autenticação no Wordpress

“Keys” e “Salts” de autenticação no WordPress

Segurança tem sido um tema recorrente em relação a websites, ainda mais com as novas normas de privacidade em vigor. Sites WordPress, ao contrário do que dizem muitos, são seguros – mas é preciso configurá-los. A autenticação no WordPress, em várias frentes, é realizada por meio de chaves que são armazenadas no ficheiro wp-config.php. Contudo, muitos web designers não atentam para tal.

Originalmente, a instalação do WordPress acompanha lacunas em suas configurações para que sejam incluídas essas chaves, como mostraremos a seguir. Alguns serviços de host oferecem sistemas de instalação rápida que geram essas chaves de modo automático – mas isso também não é regra.

Como verificar se a autenticação no WordPress está configurada?

É preciso verificar, via FTP ou no cPanel do seu alojamento, o conteúdo do ficheiro wp-config.php, que encontra-se no diretório raiz do website. Dentro do ficheiro, haverá muitas instruções, mas basta encontrar as seguintes linhas:

define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');
define('AUTH_SALT', 'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT', 'put your unique phrase here');
define('NONCE_SALT', 'put your unique phrase here');

Caso as linhas estejam desse modo, com a mensagem “put your unique phrase here”, isso significa que as chaves não foram geradas. Assim sendo, seu WordPress não efetua autenticações. O problema disso é que toda sorte de plugins e sistemas no WordPress lança mão de estruturas de validação que dependerão sempre dessas chaves para ocorrer de forma segura. Na inexistência dessas chaves, os riscos são muito maiores. Por outro lado, caso as chaves já tenham sido geradas de forma automática, encontrará algo parecido com isto nessas linhas:

define('AUTH_KEY', '1XSU7#93Y6<-NPsW&TK/+4m^t4_h>^m$+-njzZis0<SY(6<wZ^$~[X:^vshr-Bi9');
define('SECURE_AUTH_KEY', '%91[t;ZFQN_RKZWMY}ypH@1GO;0t%y$|R}_2~=)NicqrJeLJ(z!A+HkpK/pP-nt6');
define('LOGGED_IN_KEY', '>gG.F+(B-uyiSJ1^5K-_hQzX>Z-=.R].Pk[JBc/eF+4EgISKz=MSjF`_4D(-n--~');
define('NONCE_KEY', '?Qi#->zmjea1!<0MMUMOs5d >vy[Cco%l@~WCqMAv_R8+Cs /YL_Af5j-o+p3S?D');
define('AUTH_SALT', 'XBWxR1gHy&,cv!%mjR;#oxz~wX=-7
define('SECURE_AUTH_SALT', '>/jT5Y(?xj=+s|ECIyoJ][(6]*(^iGK(,ll6meP]Si;xdZX>X&D&nAR-VY<3W![X');
define('LOGGED_IN_SALT', '2x{[n+v6;w* bh3, ]V`&6hXVg_8/K<RPgdmA%m$s6v5k%,@PE]ItM7Pv%(*d+d]');
define('NONCE_SALT', '([QG#PeUs$3?EGB6yxk +T-$Y+o,;Gx+{iO,D67Yohg#KG<=vC!={2XNA5=PyPw]');

A boa notícia é que a própria API do WordPress.org possui um URL capaz de gerar chaves randômicas, neste link. Cada vez que o link é visitado, chaves únicas são geradas, de modo que basta copiá-las todas e substituir pelas linhas originais, sem as chaves, dentro do ficheiro wp-config.php.

Quando substituir as chaves?

As chaves podem ser substituídas a qualquer momento sem prejuízos ao website em si. Por exemplo, caso suspeite de que sessões ou usuários em seu website tenham sido “sequestrados” por hackers, é possível fazer com que os cookies de sessão usados para tal façanha deixei de conceder acesso ao hacker que os utilizou, simplesmente trocando as chaves no ficheiro novamente. O processo é simples e rápido e oferece, sem trabalho ou custos, mais uma camada de segurança para o website e todos os seus usuários ou clientes.

RGPD e DPOs – certificação NÃO é uma exigência

Com base naquilo que temos lido aqui e ali a respeito do Regulamento Geral de Proteção de Dados (RGPD), cabe-nos tranquilizar empresas, especialmente as pequenas, de um aspeto extremamente relevante: certificações e acreditações NÃO são uma exigência.

O mercado português atual é notadamente repleto de desnecessidades certificatórias em todo canto, porém vale lembrar de dois fatores muito importantes:

  • Primeiro, o Projeto de Lei 120, que regulamentaria o RGPD em sua aplicação e execução em Portugal, foi chumbado pelo Parlamento e criticado pela própria Comissão Nacional de Proteção de Dados (CNPD). E mesmo nesse documento, que estabelecia mecanismos e normas contraditórios ao posto no RGPD, as certificações não eram uma exigência – seja para controladores de dados ou para os encarregados ou DPOs.
  • Em segundo lugar, em relação a qualquer discussão que se trave no tocante a certificações exigidas para empresas de qualquer porte, o artigo 42º do RGPD, em seu item nº3, é absolutamente direto: “a certificação é voluntária e está disponível através de um processo transparente.”

De igual maneira, estipula-se no RGPD que o encarregado da proteção de dados deva ser alguém com conhecimento e domínio das prerrogativas legais e também técnicas do disposto na norma. Em outras palavras, pode ser um advogado, um informático, mas também outro profissional qualquer. O DPO pode ser um membro da equipa existente de uma empresa, designado para tal, e pode desempenhar outras funções que não a de DPO. Finalmente, pode-se nomear um DPO terceiro, prestador de serviços.

Um pouco de cinismo

O número estarrecedor de entidades a ofertar certificações e formações de DPO na atualidade, contudo, lança uma cortina de fumaça naquilo que está disposto no regulamento. Faz parecer que certificações para o RGPD ou para assumir o papel de DPO, aqui no país das formações, são uma exigência. Novamente: “certificação NÃO é uma exigência”. Obviamente que, caso sua empresa processe dados de clientes e empregados em grande volume, deverá preferir apontar uma pessoa capaz, com conhecimento amplo em segurança da informação, aspetos jurídicos relacionados e rotinas informáticas. No entanto, tais qualificações já podem ser comprovadas por outros certificados e diplomas.

Ademais, parece pouco provável que, em tão pouco tempo, já estejamos a dispor de um sem número de instituições especializadas em uma matéria que, até então, sequer foi regulamentada de forma própria pelo Legislativo e ainda cria discussões entre aqueles que serão os responsáveis pela fiscalização e auditoria em relação à norma. Parece estranho que, se o tema ainda segue em discussão inclusive no campo das autoridades de controlo, haja quem seja capaz de certificar com tamanha precisão e certeza.

Senso comum

Por mais intricada que pareça, a legislação presente no RGPD foi originada do senso comum. São as pessoas as titulares dos dados. Empresas são os controladores dos dados que requisitam e assumem responsabilidade sobre tal. O mesmo ocorre com aqueles que os processam em nome desses controladores. Autoridades envolvidas são basicamente as mesmas que já atuavam no tema há 20 anos.

Elementos e direitos assegurados ao usuário já constavam do regime do DPD, emitido em 1995 pela Directiva 95/46/EC sobre processamento de dados pessoais. Boas práticas que constam de normas como as da família ISO 26000 também estão em linha com muito do que vemos no regulamento europeu atual.

É o momento de tranquilizar um pouco o empresariado e também os produtores de conteúdo na internet, mostrando-lhes que a adoção das novas práticas pode ser algo simples e menos custoso do que estavam a esperar.

Brute Force

Defenda-se de ataques de brute force amplificados no WordPress

Ataques chamados de “brute force” estão entre as mais antigas e tradicionais ameaças da internet. O ataque, basicamente, consiste no envio de requisições ou execução de scripts que “testam” palavras-passe, com o objetivo de revelar as passwords de usuários e aceder seus dados. Como a grande maioria dos websites da atualidade estão em WordPress, hoje falaremos sobre algumas formas de evitar esses ataques na plataforma – especialmente sua versão agravada: o brute force amplificado.

O WordPress é uma ferramenta poderosa e com imensos recursos. Contudo, esses recursos trazem benefícios ao mesmo tempo em que podem ser explorados por programadores e hackers mal intencionados. Sob as novas regras do RGPD, garantir proteção extra, especialmente em relação aos dados de login dos usuários, pode ser um “plus” em termos de segurança.

O que é o “brute force amplificado”

Enquanto o brute force gera imensas requisições para testar passwords em logins, o brute force amplificado utiliza-se de algumas “brechas” existentes em plataformas e códigos para criar múltiplas tentativas de quebra de uma password a partir de uma única requisição.

Há, contudo, um problema adicional: alguns sistemas possuem recursos específicos que permitem gerar tarefas múltiplas a partir de uma única requisição. O objetivo é acelerar sites e aplicações e diminuir o número de requisições e o fluxo de tráfego – algo extremamente positivo – mas que pode e é usado por hackers e pessoas mal intencionadas para realizar alguns tipos de ataque.

No brute force amplificado, hackers utilizam-se de sistemas como o XML-RPC. O XML-RPC é um protocolo de chamada de procedimento remoto (CPR) que utiliza XML para codificar suas chamadas e HTTP como um mecanismo de transporte. O WordPress utiliza-se desse protocolo em algumas operações e, desse modo, ele vem disponibilizado como default na instalação do CMS. Quando hackers utilizam o XML-RPC para realizar ataques de brute force, podem gerar dezenas, centenas ou mesmo milhares de combinações contra passwords a partir de uma única requisição – e nesse ponto várias medidas de contenção a ataques vão por água abaixo.

A proteção? Algo simples: desabilitar o XML-RPC. Mas cuidado, isso deve ser feito com calma e sempre mediante testes, pois é claro que alguns plugins e operações dentro do WordPress podem fazer uso do protocolo, embora na maioria dos sites isso seja improvável. A via que usaremos aqui não se utiliza do ficheiro .htaccess no servidor – ou seja, é uma forma menos invasiva e insegura de realizar tal intento.

Como proteger seu website a partir do tema

Os temas podem ser diretamente protegidos contra essa ameaça por meio de uma simples função  que bloqueia a funcionalidade específica do ficheiro xml-rpc.php no momento em que o tema começa a carregar. A inserção é feita diretamento no ficheiro functions.php (nesse caso, é melhor que esteja a usar um tema “filho” para essas alterações). Ao final do ficheiro, basta adicionar uma função customizada:

function disable_xmlrpc_system_multicall($methods) {
  unset($methods['system.multicall']);
  return $methods;
}

add_filter('xmlrpc_methods', 'disable_xmlrpc_system_multicall');

Para quem acredita que não utilizará as funções do xml-rpc.php (e é pouco provável que esteja a utilizá-las), o WordPress ainda permite desabilitar de forma completa o ficheiro e suas funcionalidades. Mas cuidado, pois há plugins que precisam de utilizar os métodos XML-RPC, como é o caso do Jetpack. Para desabilitar o XML-RPC totalmente, basta inserir um filtro via plugin próprio ou mesmo no ficheiro functions.php do seu tema:

add_filter('xmlrpc_enabled', '__return_false');

Privacidade por Defeito

Caros leitores – “privacidade por defeito” não existe

Chamou-nos a atenção, durante nossos recentes trabalhos para construir uma base de dados acerca das normas do RGPD, um pequeno erro que pode vir a causar imensos problemas e dúvidas em uma matéria já complicada por si só.

Um dos conceitos mais importantes no segmento do web design, sob a égide do Regulamento Geral de Proteção de Dados, é a definição da privacidade “by design” e “by default“. O artigo 25º do RGPD europeu trata exclusivamente desse ponto. No documento original, o conceito de “design” foi mantido, enquanto o conceito de “default” foi aportuguesado para o incompreensível “defeito”.

Não existe “privacidade por defeito”

É bem verdade que a palavra inglesa “default” oferece, dentre seus vários significados, o conceito de “falha”, “falhanço” ou “defeito”. No entanto, ao mesmo tempo, pode significar um “padrão”. Basta lembrar das configurações de alguns softwares, como o Windows, que vêm com um caráter “default” em suas definições – em outras palavras, configurações padrão ou vindas de fábrica. Do mesmo modo, muitos dentro da comunidade informática sugerem “por omissão”, o que funciona tão bem quanto (e certamente de modo melhor do que “defeito”).

Advogados ou especialistas, já tomados pela definição “oficial” do conceito, argumentarão no sentido de sua correção. Mas, convenhamos, em bom português, analisemos o texto da medida nesse trecho:

O responsável pelo tratamento aplica medidas técnicas e organizativas para assegurar que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento.

Agora, só por questões experimentais, tentemos substituir o termo pelo outro significado da palavra “default”, a ver se passa a fazer algum sentido:

O responsável pelo tratamento aplica medidas técnicas e organizativas para assegurar que, por padrão / por omissão, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento.

Parece-nos óbvio que a segunda frase traz maior correção em suas determinações. O “privacy by default” implica, em resumo, que sistemas informáticos e bases de dados que lidem com dados pessoais devam ser configurados e ajustados para que, como padrão e não alternativa, utilizem-se apenas daqueles dados estritamente necessários para que conduzam seus propósitos de processamento.

Novamente, uma falha menor de tradução e adaptação, mas que pode levantar uma questão interessante: quantas falhas mais encontrar-se-ão no texto da norma?

Por que devemos corrigir?

O RGPD é um conjunto de normas que nos afeta a todos. Qualquer um que mantenha negócios ou atividades online (e mesmo offline, em alguns casos), precisa de estar em linha com os ditames da lei europeia. Nas incontáveis formações que explodiram em solo português a respeito do RGPD, não há uma única a aclarar o sentido verdadeiro de tal norma. Nesse sentido, e se o objetivo das formações é meramente o de repetir de forma literal o disposto no texto legal, melhor seria para cada um simplesmente transferir os ficheiros oficiais e lê-los com atenção e cuidado.

Moodle

GDPR Europeu – um bom motivo para atualizar seu Moodle

Praticamente todas as formações em b-learning ou com ferramentas digitais em Portugal utilizam um mesmo sistema de CMS – o Moodle. O Moodle é um CMS exclusivamente desenvolvido para fins educacionais, portanto chamado de LMS (Learning Management System). À luz do novo GDPR europeu, que estabelece novos padrões de privacidade, o sistema também é alvo de consideráveis mudanças.

Para quem possui ou usa o Moodle em formações, uma atualização pode ser vital e inadiável.

Infelizmente para muitos, atualizar o sistema como o Moodle não é exatamente uma tarefa simples. Não basta, como ocorre com o WordPress ou o Joomla, carregar num botão e esperar por alguns segundos. É por essa e outras razões que geralmente indicamos outras soluções de CMS para a criação de formações online – contudo, se já está a operar em Moodle, pode encontrar informações de como proceder uma atualização na página oficial da aplicação.

Moodle e GDPR – histórico

Em 19 de Março, o Moodle teve lançadas as suas versões 3.3.5 e 3.4.2, preparadas para suportar a instalação de dois módulos adicionais à aplicação, desenvolvidos especificamente para implementar o GDPR europeu e dar-lhe respaldo. A versão 3.5 do Moodle, que foi lançada em maio de 2018, incorpora esses dois módulos e toda a funcionalidade requerida pelo GDPR.

Estes novos módulos contemplam a seguinte funcionalidade:

Processo de admissão de novos utilizadores, o que passa a incluir:

  • Exibir todas as políticas de privacidade necessárias;
  • Listar e solicitar consentimento para cada entidade que pode ter acesso aos dados pessoais;
  • Estabelecer o processo para o consentimento de menores de idade;
  • Obter e registar cada consentimento específico dado por cada utilizador;
  • Gerir atualizações e versões de todas as políticas.

Processo para cumprir os direitos de um utilizador em particular, incluindo:

  • Pedido para consultar toda a informação do utilizador no Moodle;
  • Pedido para apagar toda a informação pessoal identificável do Moodle;
  • Pedido para modificar a informação do utilizador;
  • Funcionalidade para administrador processar os pedidos anteriores
  • Permitir configurar período de retenção para os dados pessoais guardado pelas várias atividades.

Tudo excelente, mas com um único problema: atualizar. Como referimos, lidar com atualizações e modificações de módulos no Moodle não é simples como ocorre com outros sistemas. O resultado, como era de se esperar, será algum investimento para tal. Se a mudança de versões for muito agressiva – 2.X para 3.5, por exemplo – há imensos problemas que podem ocorrer e os próprios criadores do Moodle recomendam uma série de passos que envolve testes, backups e depuração de erros em PHP. Em outras palavras, haverá de contratar um informático para lidar com a questão.

Por outro lado, pode ser esta uma oportunidade para avaliar a migração para outro tipo de ferramenta de LMS, como colocamos em post anterior nosso.

PHP 7

Por que usar versões atualizadas do PHP?

Mais de 90% da internet atual opera em servidores de alojamentos que utilizam o PHP como linguagem base, seja instalado em servidores Linux ou Windows. O PHP é a linguagem utilizada na criação da maioria dos sistemas de CMS que conhecemos: WordPress, Drupal, Joomla, Magento, Opencart, Moodle e outros mais. Atualizamos sempre as plataformas desses sistemas, a partir das áreas de administração de nossos sites.

Contudo, em relação ao PHP, que opera em server side, cabe ao provedor do alojamento manter o sistema atualizado. A má notícia: a maioria deles não o faz…

PHP 7 – melhor desempenho

A primeira grande razão para atualizar a versão do PHP em uso é o desempenho. Recebemos mensalmente diversos pedidos de cotação para melhoria do desempenho de websites em WordPress e outras plataformas, e dúvidas a esse respeito. Claro, cada caso é diferente, mas de um modo geral, a simples atualização para PHP 7.0 ou superior já é capaz de criar uma melhoria de até 50% na velocidade e fluxo de carregamento de um site.

O PHP 7 lida melhor com a alocação de memória e possui compatibilidade maior com algumas extensões de servidores que têm como fim melhorar a velocidade de transmissão de dados. Testes realizados por ícones do segmento de programação e desenvolvimento mostram que, em alguns casos, scripts podem rodar até 9 VEZES mais rápido em PHP 7.0, quando comparados à execução em ambiente PHP 5.6.

PHP 7 – mais seguro

De um modo geral, atualizações de softwares e sistemas são, em grande parte, realizadas por questões de segurança. Embora a evolução do PHP não tenha necessariamente ocorrido apenas por essa razão, a verdade é que o PHP 7 corrige uma série de falhas e problemas que eram expostos a hackers e programadores mal intencionados em versões anteriores. Além disso, novas ferramentas de criptografia mais avançadas estão agora à disposição do desenvolvedor.

O PHP 7 também possui uma lógica que facilita o tratamento de erros para o desenvolvedor. No caso do usuário, como sua empresa, isso significa que erros podem ser tratados e solucionados sem que os scripts e programas sejam impedidos de carregar e executar. Em outras palavras, é possível corrigir e lidar com uma série de falhas sem meter tudo abaixo.

PHP 7 – mais acesso

O campo da programação é extraordinariamente dinámico. Isso significa que, a cada dia, novas implementações, softwares e recursos estão a surgir. Obviamente, a grande maioria dos desenvolvedores prefere sempre trabalhar com as versões mais modernas de cada linguagem e framework e isso significa que, ao permanecer em versões mais antigas, às vezes não é possível utilizar determinadas ferramentas.

A atualização para o PHP 7 (ou posterior, uma vez que nosso servidor, por exemplo, já opera em PHP 7.2) permite que estejamos sempre em linha com novas versões também de softwares como o WordPress, bem como todas as suas extensões e plugins.

PHP 7 – como atualizar

Bem, isso dependerá do alojamento que utiliza. Alguns alojamentos mais modernos e competentes, que utilizam painéis padronizados, como o cPanel ou o Plesk, permitem que o próprio usuário selecione a versão do PHP 7 a rodar no servidor. Em geral, é sempre bom contar com o apoio de um informático antes de efetuar a mudança, já que alguns scripts mais antigos podem não rodar sob a atualização.

Ainda assim, a grande maioria dos scripts desenvolvidos para operar em PHP 5.6 roda de forma normal sob o PHP 7.0 e mesmo versões posteriores. Agora, se o seu provedor de alojamento não oferece qualquer possibilidade de atualização, seja pelo painel ou mediante solicitação ao suporte, então o melhor não é trocar a versão do PHP – mas talvez cogitar a possibilidade de migrar seu website para um provedor que realmente tenha qualidade em seu serviço.

 

RGPD

GDPR e WordPress – o que esperar das próximas versões

O WordPress é o sistema de CMS mais popular do mundo… de longe. Com milhares de programadores em sua comunidade, novas versões sempre visam não apenas introduzir novas funcionalidades, mas corrigir defeitos, falhas de segurança e também alinhar o software às necessidades legais e protocolares.

O GDPR, o Regulamento Geral de Proteção de Dados, vem causando certo terror. Justificadamente, devemos dizer. Isso porque, convenhamos, as entidades que serão responsáveis pela fiscalização – e consequente e eventual aplicação de multas – não demonstram possuir domínio amplo a respeito dos patamares das tecnologias hoje utilizadas. Exigir compliance parece fácil quando barreiras técnicas e dificuldades processuais são completamente ignoradas.

GDPR e WordPress – o que está a acontecer nos bastidores?

Dezenas de plugins, patches e soluções estão a surgir. Grande parte não soluciona problema algum, outro tanto delas simplesmente atende a um ou a outro aspeto da nova norma. A verdade é que a solução para a questão do GDPR se dará, inevitavelmente, em partes e sob um processo contínuo de alinhamento e aprimoramento.

Mas, como dizíamos, o WordPress é hoje o CMS mais popular do mundo. E como tal, parecia impossível que sua comunidade não preocupasse a respeito da questão da nova lei europeia. A verdade, de facto, é que estão todos a trabalhar noites a fio para lidar com a situação. A próxima versão do WordPress, a versão 4.9.6, deverá adicionar um submenu à aba de “Opções” no backoffice. Ali constará uma aba de “Privacidade”, que inclusive deverá possuir a automatização para um texto de política de privacidade sugerido.

Na aba “Ferramentas”, a versão provavelmente contará com dois submenus – um para permitir a exportação de dados dos usuários que o requisitarem e outra ainda para garantir a possibilidade de remoção de dados (sob o exigido pelo “Direito a Ser Esquecido”, que consta no GDPR). Testámos a versão beta e ainda há inconsistências no funcionamento dessas novas ferramentas, o que deverá, contudo, ser solucionado até a data limite para entrada da lei em vigor.

GDPR e WordPress – por que é tão desafiador?

A nova regra do GDPR não implica em implementações simples, como era o caso do “Cookie Law”. Não basta ali meter apenas um botão ao canto e está tudo pronto. Se analisarmos sob o ponto de vista da comunicação online e do desenvolvimento e progresso dos negócios na web, o GDPR é sim extremamente negativo. É como se, de repente, trouxéssemos toda a morosidade das conservatórias para um ambiente que parecia estar a funcionar muito bem sem que nele mexessem.

Mas é lei – e embora isso implique em algumas escolhas, não aderir não é uma delas. Sob os ditames do GDPR, empresas a manter sites e sistemas em WordPress e outras plataformas têm de desenvolver funcionalidades e ferramentas que, minimamente, possam permitir:

  1. Que usuários e clientes corrijam ou peçam correção, transfiram ou migrem seus dados, possam apagar definitivamente seus perfis e dados e tenham um contacto sempre disponível para reclamações ou apontamentos.
  2. Que usuários optem ou não por estar sob a influência de cookies quando visitam os sites. Apenas avisar que os usa não mais é suficiente. O problema? Praticamente toda a aplicação ou ferramenta online

GDPR e WordPress – como lidar daqui para frente?

O WordPress é o CMS que mais rapidamente evolui e oferece ferramentas e plugins, vindos de uma imensa comunidade. Não desesperar é uma boa forma de começar. A flexibilidade do WordPress em termos de adaptações e reprogramações é um marco, e bastará programadores capazes para que sites possam ser ajustados até coincidir com as normas do GDPR. O prazo da entrada da lei em vigor está próximo – mas ainda há muito o regulamentar e, em termos práticos, muito ainda está por definir.

Para aqueles que já querem antecipar seus trabalhos, tenham de possuir um DPO ou não, sejam grandes ou pequenas empresas, podem estabelecer algumas prioridades em seus websites:

  • Comunicados e avisos mais claros ao usuário, com opções de saída ou não aceite visíveis
  • Melhorias na política de privacidade e detalhamento dos processos internos do site, ferramentas usadas e dados armazenados
  • Cuidados maiores com a segurança dos dados – backups em servidores, firewalls, ferramentas de encriptação
  • Um design mais intuitivo, que seja claro ao usuário e não tente enganá-lo em termos do que pode ou não esperar do conteúdo ali contido e do que é ou não feito com seus dados e informações a respeito de sua visita ao site

 

RGPD

GDPR – algumas ferramentas para preparar-se melhor

A MeuPPT, junto com seus parceiros, tem trabalhado em soluções para lidar com os desafios da adaptação do GDPR. Nossas soluções estão principalmente focadas, mas não apenas, no WordPress. Entretanto, outros desenvolvedores também vêm colocando no mercado plugins, scripts e serviços rápidos para lidar com o GDPR – e que não limitam-se apenas ao falatório que estão a propagar aqui e ali.

Há soluções para WordPress e outros sistemas – algumas delas bastante baratas e que lidam com parte dos inconvenientes das novas regras, especialmente no caso de pequenos sites e empresas.

GDPR – Plugins para WordPress

Em qualquer caso, é preciso avaliar funcionalidades e o que há de mudar. Nenhum plugin dispensa uma boa análise de seu website e processos de tráfego e armazenamento de dados, mas algumas obrigações dos webmasters e empresas com sites na internet serão globais. Para esses casos, há alguns plugins já em funcionamento. Nós mesmos já estamos a oferecer algum auxílio para nossos leitores usuários de WordPress, mais especificamente de lojas em WooCommerce, com um plugin que oferece algumas funcionalidades ligadas ao GDPR, à segurança e privacidade de dados.

Ultimate GDPR Compliance Toolkit for WordPress

Plugin para WordPress com diversas funcionalidades que ajudam a lidar com o GDPR. Desde o “rights to be forgotten”, passando pela política de cookies e privacidade e assessorando na emissão de relatórios e notificações sobre brechas de segurança. Hoje um dos plugins mais bem servidos para o GDPR e com um preço relativamente acessível, de cerca de € 35.

GDPR WordPress

GDPR Compliance & Cookie Consent WordPress Plugin

Opção um pouco mais em conta e com boas avaliações, parece abarcar a maioria dos aspetos do GDPR para WordPress. Embora mais fácil de instalar e utilizar que o plugin anterior, exige configurações e pode dar algum trabalho para aqueles que ainda não percebem muito bem a nova norma.

gdpr europeu

 


 

GDPR – Módulos para Prestashop

O Prestashop é outro sistema de CMS para lojas online bastante usado na Europa e no mundo. Há já alguns sistemas desenvolvidos para lidar com a questão do GDPR. No caso de lojas online, que lidam com dados por vezes sensíveis de clientes e alimentam newsletters e similares, adaptações ao GDPR podem ser ainda mais urgentes do que no caso de sites em WordPress.

GDPR PRO – Complete EU compliant integration

Em nossa análise, um plugin um pouco mais fraquinho. Embora cumpra os itens que promete, oferece algumas funcionalidades incompletas e esparsas – parece-nos que não está 100% desenvolvido para já. No entanto, oferece promessas de atualizações que parecem estar a ser cumpridas e é uma opção para testes nesse caso.

GDPR WordPress


 

GDPR – Grandes Empresas

Muitas grandes empresas terão custos realmente grandes com o compliance ao GDPR. Desde a contratação ou nomeação de um DPO, o profissional que responsabilizar-se-á por atender às normas, até a emissão de relatórios e documentos sem fim, que terão de ser constantemente atualizados. Nesses casos, não há muito plugin ou módulo que resolva a questão.

No entanto, algumas empresas começam a oferece softwares online que auxiliam o tracking e gestão de toda essa documentação (onde há burocratas, há novas oportunidades de fazer dinheiro com plataformas que facilitem a papelada). A inglesa GDPR Portal é um exemplo disso – embora com uma aplicação online que em muitos aspetos parece ainda somente razoável, conta com boa estrutura, excelente tutoriais em vídeo e uma lógica que parece realmente facilitar o trabalho de um DPO e o compliance para grandes empresas e processadores de dados.

Segurança Online

Investir em segurança online tornou-se obrigação em websites

Websites têm sido alvo de ataques, invasões, roubo de informações e dados e tudo o que há para se temer em termos digitais desde que a internet primeiramente surgiu. Mesmo pequenos blogues pessoais nunca estiveram ilesos a tal, que dir-se-á de páginas empresariais. A segurança online é um assunto social, econômico e governamental nos dias de hoje.

Esquemas e sistemas de segurança sempre estiveram à disposição dos usuários e, com o avanço da internet, avançou também a tecnologia para contra-ataque dessas ameaças. Contudo, os riscos de investir pouco ou não investir em segurança sempre estiveram focados no proprietário do site ou conteúdo. Agora não mais.

O advento do GDPR ou RGPD, o Regulamento Geral para Proteção de Dados, coloca o usuário como principal vítima de ataques e problemas de privacidade e corrupção de dados. Assim sendo, empresas e websites que permitirem atentados contra os dados e informações de seus usuários serão diretamente responsabilizadas. Uma espécie de dolo presumido por conta da não preocupação com a proteção desses dados.

Como vimos em textos anteriores, as coimas e punições no ámbito da União Europeia podem ser pesadíssimas e, embora ainda não haja certeza sobre como tal fiscalização será perpetrada, o fato é que podemos esperar por ações punitivas, elevada burocracia no caso de desconformidades e uma severidade extra nos casos iniciais onde forem detectados problemas. Afinal de contas, como ocorre em toda nova regulamentação, os meses iniciais após a entrada em vigor são sempre movimentados – há que se garantir as primeiras páginas dos periódicos.

Segurança online – quanto custa?

Uma pergunta que toda a gente se faz, especialmente empresários. A verdade é que a resposta a tal pergunta não é simples. Muitos portais e lojas que lidam com centenas de milhares ou milhões de usuários terão de gastar fortunas em segurança, contratar novos informáticos, pagar salários altíssimos a encarregados da proteção de dados gabaritados e contratar, ao final de tudo, consultorias que darão formações a preço de ouro, apenas para dar explicações a respeito do conteúdo legal à disposição gratuitamente na internet.

O valor a gastar com segurança online pode variar. Primeiro, é preciso dimensionar e detectar exatamente como as informações e dados dos usuários são guardados, processados ou solicitados por um website. Com tais processos documentados e em mãos, é possível determinar que medidas serão ou não necessárias. Mas, antes de seguir adiante, é bom analisar cinco passos importantes dentro de seu negócio e do posicionamento online que o mesmo possui:

  1. Caso a empresa possua um website, primeiro é preciso saber se o conteúdo ali presente é estático ou dinâmico. Sites exclusivamente desenvolvidos em HTML geralmente não recolhem dados do usuário ou registam cookies em seus navegadores. A atenção, nesses casos, estará dirigida aos formulários de contacto e à proteção do código do site contra injeções de scripts maliciosos. Em outras palavras, não se trata de algo caríssimo, mas a falta de proteção em sistemas puramente estáticos exige algum investimento – talvez seja o caso de migrar para uma plataforma dinâmica, que rode a partir do servidor, como WordPress, Joomla e tantos outros.
  2. Caso a empresa possua um site num serviço que ofereça o alojamento e manutenção toda da página, como ocorre com o Wix, será preciso analisar e questionar tal fornecedor a fundo a respeito de suas políticas em relação ao GDPR ou RGPD, ferramentas para proteção aos dados de usuários e documentos e avisos referentes à privacidade de dados. Se o fornecedor não possuir clareza ou ferramentas para lidar com as novas normas, é hora de pensar em uma migração.
  3. Quando a empresa já opera um site mais desenvolvido, montado sobre plataformas como o WordPress, Drupal ou Joomla, é preciso mais atenção. Os sistemas de CMS hoje são bastante seguros, porém exigem atenção em suas configurações. Plugins e ajustes são uma forma rápida de adaptar-se à lei, porém é preciso entender o que exatamente tais plugins precisam ou não fazer e como se deve configurá-los e aplicá-los. Além disso, há que se dar especial atenção aos textos e documentos que terão de ser incluídos em qualquer website – e dificilmente tais plugins criam-nos de forma automatizada.
  4. Se a empresa possui uma loja ou aplicação online, o trabalho poderá ser maior. Esse tipo de sistema geralmente exige que usuários, em algum momento, efetuem registos e criem logins, nos quais cedem imensas informações e dados à empresa. Toda empresa não apenas terá de avisar seus usuários – como já ocorria com a norma de consentimento para “cookies” – mas agora também terá de gerir tais dados, comprovar prerrogativas de segurança em relação aos mesmos e dispor essas informações ao proprietário delas a qualquer momento e sempre que as queira. Todo usuário deve poder extinguir seus perfis e informações de uma base de dados, transferir essas informações e acedê-las como e para que fim deseje.
  5. Finalmente, quando tais dados forem processados de forma intensa e em enorme volume, a figura do profissional encarregado da proteção de dados tornar-se-á obrigatória. Para empresas que tenham a obrigação de nomear ou mesmo contratar tal profissional, recomenda-se que não apenas usem o know-how de um profissional que percebe das regras e leis, mas que também saiba aplicá-las de forma objetiva aos negócios online da empresa. Em outras palavras, se tem dúvidas a respeito de aspetos legais do RGPD, pague horas adicionais a um escritório de advogados – se precisar de um encarregado, que zele diariamente pelos sistemas que sua empresa possui na web, recorra a um técnico em segurança da informação, um engenheiro ou profissional web que tenha como implementar, mensurar e avaliar de maneira técnica o nível de proteção e conformidade de suas aplicações em relação às normas.

Segurança online – correção ou desenvolvimento

O web design e o desenvolvimento de aplicativos para a web hoje dispõem de inúmeras ferramentas e melhores práticas no que se refere à segurança online. Certificados SSL, sistemas de encriptação de dados, APIs de verificação de vulnerabilidades, plugins diversos que corrigem falhas ou problemas de segurança em plataformas. Tudo isso possui vantagens e pode ser, em suma, utilizado por qualquer website para melhorar seu desempenho no tocante à segurança de dados. Entretanto, há dois problemas em relação à postura “corretiva” que vem sendo adotada por muitos em face aos novos regulamentos e mesmo exigências do consumidor:

  1. O custo distribuído de melhorias, aprimoramentos e correções, muitas vezes, equivale ou até supera os custos de desenvolvimento das mesmas ferramentas desde o zero
  2. Ajustes, geralmente levados adiante em etapas ou partes, e não de maneira geral, não apenas passam desapercebidos diante do usuário, mas podem não ser suficientes para atender às exigências impostas por normativas como o RGPD ou GDPR.

Mas, quando decidir por correções e quando priorizar o desenvolvimento de soluções completamente novas? Bem, é exatamente NESSE tópico que as ditas consultorias, que hoje aparecem em todo lado, deveriam estar a concentrar esforços em seus trabalhos e relatórios de conformidade e adequação ao RGPD. Formações e avaliações em relação à postura e preparação de cada empresa para as normas do RGPD são, sem dúvida, algo importante. Contudo, com poucas semanas até que as regras sejam de fato impostas, a fase de “preparação” parece ter ficado para trás.

Segurança Online

RGPD ou GDPR – novos regulamentos que deixam um grande problema nas mãos do empresário… que tem de ser resolvido para já.

Ao menos em Portugal, mas também ao redor de toda a União Europeia, poucas empresas parecem ainda oferecer soluções. É evidente que a maioria do empresariado não preparou-se da forma que deveria para as modificações e necessidades que o novo regulamento impõe – mas os prazos não tornar-se-ão de maneira alguma maiores se esses empresários assistirem a cursos e palestras neste momento.

Saber é importante – mas para contornar a aparente falta de preocupação dos anos anteriores em relação ao RGPD, as empresas agora precisam de ferramentas de segurança online e compliance. Consultores podem e devem atuar na sugestão e na instrução de uso dessas ferramentas, mas sem elas, formações e avaliações são apenas mais papel – e, por mais que muitas entidades portuguesas possam discordar, mais papel, no mundo moderno, significa necessariamente retrocesso.

RGPD e plugins

RGPD ou GDPR – quanto menos plugins melhor

O WordPress é uma plataforma sensacional. Criado inicialmente como ferramenta de CMS, ou gestão de conteúdos, hoje faz bem mais que isso. Os plugins são capazes de adicionar novas funcionalidades ao sistema e transformar o WordPress em verdadeiras aplicações na nuvem.

Entretanto, à luz do Regulamento Geral de Proteção de Dados (RGPD), a versão portuguesa do GDPR europeu, todos esses plugins terão de cumprir com as disposições do novo regulamento. Isso significa que websites e portais que utilizam 20, 30 ou mesmo mais de 50 plugins (e são comuns), terão de garantir que todos eles cumprem com as normas. Sempre que um plugin, add-on ou software não cumprir com os requisitos de privacidade e segurança, será penalizado não o desenvolvedor desse sistema – mas sim a empresa que o utiliza.

A MeuPPT lida com WordPress quase desde o início da plataforma. E, emitindo uma opinião a respeito da possibilidade de garantir que todos esses plugins estejam em compliance: é IMPOSSÍVEL.

Plugins e RGPD

Os plugins atualmente não parecem estar particularmente preparados para atender ao RGPD e às novas regras de privacidade na Europa. O fato é que a maioria dos principais desenvolvedores dos plugins mais populares da comunidade WordPress estão nos Estados Unidos:

  • WooCommerce
  • Yoast SEO
  • Jetpack
  • Contact Form 7
  • Mailchimp for WordPress
  • WP Super Cache
  • WPML

Esses são apenas alguns dentre as dezenas de milhares de plugins existentes dentro da comunidade WordPress. Ainda assim, mesmo em se tratando dessas ferramentas extremamente populares e sempre bem atualizadas, não há ainda um suporte em particular para as regras do RGPD. A alternativa, para usuários desses sistemas, será ajustar a utilização e código para atender ao RGPD, ou simplesmente deixar de utilizar o plugin de maneira geral.

Aqui entra um problema: muitos websites DEPENDEM de plugins para manter suas funcionalidades mais básicas. Lojas online construídas sobre a plataforma do Woocommerce, por exemplo. Bem, chegaremos lá – mas primeiro, é preciso estabelecer algumas prioridades no que se relaciona a plugins, com vistas a aderir de forma tranquila e sem problemas ao RGPD.

RGPD – medidas em relação a plugins

Agora que as normas entram em vigor, em maio próximo, é preciso criar alguns passos para evitar problemas em seu website. Em relação a plugins, pode haver muito a ser feito. Contudo, alguns passos iniciais já poderão afastar uma empresa de possíveis problemas com usuários ou entidades reguladoras.

  1. Reduza o número de plugins. Alguns deles podem ser facilmente excluídos, mesmo por falta de uso. Outros possuem dezenas de funcionalidades, para que apenas uma delas seja de fato usada.
  2. Tente lidar com plugins completos, como o WooCommerce para lojas ou o WPML para traduções. Evite a utilização de 3 ou 4 plugins para realizar uma mesma coisa.
  3. Apenas instale plugins com origem discriminada e comprovável. Queremos dizer que plugins sem a assinatura de desenvolvedores capazes não oferecem suporte e responsabilidade, e portanto poderão criar brechas em sua situação de conformidade com o RGPD.
  4. Com o tempo, deverão surgir plugins declaradamente “compliant” com o RGPD ou GDPR. Quando a oportunidade apresentar-se, em alguns casos valerá a pena substituir plugins em uso por aqueles que cumpram com as disposições legais.
  5. Invista em segurança. Plugins podem ter problemas ou não conformidades, mas isso pode ser revertido por um bom trabalho de segurança da informação.
  6. Busque por soluções – formações e explicações em relação às disposições do RGPD são sempre úteis, mas apostilas ou apresentações em Powerpoint sozinhas não resolverão a situação de compliance de seu website.
  7. Ao nomear um encarregado pela privacidade de dados ou contratar profissionais de tecnologia, garanta que os mesmos estejam familiarizados não apenas com o RGPD, mas com todas plataformas que sua empresa utiliza, em WordPress, em plugins e também em outras plataformas, quando necessário.

RGPD – informações sensíveis

Muitos plugins lidam com informações sensíveis do usuário: dados pessoais que são informados em lojas, formulários de contacto que guardam mensagens e dados de usuários, plugins que utilizam cookies diversos para monitorar o comportamento do usuário. Tudo isso terá de ser informado ao usuário ANTES que o mesmo preencha seus dados ou abra informações. Em páginas documentais do RGPD, todos esses plugins terão de constar, assim como o modo com que colhem, processam e lidam com a informação.

Para cada plugin que é utilizado, é possível encontrar dados a respeito do respetivo desenvolvedor. Prefira utilizar plugins cujos desenvolvedores dispõem de forma completa e clara as documentações das aplicações que desenvolvem. Isso não apenas garante mais transparência, mas também facilitará o trabalho de pesquisa dos encarregados pela proteção de dados e também de programadores e informáticos que ajudarão sua empresa a criar soluções de acordo com a nova lei.

A MeuPPT, em parceria com outras empresas, está iniciando trabalhos no desenvolvimento de patches, complementos, aplicações e mesmo plugins que auxiliarão a comunidade a garantir que seus plugins mais essenciais estejam em cumprimento com as normas, além de agilizar e automatizar o trabalho que será necessário com a entrada das novas disposições. Em breve teremos novidades – portanto permaneça a acompanhar nossas publicações.