Segurança da informação deve ser sempre levada à sério, estejamos falando a respeito de nossos computadores locais (desktops e notebooks), ou a respeito de nossos websites.

Ou até mesmo, veja bem, no que diz respeito aos nossos dispositivos móveis, tais como, por exemplo, tablets e smartphones: segurança, dispositivos e sistemas de proteção, nunca são demais.

No que tange a websites, mais especificamente, neste artigo, àqueles construídos através do CMS WordPress, é também muito importante manter boas práticas de segurança.

Segurança

É extremamente importante, por exemplo, utilizar um sistema de CAPTCHA nos formulários de login e de registro do seu WordPress. Sabemos que a página de login do CMS é constante alvo de spammers, hackers e até mesmo de ataques do tipo brute force.

E é sempre uma hipótese, muitas vezes algo bastante provável, que atacantes tentem obter acesso à sua instalação do WordPress, de tempos em tempos, por diversos motivos.

Eles podem desejar obter acesso não autorizado à área administrativa do WordPress para, digamos, comprometer seu CMS ou, dependendo do caso, todos os sites hospedados no servidor no qual seu site se encontra.

As motivações são inúmeras, e os atacantes podem tentar “forçar a entrada” de diversas maneiras. Justamente devido a isto tudo, recomendo que você mantenha seus backups em dia, e utilize um sistema de CAPTCHA no seu formulário de login.

Aliás, em um futuro artigo, comentarei mais também a respeito de backups do WordPress: algo verdadeiramente essencial!

O que é CAPTCHA?

CAPTCHA, basicamente, é um sistema, um aplicativo, que permite que outro software (no nosso caso o WordPresss) faça a distinção entre uma pessoa real e um robô, um bot, um sistema automatizado.

Trata-se de algo quase impossível de ser burlado por scripts automáticos, o que garante, então, maior segurança ao usuário do sistema que faz uso do CAPTCHA, principalmente no que tange a formulários de login (objeto deste artigo).

A palavra CAPTCHA vem de “Completely Automated Public Turing test to tell Computers and Humans Apart”, ou “Teste de Turing público completamente automatizado para diferenciação entre computadores e humanos”, segundo a própria Wikipedia.

Teste

Neste artigo, iremos aprender a instalar o reCAPTCHA nos formulários de login do WordPress. Vale ressaltar, aliás, que o Google adquiriu o sistema em Setembro de 2009, e o produto é realmente eficaz no combate a bots, por exemplo.

Adicionando o reCAPTCHA no seu WordPress

Adicionar um CAPTCHA ao seu WordPress é uma ótima maneira de garantir maior segurança ao mesmo, à sua instalação do CMS. A seus dados, posts, informações.

É uma ótima maneira, também, de manter possíveis bots bem longe de sua área administrativa (não se esqueça, entretanto, de utilizar senhas fortes).

E o CAPTCHA mais interessante, digamos, mais acessível, mais utilizado, até, no momento, é o reCAPTCHA, do Google. Após a instalação, sua página de login ficará mais ou menos da seguinte maneira:

reCAPTCHA no formulário de login - WordPress

Obs: lembre-se de que sua página de login fica em seusite.tld/wp-login.php

Observe, na imagem acima, o “checkbox” à esquerda, logo seguido da frase “Não sou um robô”. Pois bem, este é o teste que cada usuário que desejar fazer login no seu WordPress terá de “enfrentar” (clicando no “checkbox”).

Tal teste, aliás, é quase impossível de ser ultrapassado por robôs, além de tornar improvável a ocorrências de ataques de força bruta.

Para contar com tal recurso em seu WordPress, vamos instalar no mesmo o plugin “Advanced noCaptcha & invisible Captcha (v2 & v3)“.

Para tanto, basta acessar a área administrativa do seu CMS e navegar até “Plugins” ==> “Adicionar novo”:

Adicionar novo plugin no WordPress

Na tela seguinte, digite o nome do plugin no campo de busca (Advanced noCaptcha & invisible Captcha (v2 & v3). O primeiro resultado que será exibido provavelmente será o plugin que desejamos, desenvolvido por Shamim Hasan:

Plugin WordPress - reCAPTCHA

Clique agora no botão “Instalar agora”, conforme imagem acima, para a devida instalação do plugin no seu WordPress. Feito isto, o plugin será instalado, e no próximo passo, basta clicar em “Ativar”.

Configurando o plugin de reCAPTCHA

Pronto, o plugin “Advanced noCaptcha & invisible Captcha (v2 & v3)” foi instalado no seu WordPress. Tudo o que precisamos fazer agora é configurá-lo.

Para isto, vá em “Configurações”==> Advanced noCaptcha & invisible Captcha:

Plugin WordPress - reCAPTCHA

Na tela de configurações do plugin, tudo o que temos que fazer é selecionar onde desejamos adicionar o sistema de reCAPTCHA.

Antes de utilizar o plugin, porém, você precisa realizar um cadastro no site do reCAPTCHA, para obter suas respectivas “Site Key” e “Secret Key”, as quais são necessárias para o funcionamento do reCAPTCHA.

No site do serviço, clique em “Admin console”, no canto superior direito, e faça login com sua conta do Google, caso seja solicitado:

Google reCAPTCHA

Na tela seguinte, clique no botão de “+”, localizado no canto superior direito, para iniciar então o processo de registro do website (o seu, no caso) que utilizará o sistema.

É bem simples: basta informar um nome qualquer que ajude na identificação, o tipo de reCAPTCHA (recomendo que você utilize a versão 2), adicionar o seu domínio, aceitar os termos de serviço e clicar no botão “Enviar”. Pronto, simples assim.

Voltando agora ao plugin no WordPress (veja acima), informe a Site Key e a Secret Key que você obteve ao realizar o cadastro no site do reCAPTCHA; recomendo que você opte pela versão “V2 – I am not a robot“.

A seguir, em “Enabled Forms”, recomendo que você marque o “Login Form” e o “Registration Form”, pelo menos:

Plugin WordPress - reCAPTCHA

Obs: não se esqueça dos campos “Site Key” e “Secret Key”.

Você pode marcar qualquer opção acima, e o plugin funcionará perfeitamente bem, entretanto. E para finalizar clique, no final da página, em “Salvar alterações”.

Finalizando nosso tutorial sobre CAPTCHA

Pronto, você adicionou com sucesso um sistema de CAPTCHA (no caso, o reCAPTCHA) ao seu site em WordPress.

A partir de agora, você e seus colaboradores terão de “lidar” com o sistema sempre que tentarem fazer login, e seu site estará muito mais seguro.

Além disso, spammers e bots, principalmente, ficarão bem distantes da área administrativa do seu CMS, o que, venhamos e convenhamos, é um alívio e tanto.

Você pode repetir os procedimentos acima tantas vezes quantas forem necessárias, para cada uma de suas instalações do WordPress.

Espero que você tenha gostado. Qualquer dúvida, pode deixar um comentário, que responderei com o maior prazer.

Até a próxima!