Ixonn Group

Aplicando Medidas de Segurança

You are here:
< All Topics

Usar autenticação de email de dois fatores para a área de administração

A fim de aumentar a segurança durante o login na área de adminstrativa, adicionamos autenticação de dois fatores para os colaboradores (staff). Cada membro da equipe criado no sistema pode ter ativado a autenticação de dois fatores.

A autenticação de dois fatores é fornecida por e-mail, o que significa que, após a equipe digitar suas credenciais de login corretamente, o sistema enviará uma chave de autenticação exclusiva por e-mail, para que a equipe faça o login com sucesso e precisará inserir a chave de autenticação.

Os membros da equipe podem ativar a autenticação de dois fatores clicando no menu suspenso superior e, em seguida, no link Editar perfil, enquanto os administradores ou a equipe com permissões para a equipe EDIT poderão alterar essa opção para cada membro da equipe em Configuração-> Equipe.

Desativar autenticação de dois fatores

Caso você tenha sido bloqueado quando a autenticação de dois fatores estiver ativada e, por algum motivo, o sistema não puder enviar um email para fornecer o código de autenticação, será necessário desativar a autenticação de dois fatores via phpmyadmin.

Entre no PHPMyAdmin, selecione o banco de dados Ixonn, localize a tabela tblstaff e atualize a coluna two_factor_auth_enabled para 0

Ativar proteção CSRF (da v1.9.4)

NOTA: Se você executou uma instalação limpa da versão 2.0 ou superior, esta opção estará ativada por padrão. Não adicione novamente o código se ele já estiver no arquivo de configuração.

A partir da versão 1.9.4, implementamos um recurso de segurança adicional no Ixonn. Esse recurso, por padrão, será desativado no ATM, pois ainda está no modo beta e os clientes podem ativar o recurso manualmente, adicionando apenas uma constante simples no arquivo app-config.php .

Depois de confirmarmos que tudo funciona bem com esse recurso ativado, por padrão, habilitaremos a proteção CSRF em Ixonn, caso você esteja com alguns problemas enquanto esse recurso estiver ativado, não hesite em abrir o ticket de suporte clicando aqui

Para habilitar esse recurso via cPanel / Ftp, navegue da instalação do Ixonn para application / config / app-config.php e adicione o seguinte código na parte inferior deste arquivo:

/ **

* Ativa a proteção CSRF

* /

define (“APP_CSRF_PROTECTION”, verdadeiro);

Ativar reCaptcha do Google

Para evitar que os robôs de spam forcem suas áreas de login, é recomendável ativar o recurso Google reCaptcha para registro de clientes, login de clientes e login de administrador / equipe.

Clique aqui para ver uma explicação detalhada de como configurar o Google reCaptcha

Use senhas mais fortes

O Ixonn, por padrão, não tem lógica para detectar se as senhas são fortes o suficiente, mas é recomendável que os membros da equipe usem / gerem uma senha mais forte.

Ao criar um membro da equipe ou contato no campo de senha, existe um ícone de geração que gerará para você uma senha forte o suficiente, que serão mais difíceis de adivinhar os bots de spam.

Adicione a chave de URL do trabalho Cron (da v1.9.4).

O URL da tarefa cron, que é diferente para cada sistema, com base no domínio e na pasta / caminho da instalação, é diferente para cada instalação do Ixonn; no entanto, esse URL pode ser facilmente adivinhado, pois não há proteção de chaves ou sais adicionais anexados ao URL. Para impedir o acesso direto a este URL, é recomendável adicionar a chave da tarefa cron.

Certifique-se de usar uma chave salt diferente; neste exemplo, usaremos a seguinte chave: ty543dtry634as5

Vamos supor que seu trabalho cron atual seja http://seudominio.com.br/crm/cron/index depois de definir a chave que o URL do seu trabalho cron será alterado para http://seudominio.com/crm/cron/index/ty543dtry634as5

Para habilitar esse recurso via cPanel / Ftp, navegue da instalação do Ixonn para application / config / app-config.php e adicione o seguinte código na parte inferior deste arquivo:

/ **

* Adicionar chave adicional de URL de trabalho Cron

* /

define (“APP_CRON_KEY”, “ty543dtry634as5”);

 

Se seu trabalho cron já estiver configurado corretamente com o URL antigo, será necessário atualizar o URL atual do trabalho cron com o novo, a fim de funcionar corretamente com a chave recém-criada. Seu novo URL de trabalho cron pode ser encontrado em Configuração-> Configurações-> Trabalho Cron.

Bloqueador de agentes do usuário incorreto (da v2.0.0)

A partir da versão 2.0.0, foram adicionados recursos de segurança adicionais no Ixonn que ajudarão você a bloquear agentes de usuários ruins conhecidos, esse recurso o ajudará a combater o spam.

Para habilitar esse recurso via cPanel / Ftp, navegue da instalação do Ixonn para application / config / app-config.php e adicione o seguinte código na parte inferior deste arquivo:

// Habilita o bloqueio de agentes incorretos

define (“APP_BAD_USER_AGENT_BLOCK”, verdadeiro);

Acesso de administrador apenas a partir de um endereço IP específico via .htaccess

Se você tiver um endereço IP dinâmico, ignore-o, pois em todos os casos isso não funcionará corretamente e você será bloqueado da área administrativa sempre que seu ISP alterar o endereço IP.

Se você acessar a área de administração Ixonn apenas a partir do endereço IP de sua residência / escritório, poderá bloquear quaisquer outras solicitações para a área de administração por endereço IP. Lembre-se de que, se você aplicar isso, você ou seus funcionários não poderão acessar a área administrativa de Ixonn a partir de outros endereços IP eq em suas residências, a partir de dados móveis etc.

Para conseguir isso, no diretório de instalação do Ixonn, localize o arquivo .htaccess principal e, no topo, adicione:

# Endereço IP do meu escritório

RewriteCond% {REMOTE_ADDR}! ^ Xxx \ .xxx \ .xxx \ .xxx

# Você pode adicionar um endereço IP adicional eq. IP residencial

# RewriteCond% {REMOTE_ADDR}! ^ Xxx \ .xxx \ .xxx \ .xxx

RewriteCond% {REQUEST_URI} / admin [NC]

RewriteRule ^ – [F]

Substitua xxx pelo endereço IP real do qual você deseja permitir acesso.

Caso esteja bloqueado, basta remover o código que você adicionou no arquivo .htaccess.

Desativar área de clientes

Alguns clientes não usam a área de clientes, caso você seja um dos usuários que não usa a área de clientes e usa o Ixonn apenas para uso interno, pode desativar o acesso à área de clientes.

Clique aqui para ler mais sobre como desativar a área de clientes.

Usar conexão HTTPS

A área de administração e clientes pode ser mais segura ao usar a conexão HTTPS.

  • Se você já instalou o Ixonn na conexão HTTP, clique aqui para ler como mudar para HTTPS
  • Ao executar uma instalação nova, você só precisa inserir o URL base na última etapa para iniciar com HTTPS

Antes de usar conexões HTTPS, verifique se você possui um certificado SSL válido instalado no servidor.


Atualizaremos este artigo quando novos recursos de segurança forem desenvolvidos no Ixonn.

Artigos Relacionados

Table of Contents
Scroll Up