O Secure File Transfer Protocol (SFTP) e o Secure Shell (SSH) são ferramentas essenciais para você gerenciar seu site WordPress remotamente. Elas permitem que você execute tarefas administrativas, transfira arquivos e atualize seu site de qualquer local sem precisar estar no servidor físico que hospeda seu site.

No entanto, com essa conveniência, você tem a desvantagem de possíveis ameaças cibernéticas. Por exemplo, usar senhas fracas ou não regular o acesso a essas ferramentas pode deixar seu site vulnerável a hackers e outros agentes mal-intencionados.

Para combater essas ameaças, é fundamental implementar recursos avançados de segurança SFTP e SSH. É por isso que a Kinsta lançou recursos adicionais relacionados à segurança para ajudar você a aumentar a segurança do WordPress. Esses recursos incluem:

  1. Diferentes acessos a bancos de dados e SFTP/SSH para seus ambientes.
  2. Restrições de login de endereço IP.
  3. Controles aprimorados de senha SFTP/SSH.
  4. Atalhos de conexão SFTP.
  5. Capacidade de desabilitar o SFTP/SSH.
  6. Acesso somente por chave SSH.

Vamos explorar cada um desses recursos, fornecendo exemplos práticos de como eles podem ajudar você a gerenciar e proteger melhor o seu site.

1. Diferentes acessos a bancos de dados e SFTP/SSH para seus ambientes

Estamos sempre procurando maneiras de ajudar você a evitar possíveis violações de segurança. Uma prática recomendada é evitar o uso de credenciais de login idênticas em vários serviços e ambientes de site.

Agora, cada ambiente de site hospedado na Kinsta tem um banco de dados exclusivo e credenciais de acesso SFTP/SSH. Isso significa que cada ambiente de teste e o ambiente ativo terão detalhes de acesso separados.

Além disso, se você alterar a senha de um ambiente, não afetará o outro. Esse isolamento garante que qualquer alteração no controle de acesso fique contida no ambiente específico, aumentando a segurança geral.

Esse recurso ajuda a impedir o acesso aos arquivos e bancos de dados do seu site. Por exemplo, se você tiver desenvolvedores trabalhando no seu site, talvez queira que eles tenham acesso apenas ao ambiente de teste, onde você pode visualizar o trabalho deles. Depois, quando o trabalho for aprovado, você o transfere para o ambiente ativo, onde eles não têm acesso aos arquivos e ao banco de dados do site.

2. Restrições de login de endereço IP

Outro poderoso recurso de segurança que introduzimos recentemente é a capacidade de restringir o acesso de login por endereço IP. Esse recurso permite que você crie uma lista de endereços IP permitidos que têm autorização para acessar seu site via SFTP/SSH e painéis de banco de dados do phpMyAdmin.

Imagine que você administra um site WordPress com uma equipe de desenvolvedores que precisa acessar o SFTP do site para atualizações e manutenção. Para esse nível extra de segurança do site, você configura uma lista de permissões para garantir que somente os desenvolvedores ou pessoas com endereços IP aprovados possam se conectar via SFTP.

Se um desenvolvedor mudar de local ou se você precisar conceder acesso temporário a um novo endereço IP, poderá atualizar a lista de permissões adequadamente. Isso garante que o acesso permaneça restrito a fontes confiáveis, protegendo seu site contra tentativas de acesso não autorizado.

As listas de IPs permitidos são gerenciadas na página Informações do site no MyKinsta, que você encontra em Sites WordPress > nome do site > Informações.

Você encontrará um ícone de edição nos painéis SFTP/SSH e Acesso ao Banco de Dados à direita do rótulo Lista de IPs permitidos. Clique nesse ícone para começar a adicionar ou excluir endereços IP que têm permissão para acessar seu banco de dados phpMyAdmin ou se conectar para acesso shell ou SFTP:

Clicar no ícone de edição para gerenciar uma lista de permissões de IPs para SFTP/SSH e banco de dados.
Clique no ícone de edição para gerenciar uma lista de IPs permitidos de SFTP/SSH e banco de dados.

Ao clicar no ícone de edição da lista de permissões em qualquer um dos painéis, você abrirá uma caixa de diálogo Atualizar lista de IPs permitidos, como a mostrada abaixo:

Adicionando um endereço IP a uma lista de permissões no MyKinsta.
Adicionando um endereço IP a uma lista de permissões no MyKinsta.

Você pode criar uma lista de permissões inserindo endereços válidos (exemplo: 45.229.77.9/32) no campo Adicionar endereços IP e clicando no botão Adicionar. Você também pode adicionar vários endereços IP de uma vez, separando-os com vírgulas.

Quando uma lista de permissões estiver habilitada para SFTP/SSH ou banco de dados, o número de IPs permitidos será mostrado:

Este campo de lista de permissões de IP indica o número de IPs permitidos.
Esse campo da lista de IPs permitidos indica o número de IPs permitidos.

Você também pode sempre remover endereços da lista de IPs permitidos clicando no ícone da lixeira ao lado de entradas individuais ou usando as caixas de seleção para selecionar entradas na lista e, em seguida, clicando no botão vermelho Remover endereço(s) IP.

A vantagem desse recurso é que os hackers e agentes mal-intencionados que não estiverem na lista de permissões não conseguirão nem mesmo tentar fazer login.

3. Controles aprimorados de senha SFTP/SSH

A capacidade de diferenciar o acesso para todos os ambientes e restringir os logins por endereço IP são aprimoramentos de segurança úteis, mas você pode precisar de ainda mais. Por exemplo, há cenários em que você precisa fornecer acesso temporário a um desenvolvedor ou serviço de terceiros. Talvez você não se lembre de remover a pessoa da lista de IPs aprovados quando a tarefa for concluída. É nesse ponto que os controles aprimorados de senha do SFTP entram em ação.

Por padrão, as senhas criadas no MyKinsta para acesso SFTP/SSH não expiram automaticamente. Com nossos recentes aprimoramentos de segurança, agora você pode clicar no ícone de edição (lápis) ao lado do rótulo Expiração da senha para escolher uma opção de expiração automática:

Escolhendo um período de expiração para senhas de SFTP/SSH.
Escolhendo um período de expiração para senhas SFTP/SSH.

Quando você habilitar a expiração automática, o sistema Kinsta gerará uma nova senha no final do período escolhido. Você pode acessar a nova senha revelando ou copiando no painel SFTP/SSH.

Além disso, agora temos senhas mais complexas. As senhas padrão ou geradas agora são mais complexas, tornando as senhas mais difíceis de adivinhar ou decifrar. As senhas complexas geralmente incluem letras maiúsculas e minúsculas, números e caracteres especiais, o que as torna significativamente mais fortes contra ataques de força bruta.

4. Atalhos de conexão SFTP

Imagine que você esteja gerenciando vários ambientes de WordPress dentro da Kinsta, como teste e produção. Cada ambiente requer configurações SFTP exclusivas para que você tenha acesso. Sem os atalhos de conexão, você precisa inserir e verificar manualmente essas configurações no seu cliente SFTP sempre que se conectar.

Com os novos atalhos de conexão SFTP, você pode simplesmente baixar os arquivos de configuração de cada ambiente e importá-los para o cliente SFTP. Isso garante que todas as configurações estejam corretas e reduz significativamente o tempo e o esforço necessários para estabelecer conexões seguras.

Na página Informações do site no MyKinsta, encontrada em Sites WordPress > nome do site > Informações, clique no ícone de download ao lado do rótulo Arquivos de configuração do cliente FTP para baixar esses documentos como um arquivo ZIP. Dentro do arquivo, você encontrará arquivos como estes:

Conteúdo de um arquivo ZIP de configuração do cliente.
Conteúdo de um arquivo ZIP de configuração do cliente.

Os formatos de arquivo acima podem ser usados para diferentes softwares de cliente; o nome já sugere o cliente perfeito. Por exemplo:

5. Capacidade de desabilitar o SFTP/SSH

Então, você acabou de concluir uma grande atualização no seu site WordPress. Como de costume, você pode usar SFTP e SSH para fazer essas alterações. Depois que a atualização for concluída, você poderá desabilitar o acesso ao SFTP e ao SSH até a próxima vez que precisar deles. Dessa forma, mesmo que alguém tente se conectar usando credenciais roubadas, não conseguirá obter acesso porque os serviços não estão em execução.

Muitos dos nossos usuários solicitaram esse recurso no passado e estamos felizes por tê-lo implementado, minimizando a superfície de ataque nos sites.

Na página Informações do site no MyKinsta, se o SFTP/SSH estiver habilitado no momento, você verá um botão Desabilitar no canto superior direito do painel. Clique no botão e você será solicitado a confirmar a ação:

Um usuário é solicitado a confirmar ao desabilitar o acesso SFTP/SSH em um ambiente WordPress.
Um usuário é solicitado a confirmar ao desabilitar o acesso SFTP/SSH em um ambiente WordPress.

Quando o SFTP/SSH é desabilitado em um ambiente de site, os detalhes da configuração não são relevantes, portanto, todo o painel SFTP/SSH fica acinzentado e um botão Habilitar substitui o botão Desabilitar:

Com o SFTP/SSH desabilitado, o botão Habilitar permite que você reverta esse status.
Com o SFTP/SSH desabilitado, o botão Habilitar permite que você reverta esse status.

Isso é particularmente útil se você usar esses protocolos apenas ocasionalmente para manutenção ou atualizações.

6. Capacidade de usar o SFTP/SSH somente com uma chave SSH

Por padrão, as senhas e os pares de chaves SSH podem autenticar o acesso SFTP/SSH aos ambientes WordPress na Kinsta. No entanto, muitos de nossos clientes expressaram preocupação com a segurança do acesso baseado em senha e preferem a robustez da autenticação de chave SSH.

Com nossos recentes aprimoramentos de segurança, agora você pode desabilitar a autenticação por senha e confiar apenas nas chaves SSH.

Por que usar chaves SSH? As chaves SSH são pares de chaves criptográficas usadas para autenticar um usuário. As chaves SSH são praticamente impossíveis de ser quebradas, ao contrário das senhas, que podem ser adivinhadas ou decifradas. Isso as torna um método de autenticação muito mais seguro.

Você também pode adicionar uma camada de segurança definindo uma frase secreta para sua chave SSH. Isso significa que, mesmo que alguém obtenha acesso à sua chave privada, ainda precisará da frase secreta para usá-la, o que oferece proteção adicional.

Clique no ícone de edição (lápis) ao lado do rótulo Métodos de autenticação para desabilitar ou reabilitar a autenticação por senha. Você verá este prompt:

Escolhendo se deve permitir a autenticação SFTP/SSH usando uma senha
Escolha se deseja permitir a autenticação SFTP/SSH usando uma senha.

A autenticação baseada em chave está sempre disponível, desde que o SFTP/SSH esteja habilitado. Você pode marcar ou desmarcar a opção Senha e, em seguida, clicar no botão Salvar alterações.

Qual é o objetivo final desses aprimoramentos de segurança?

Na Kinsta, levamos a segurança a sério. O objetivo final desses aprimoramentos de segurança é fornecer uma estrutura de segurança abrangente e robusta para o seu site WordPress.

Ao implementar esses recursos avançados de SSH e SFTP, pretendemos atingir vários objetivos principais:

  1. Reduzir as vulnerabilidades: Cada um desses aprimoramentos aborda vulnerabilidades específicas associadas a acesso remoto, gerenciamento de senhas e tentativas de login não autorizadas. Ao fortalecer essas áreas, reduzimos significativamente os possíveis vetores de ataque que agentes mal-intencionados poderiam explorar.
  2. Aprimoramento da proteção: Esses recursos trabalham juntos para criar várias camadas de segurança. Desde o uso de senhas complexas e com expiração automática até a implementação de restrições de login de endereço IP e autenticação SSH baseada em chave, cada camada acrescenta uma barreira contra acessos não autorizados.
  3. Melhorar o gerenciamento: A segurança não deve prejudicar a usabilidade. Recursos como atalhos de conexão SFTP e a capacidade de gerenciar métodos de autenticação por meio do MyKinsta facilitam para os administradores de sites a implementação e a manutenção de práticas de segurança robustas sem sacrificar a conveniência.
  4. Garantia de flexibilidade: Ao fornecer opções como desabilitar o acesso SFTP/SSH e a configuração de credenciais separadas para ambientes de teste e de produção, oferecemos flexibilidade que atende a várias necessidades operacionais e, ao mesmo tempo, mantém altos padrões de segurança.
  5. Aumentar a confiança: Saber que o seu site WordPress está protegido por essas medidas avançadas de segurança permite que você se concentre na criação e na manutenção do seu site sem a preocupação constante com possíveis ameaças à segurança.

Resumo

Esses recursos avançados de segurança fornecem proteção robusta para o seu site WordPress, garantindo tranquilidade e permitindo que você se concentre no que realmente importa: criar e manter o seu site.

Além desses novos aprimoramentos, utilizamos ferramentas como Google Cloud e Cloudflare para firewall, proteção contra DDoS e SSL wildcard gratuito.

Auditores independentes também confirmaram a conformidade com os padrões de segurança SOC (System and Organization Controls). Você pode solicitar acesso ao relatório SOC 2 Tipo II da Kinsta em nossa página do relatório de confiança.

Comece a aproveitar nosso ambiente seguro encontrando o seu melhor plano de hospedagem na web.

Joel Olawanle Kinsta

Joel is a Frontend developer working at Kinsta as a Technical Editor. He is a passionate teacher with love for open source and has written over 300 technical articles majorly around JavaScript and it's frameworks.