo endereço do seu site.
2º. Busque por "reCAPTCHA by BestWebSoft", na opção "Adicionar Novo", em "Plugins" e, após encontrá-lo, instale o plugin.
3º. Vá para a página de configuração do plugin e realize a configuração conforme o seguinte:
-
Authentication - Nessa opção, você irá inserir as chaves (do site e secreta) informadas pelo Google no momento da configuração da API do reCaptcha.
- General - São as configurações gerais da ferramenta.
- reCaptcha Version - Escolha a versão do recaptcha que deseja utilizar em seu site e que escolheu no momento de configuração da API da Google. (Invisible é uma opção da versão 2).
- Enable reCaptcha for - Abra os acordeões e marque os formulários que deseja instalar o reCaptcha. Para plugins externos, como o Contact Form 7, Jetpack Contact Form, etc., será necessário realizar o upgrade para versão Pro do plugin.
- Hide reCaptcha for - Selecione os usuários que deseja que o reCaptcha não seja exibido.
- Theme - Escolha se deseja utilizar o tema escuro ou claro do reCaptcha.
-
Size, Language e Multilanguage - São as opções de tamanho do captcha, a língua principal do mesmo ou se deseja utilizar múltiplas linguagens no mesmo, todas disponíveis apenas para usuários PRO do plugin.
- Use reCaptcha Globally - Marque essa opção para utilizar o reCaptcha quando o Google não estiver acessível ou bloqueado em seu país.
- Whitelist Notification - Insira a mensagem que será exibida para os usuários que estiverem na lista branca. A mesma será demonstrada no lugar do reCaptcha.
- Advanced Protection - Marque essa opção para manter o botão de envio desativado até que o reCaptcha seja carregado (não use esta opção se vir a mensagem "Falha ao carregar Google reCaptcha").
- Disabled Submit Button - Marque essa opção para manter o botão de envio desabilitado até que o usuário passe no teste reCaptcha (Disponível para a versão 2).
4.º. Após concluir a configuração do plugin, clique em “Save Changes”.
Conclusão
Embora existam muitos ataques ao WordPress, com um pouco de cuidado e dedicação, é possível proteger a plataforma e blindar os recursos para evitar prejuízos e situações desagradáveis.
Configurar ferramentas como o captcha ou recaptcha do Google, é apenas uma alternativa diante de várias outras recomendações e boas práticas, como, por exemplo, manter os plugins sempre atualizados ou desinstalar aqueles que já não mais utilizados, proteger o wp-login, criar senhas fortes e assim por diante.