Grow CRM
DEMONSTRAÇÃO
Docs
/
FAQ
/
Tíquete de Suporte

Aplicando Medidas de Segurança

/ Informações Gerais /

Aplicando Medidas de Segurança

Use a autenticação de e-mail de dois fatores para a área administrativa

Na versão 1.9.0, adicionamos a autenticação de dois fatores para os membros da equipe, a fim de aumentar a segurança durante o login na área administrativa. Cada membro da equipe criado no sistema pode ter a autenticação de dois fatores habilitada.

A autenticação de dois fatores é fornecida por e-mail, o que significa que, após o membro da equipe inserir suas credenciais de login corretamente, o sistema enviará uma chave de autenticação exclusiva por e-mail. Para que o membro da equipe faça login com sucesso, ele precisará inserir a chave de autenticação.

Os membros da equipe podem habilitar a autenticação de dois fatores clicando no menu suspenso superior e, em seguida, no link Editar Perfil. Administradores ou funcionários com permissões para Editar equipe poderão alterar essa opção para cada membro da equipe em Configurações -> Equipe.

Desativar autenticação de dois fatores

Caso você tenha sido bloqueado com a autenticação de dois fatores habilitada e, por algum motivo, o sistema não consiga enviar um e-mail para fornecer o código de autenticação, será necessário desabilitar a autenticação de dois fatores via phpMyAdmin.

Acesse o PHPMyAdmin, selecione o banco de dados GrowCRM, localize a tabela tblstaff e atualize a coluna two_factor_auth_enabled para 0.

Habilitar proteção CSRF (a partir da versão 1.9.4)

OBSERVAÇÃO: Se você realizou uma instalação limpa da versão 2.0 ou superior, esta opção estará habilitada por padrão. Não adicione o código novamente se ele já estiver no arquivo de configuração.

A partir da versão 1.9.4, implementamos um recurso de segurança adicional no GrowCRM. Este recurso estará desabilitado por padrão, pois ainda está em modo beta e os clientes podem habilitá-lo manualmente adicionando uma constante simples no arquivo app-config.php.

Após confirmarmos que tudo funciona bem com este recurso habilitado, habilitaremos a proteção contra CSRF por padrão no Perfex CRM. Caso você esteja enfrentando algum problema enquanto este recurso estiver habilitado, não hesite em abrir um ticket de suporte clicando aqui.

Para habilitar este recurso via cPanel/Ftp, navegue da sua instalação do GrowCRM para application/config/app-config.php e adicione o seguinte código no final deste arquivo:

Habilitar o Google reCaptcha

Para evitar que robôs de spam forcem suas áreas de login, é recomendável habilitar o recurso Google reCaptcha para cadastro de clientes, login de clientes e login de administradores/funcionários.

Clique aqui para ver uma explicação detalhada sobre como configurar o Google reCaptcha.

Habilitar validação de spam do Honeypot (a partir da versão 2.9.4)

Se você estiver recebendo registros de spam, recomendamos fortemente habilitar a técnica de spam Honeypot em Configuração->Configurações->Clientes

Use senhas mais fortes

Por padrão, o GrowCRM não possui nenhuma lógica para detectar se as senhas são fortes o suficiente, mas é recomendável que os membros da equipe usem/gerem uma senha mais forte.

Ao criar um membro da equipe ou contato, no campo de senha, há um ícone de geração que gerará uma senha forte o suficiente para ser difícil de ser descoberta por robôs de spam.

Adicionar chave de URL do Cron Job (da versão 1.9.4).

A URL da tarefa cron, que é diferente para cada sistema com base no domínio e na pasta/caminho de instalação, é diferente para cada instalação do GrowCRM. No entanto, essa URL pode ser facilmente adivinhada, pois não há proteção de chaves ou salts adicionais anexados a ela. Para impedir o acesso direto a essa URL, é recomendável adicionar a chave da tarefa cron.

Certifique-se de usar uma chave salt diferente. Neste exemplo, usaremos a seguinte chave: ty543dtry634as5

Vamos supor que sua tarefa cron atual seja http://seudominio.com/crm/cron/index. Após definir a chave, a URL da tarefa cron será alterada para http://seudominio.com/crm/cron/index/ty543dtry634as5.

Para habilitar esse recurso via cPanel/Ftp, navegue da sua instalação do GrowCRM para application/config/app-config.php e adicione o seguinte código no final deste arquivo:

If your cron job is already properly configured with the old URL, you will need to update your current cron job URL with the new one in order to work properly with the newly created key. Your new cron job URL can be found at Setup->Settings->Cron Job.

Bloqueador de agentes de usuários ruins (a partir da versão 2.0.0)

A partir da versão 2.0.0, o GrowCRM conta com recursos de segurança adicionais que ajudam a bloquear agentes de usuário maliciosos conhecidos, além de auxiliar no combate ao spam.

Para habilitar esse recurso via cPanel/Ftp, navegue da instalação do GrowCRM para application/config/app-config.php e adicione o seguinte código no final deste arquivo:

Acesso de administrador somente a partir de endereço IP específico via .htaccess

Se você tiver um endereço IP dinâmico, ignore esta opção, pois em todos os casos isso não funcionará corretamente e você será bloqueado da área administrativa sempre que seu provedor de internet alterar o endereço IP.

Se você acessar a área administrativa do GrowCRM apenas do seu endereço IP residencial/comercial, poderá bloquear quaisquer outras solicitações para a área administrativa por endereço IP. Lembre-se de que, se você aplicar esta opção, você ou seus funcionários não poderão acessar a área administrativa do GrowCRM de outros endereços IP, como o residencial, de dados móveis, etc.

Para fazer isso, no diretório de instalação do GrowCRM, encontre o arquivo principal .htaccess e, no topo, adicione:

Substitua xxx pelo endereço IP real do qual você deseja permitir o acesso.

Caso você seja bloqueado, basta remover o código que você adicionou no arquivo .htaccess.

Desativar Área de Clientes

Alguns clientes não usam a área de clientes, caso você seja um dos usuários que não usa a área de clientes e usa o GrowCRM apenas para uso interno, você pode desabilitar o acesso à área de clientes.

Clique aqui para ler mais sobre como desabilitar a área de clientes.

Usar conexão HTTPS

The admin and customers area can be more secure when using HTTPS connection.

  • Se você já instalou o GrowCRM em uma conexão HTTP, clique aqui para saber como mudar para HTTPS.
  • Ao realizar uma nova instalação, basta inserir a URL base na última etapa para começar com HTTPS.

Antes de usar conexões HTTPS, certifique-se de ter um certificado SSL válido instalado no seu servidor.

===

Atualizaremos este artigo quando novos recursos de segurança forem desenvolvidos no GrowCRM.

Artigos Relacionados:

Procurando hospedagem acessível e confiável para o Grow CRM? Fizemos uma parceria com a InMotion Hosting para evitar qualquer problema! Planos de hospedagem empresarial com até 75% de desconto para visitantes do Grow CRM.

Categorias

Últimos Artigos

Grow CRM © Copyright - Todos os Direitos Reservados