Se a sua instituição de ensino tiver um site que coleta dados de alunos, a proteção desses dados é uma responsabilidade legal e ética.

Além de manter a confiança dos alunos e de suas famílias, a conformidade com as leis de proteção de dados é obrigatória em muitas jurisdições. Dois regulamentos importantes a serem considerados são:

  • FERPA (Lei de Privacidade e Direitos Educacionais da Família). Essa regulamentação dos EUA inclui requisitos de conformidade, como restringir o acesso aos dados dos alunos somente a indivíduos autorizados e obter consentimento por escrito antes de compartilhar os dados dos alunos. O Departamento de Educação dos EUA tem um site dedicado à privacidade do aluno que contém muitos recursos sobre a FERPA.
  • GDPR (Regulamento Geral de Proteção de Dados). Essa regulamentação europeia inclui uma série de requisitos de conformidade, como obter consentimento claro para a coleta de dados, garantir a portabilidade dos dados, implementar princípios de “privacidade desde a concepção” e notificar prontamente os alunos e as autoridades em caso de violação de dados. Temos um artigo completo sobre a conformidade com o GDPR no WordPress.

Este artigo aborda algumas maneiras práticas de proteger os dados dos alunos em sites educacionais construídos com WordPress. Isso inclui dicas técnicas, como criptografar os dados dos alunos, além de outras estratégias importantes, como educar sua equipe sobre segurança de dados.

Vamos ao que interessa..

Use um provedor de hospedagem seguro

Um provedor de hospedagem seguro é uma das maneiras mais eficazes de proteger os dados dos alunos em seu site WordPress. Com um provedor de hospedagem bem configurado ajuda a evitar acesso não autorizado, violações de dados e tempo de inatividade.

Por exemplo, a Kinsta oferece hospedagem gerenciada para WordPress para instituições educacionais com recursos de segurança integrados que ajudam a proteger os dados da sua organização, incluindo:

  • Infraestrutura segura. A Kinsta usa uma infraestrutura segura, com tecnologia do Google Cloud Platform na origem e do Cloudflare na borda da rede.
  • Certificado SSL gratuito. A Kinsta oferece certificado SSL gratuito, o que é importante porque ativar um certificado SSL permite criptografar os dados enquanto eles trafegam entre o servidor do seu site e o navegador dos alunos.
  • Firewalls. Todos os sites são protegidos por dois firewalls de nível empresarial. O firewall do Cloudflare protege seu site na borda da rede, impedindo que muitos ataques cheguem ao servidor de origem. Além disso, seu site conta com o firewall de proteção baseado em IP do Google Cloud Platform.
  • Backups automáticos. A Kinsta faz backup automático do seu site diariamente em todos os planos e armazena seus backups em um local seguro. Você também pode aumentar a frequência desses backups automáticos, até backups de hora em hora.
  • Autenticação em duas etapas (2FA). Você pode usar a autenticação em duas etapas para proteger o acesso à sua conta de hospedagem.
  • Suporte 24/7. Você tem acesso ao suporte por chat em tempo real 24/7, caso precise de ajuda com qualquer questão.
Infraestrutura de segurança da Kinsta explicada.
Infraestrutura de hospedagem da Kinsta.

Independentemente do provedor de hospedagem que você escolher, certifique-se de que está aproveitando todas as vantagens de sua funcionalidade de segurança.

Criptografe dados e backups

A criptografia pode ajudar a proteger os dados dos alunos quando estiverem em trânsito e em repouso, garantindo que as informações confidenciais permaneçam seguras contra acesso não autorizado.

Para começar, é essencial que você use um certificado SSL/TLS e ative o HTTPS em seu site WordPress. Isso criptografa os dados à medida que eles se movem entre os navegadores dos alunos e o seu site WordPress, impedindo que terceiros interceptem essas informações.

Se você estiver armazenando dados de alunos, talvez também precise criptografar os dados em repouso. A abordagem depende de onde os dados estão armazenados:

  • Se os dados estiverem armazenados no banco de dados do WordPress, considere usar um banco de dados com recursos de criptografia integrados. Por exemplo, o MariaDB oferece suporte à criptografia transparente de dados (TDE) para criptografar dados em repouso.
  • Se você estiver usando um banco de dados externo, verifique se ele oferece suporte à criptografia e como configurá-lo adequadamente.

Também é importante criptografar todos os backups que incluam dados de alunos, pois eles podem ser outro vetor para que um agente não autorizado acesse os dados dos alunos.

Se você usa a Kinsta, não precisa se preocupar com isso, pois os backups são criados no nível do servidor e armazenados com segurança no Google Cloud Storage do Google Cloud Platform (GCP). Porém, se preferir mais flexibilidade, o complemento de backups externos permite armazenar seus backups em um armazenamento externo, como o Amazon S3, onde você pode aplicar criptografia usando as ferramentas do provedor.

Lista de backups gerados pela ferramenta de backups automáticos da Kinsta.
Lista de backups gerados pela ferramenta de backups automáticos da Kinsta.

Muitos plugins de backup de WordPress também incluem recursos que permitem que você criptografe seus backups do WordPress. Por exemplo, o BackWPup Pro tem um recurso especial de criptografia que você pode usar para proteger os dados dos alunos nos backups.

Instrua a equipe e os administradores sobre a segurança dos dados

A proteção dos dados dos alunos é um esforço de equipe. Mesmo que você configure tudo perfeitamente em nível técnico, um simples erro humano, como reutilizar uma senha fraca ou manipular mal os dados confidenciais, pode levar a violações de segurança.

Para evitar esses riscos, é importante instruir a equipe e os administradores sobre suas responsabilidades ao lidar com os dados dos alunos.

Alguns dos tópicos que você deve abordar incluem o seguinte:

  • Políticas de senha. Exija que os funcionários usem senhas únicas e fortes em suas contas. Você também pode incentivá-los a usar um gerenciador de senhas como Bitwarden ou LastPass.
  • Práticas de manuseio de dados. A equipe autorizada deve ser treinada para lidar com os dados dos alunos de forma segura. Por exemplo, criptografar os dados dos alunos no seu servidor não ajudará se a equipe compartilhar arquivos não criptografados por e-mail ou outros canais não seguros.
  • Prevenção de phishing. Você deve explicar os tipos comuns de ataques de phishing e como a sua equipe pode evitar problemas. Por exemplo, não clicando em links em e-mails, nunca compartilhando OTP para autenticação de dois fatores, etc. O governo do Reino Unido tem uma página excelente sobre como proteger sua organização contra ataques de phishing.

Restrinja o acesso ao seu site e aos dados

Além de instruir a equipe e os administradores sobre o manuseio adequado dos dados, você deve restringir quem pode acessar os dados dos alunos. Em geral, ter menos pessoas com acesso aos dados dos alunos facilita a segurança e diminui a chance de erro humano que leve a uma violação de dados.

Além de melhorar a segurança dos dados de modo geral, a FERPA também exige explicitamente que você limite o acesso aos dados dos alunos somente a pessoas autorizadas.

No WordPress, você pode usar o sistema central de funções de usuário do WordPress para restringir o acesso de cada usuário. O WordPress vem com cinco funções de usuário pré-definidas (ou seis se estiver usando o WordPress Multisite), mas você pode criar suas próprias funções ou editar as funções padrão.

Ilustração mostrando as funções padrão do WordPress organizadas em ordem de permissões.
Funções de usuário padrão do WordPress.

Cada função vem com um conjunto predefinido de “recursos”, que controlam as ações/acessos individuais dos usuários. Abordamos esses tópicos em nosso guia detalhado sobre funções e recursos do WordPress.

Para gerenciar mais facilmente essas funções e recursos, você pode usar o plugin User Role Editor.

Ele oferece uma interface simples onde você pode ativar ou desativar capacidades específicas apenas marcando caixas. Você pode editar capacidades das funções padrão do WordPress ou criar funções próprias.

Imagem mostrando como gerenciar funções e capacidades de usuários com o User Role Editor.
Como gerenciar funções e capacidades de usuários com o User Role Editor.

Você também pode ir além implementando a autenticação em duas etapas (2FA) para todos os usuários com acesso a dados sensíveis. Isso pode ser feito usando um plugin como o Wordfence Login Security, que permite exigir autenticação em duas etapas para funções específicas no seu site.

Se você exigir autenticação em duas etapas para qualquer função com acesso aos dados dos alunos (além de impor senhas fortes), poderá reduzir significativamente as chances de acesso não autorizado.

Se você hospeda seu site na Kinsta, também oferecemos gerenciamento robusto de funções de usuário para quem tem acesso à conta de hospedagem. Você pode atribuir usuários a sites específicos, aplicar autenticação em duas etapas e muito mais.

Colete dados de forma responsável (e minimize a coleta de dados)

Além de proteger os dados dos alunos que você já possui, também é importante ter cuidado com a forma como você coleta esses dados desde o início.

Para começar, você deve minimizar a quantidade de dados coletados. Reflita sobre o motivo pelo qual está coletando cada informação e colete apenas os dados que são realmente necessários para o funcionamento da sua instituição educacional.

Depois, ao coletar esses dados, certifique-se de fazer isso de forma responsável.

Você deve ter formulários de consentimento que obtenham consentimento explícito para todos os dados dos alunos que forem coletados.

Também é essencial ter uma política de privacidade detalhada que explique:

  • Quais dados você está coletando.
  • Por que você está coletando esses dados.
  • Como você está armazenando esses dados.

Para ajudar a criar e exibir uma política de privacidade, você pode usar um plugin de WordPress como o Complianz.

Também é essencial que você instale um certificado SSL/TLS e ative o HTTPS para que todos os dados coletados pelo seu site sejam criptografados quando passarem do navegador do usuário para o seu servidor. Novamente, a hospedagem de WordPress da Kinsta oferece certificados SSL/TLS gratuitos.

Por fim, você deve implementar políticas de retenção de dados que determinem por quanto tempo você armazena dados e deve excluir regularmente os dados que não são mais necessários.

Por exemplo, se você só precisa de determinadas informações sobre alunos ativos, não faz sentido continuar armazenando esses dados quando um aluno se formar. Uma política de retenção de dados pode garantir que você esteja excluindo adequadamente os dados quando eles não forem mais necessários.

Para automatizar algumas dessas políticas de retenção de dados, você pode usar um plugin de WordPress como o Advanced Database Cleaner. Ele permite que você limpe determinados dados do seu banco de dados de acordo com uma programação definida por você (ou você pode executá-lo manualmente quando necessário).

Imagem mostrando como excluir dados usando o plugin Advanced Database Cleaner.
Como excluir dados usando o plugin Advanced Database Cleaner.

Proteja todos os uploads e permissões de arquivos

Para proteger o seu site e os dados contra arquivos maliciosos, também é importante proteger os uploads de arquivos para o seu site. Isso pode evitar o upload intencional ou não intencional de um arquivo malicioso em seu servidor, que pode causar uma violação de dados.

Para começar, você deve restringir os tipos de arquivos que podem ser carregados no seu servidor. Bloqueie todos os tipos de arquivos potencialmente maliciosos e permita apenas os tipos específicos de arquivos necessários para o seu site. No WordPress, você pode controlar os tipos de arquivos permitidos usando um plugin gratuito como o File Upload Types.

Imagem mostrando como usar o plugin File Upload Types para restringir tipos de arquivo.
Como usar o plugin File Upload Types para restringir tipos de arquivo.

Você também deve controlar rigorosamente quais usuários têm permissão para fazer upload de arquivos no seu site. Como discutimos anteriormente, você pode fazer isso usando o sistema de funções do WordPress. Mais especificamente, você pode usar o recurso upload_files para controlar quais funções de usuário têm a capacidade de fazer upload de arquivos.

Também é importante configurar seu servidor para limitar o acesso aos arquivos carregados, o que você pode fazer com regras .htaccess ou nginx.conf. Você também deve certificar-se de definir as permissões de arquivo adequadas para controlar o acesso a esses arquivos no seu servidor.

Audite e monitore o acesso aos dados dos alunos

Monitorar os dados dos alunos e auditar os acessos é fundamental.

Por exemplo, você pode querer ver quem está visualizando os dados dos alunos, quais modificações foram feitas, etc. Isso ajuda a identificar possíveis problemas e garante que os membros da equipe estejam seguindo as políticas de armazenamento e manipulação de dados.

Para rastrear os usuários do WordPress que estão visualizando ou modificando os dados dos alunos, você pode usar um plugin como o WP Activity Log. Além de permitir a visualização de um registro de ações no painel do WordPress, você também pode configurar alertas por e-mail ou SMS, o que pode ajudá-lo a detectar rapidamente qualquer atividade suspeita.

Exemplo do plugin WP Activity Log.
Exemplo do plugin WP Activity Log.

Além de registrar a atividade no WordPress, você também deve realizar auditorias regulares para analisar as entradas do banco de dados e os registros de acesso do usuário.

Tanto o MySQL quanto o MariaDB incluem ferramentas de registro que você pode usar, embora talvez seja necessário ativá-las:

Use somente plugins confiáveis de WordPress

A grande variedade de plugins de WordPress disponíveis é uma das coisas que torna o WordPress tão bom para sites educacionais.

No entanto, cada plugin instalado também representa um risco potencial à segurança dos dados. Por isso, é essencial avaliar cuidadosamente cada plugin e usar apenas aqueles de desenvolvedores confiáveis e de alta qualidade.

Antes de instalar qualquer plugin, leve em consideração os seguintes fatores:

  • Suporte e atualizações do desenvolvedor. Certifique-se de que o desenvolvedor ainda oferece suporte ativo e lança atualizações, principalmente de segurança. Problemas de segurança podem surgir mesmo nos melhores softwares, mas desenvolvedores comprometidos lançam rapidamente um patch de segurança e fornecem informações sobre a vulnerabilidade.

  • Avaliações de usuários. Elas fornecem uma boa visão sobre a experiência de outros usuários e a qualidade geral do plugin.

  • Número de instalações ativas. Desconfie de plugins com poucas instalações ativas, embora existam exceções (como plugins para problemas muito específicos, mas vindos de desenvolvedores confiáveis).

Além de observar a qualidade do plugin e do desenvolvedor, você também deve avaliar se o plugin foi projetado de forma compatível com a FERPA, o GDPR e outras diretrizes relevantes.

Por exemplo, mesmo que o plugin seja de um desenvolvedor renomado, ele pode não ser adequado se, por padrão, coleta ou armazena dados de uma maneira não compatível com as regulamentações.

Atualize prontamente o WordPress, plugins e temas

Manter o núcleo, os plugins e os temas do WordPress atualizados é fundamental para manter a segurança do site. Um software desatualizado pode expor vulnerabilidades que podem ser exploradas por agentes maliciosos.

De acordo com um relatório de segurança de 2023 da Sucuri, 39,1% dos sites CMS invadidos estavam executando software desatualizado no momento da infecção. Além disso, em 2023, os plugins foram responsáveis por 97% de todas as novas vulnerabilidades de segurança no ecossistema do WordPress.

Para reduzir esses riscos, é essencial que você aplique prontamente todas as atualizações de segurança ao núcleo, aos plugins e aos temas do WordPress. As atualizações regulares garantem que as vulnerabilidades conhecidas sejam corrigidas, reduzindo o risco de exploração.

Se estiver preocupado com a possibilidade de as atualizações de software causarem problemas em seu site, você pode testá-las em um site de teste antes de aplicá-las ao site ativo. Se você hospedar seu site com a Kinsta, poderá criar facilmente um site de teste e colocar algumas ou todas as alterações no ar após testá-las.

Como alternativa, a Kinsta também oferece um complemento de Atualizações Automáticas para facilitar ainda mais a aplicação de atualizações:

  • Atualizações programadas para plugins e temas. Ele aplica atualizações nos dias escolhidos, garantindo que seu site permaneça atualizado.

  • Backups automáticos antes das atualizações. Ele gera automaticamente um novo backup antes de aplicar qualquer atualização, garantindo um ponto limpo de restauração.

  • Teste visual de regressão. Isso compara a aparência do site antes e depois da atualização. Se algum problema for detectado, o sistema reverte automaticamente para o ponto de restauração.

Imagem mostrando a ferramenta de atualizações automáticas da Kinsta.
Ferramenta de atualizações automáticas da Kinsta.

Você também pode considerar um plugin como o Easy Updates Manager. Ele pode ajudar você de várias maneiras diferentes:

  • Notificações por e-mail sobre atualizações disponíveis. Você recebe um e-mail quando há uma nova atualização, útil se não verifica o painel do WordPress todos os dias.

  • Gerenciamento de atualizações automáticas. Oferece ferramentas para programar e controlar quando aplicar atualizações automáticas.

  • Registro de logs. Permite visualizar registros das atualizações aplicadas.

  • Backups automáticos. Se você usar o plugin UpdraftPlus do mesmo desenvolvedor, ele pode gerar backups automáticos antes de atualizar os plugins.

Tenha um protocolo pronto para lidar com violações de dados

Se você seguir todas as dicas acima, estará em uma ótima posição para proteger os dados dos alunos.

No entanto, ainda é fundamental ter um plano para o que fazer caso algo dê errado — por isso, é importante ter um protocolo pré-definido para lidar com violações de dados.

Para começar, você deve ter um plano de notificação sobre como comunicar qualquer violação:

  • Planeje como notificar os usuários afetados. Isso deve ser feito rapidamente. Por exemplo, o GDPR exige que os usuários sejam notificados dentro de 72 horas.

  • Pesquise quais autoridades precisam ser notificadas em caso de violação de dados e como entrar em contato com elas.

Muitos plugins de conformidade com o GDPR no WordPress podem ajudar a relatar violações de dados aos usuários afetados. Por exemplo, o plugin Complianz possui um assistente chamado Data Leak Report Wizard que pode ajudar a relatar e gerenciar vazamentos de dados. Outros plugins também oferecem ferramentas semelhantes.

Além de cumprir os requisitos de notificação, você também deve ter um plano para restaurar seu site. Por exemplo, se ocorrer uma violação, pode ser necessário restaurar o backup mais recente e limpo.

É recomendável testar periodicamente a restauração de backups em um ambiente de teste, para ganhar experiência prática e garantir que você consiga restaurar seu site com eficiência sob pressão.

Se você hospeda seu site na Kinsta, é possível restaurar um backup para o ambiente de teste ou produção com apenas um clique.

Imagem mostrando como restaurar um backup na Kinsta.
Como restaurar um backup na Kinsta.

Resumo

Independentemente de como você constrói o site da sua instituição educacional, é essencial proteger os dados dos alunos para cumprir leis como a FERPA (dos EUA) e o GDPR (da Europa).

Se você usa o WordPress, pode aproveitar os principais recursos do WordPress e a extensa biblioteca de plugins do WordPress para ajudar a proteger os dados dos alunos e garantir a conformidade com a legislação.

Ao combinar uma configuração adequada do WordPress, treinamento dos usuários e uma hospedagem web confiável e segura, você pode ter confiança de que os dados dos seus alunos estarão protegidos.

Para saber como a hospedagem de WordPress da Kinsta pode ajudar você a criar uma base segura para o site da sua instituição educacional, confira a hospedagem para educação da Kinsta aqui.

Jeremy Holcombe Kinsta

Editor de Conteúdo & Marketing na Kinsta, Desenvolvedor Web WordPress e Escritor de Conteúdo. Fora do universo WordPress, eu curto praia, golfe e filmes. Também enfrento problemas de gente alta ;).