Recursos Avançados de Segurança

Disponível em:

Post Affiliate Pro , Post Affiliate Pro Ultimate , Post Affiliate Network

O Post Affiliate Pro fornece recursos de segurança de nível empresarial projetados para proteger seu programa de afiliados contra acesso não autorizado, abuso e fraude. Este guia cobre os mecanismos avançados de segurança integrados à plataforma.

Métodos de Autenticação de API

A API v3 do Post Affiliate Pro usa padrões modernos de autenticação para garantir acesso seguro aos dados e operações do seu programa de afiliados.

Autenticação por Chave de API

Chaves de API fornecem um método seguro para comunicação server-to-server. Cada chave de API no Post Affiliate Pro inclui:

• ID de Token e Hash: Chaves de API usam um formato de token seguro com um identificador único e segredo criptograficamente hashado. O token em texto simples nunca é armazenado no banco de dados.
• Data de Expiração: Você pode definir uma data de expiração para chaves de API para garantir rotação regular.
• Acesso Baseado em Função: Cada chave herda permissões da função de usuário associada.
• Restrições de Escopo: Defina escopos específicos para limitar quais operações a chave de API pode realizar.
• Lista Branca de IP: Restrinja uso de chave de API a endereços IP ou ranges CIDR específicos.
• Rastreamento de Uso: O sistema rastreia quando cada chave foi usada pela última vez e quantas vezes foi acessada.

Para autenticar com uma chave de API, inclua-a como um token Bearer no header Authorization:

Authorization: Bearer pap_XXXXXXXXXX_YYYYYYYYYYYYYYYYYYYYYYYYYYYY

Autenticação OAuth 2.0

Para integrações de terceiros e acesso temporário, o Post Affiliate Pro suporta tokens bearer OAuth 2.0 com validação de escopo. O autenticador OAuth:

• Valida tokens bearer contra o banco de dados de chaves de API
• Verifica que o token tem todos os escopos necessários para a operação requisitada
• Retorna mensagens de erro claras para permissões insuficientes (HTTP 403)
• Integra-se perfeitamente com o sistema de limitação de taxa

Permissões baseadas em escopo permitem controle granular sobre o que cada token pode acessar, garantindo que integrações de terceiros tenham acesso apenas aos dados necessários.

Limitação de Taxa

O Post Affiliate Pro implementa limitação inteligente de taxa para proteger seu programa de afiliados contra abusos, tentativas de negação de serviço e scripts de automação descontrolados.

Limites Globais de Taxa de API

A API v3 aplica os seguintes limites de taxa:

• 100 requisições por minuto para todos os endpoints de API
• 10 tentativas falhas de autenticação por minuto por endereço IP para autenticação de token bearer

Quando você excede o limite de taxa, a API retorna:

• Código de status HTTP 429 (Too Many Requests)
• Header Retry-After indicando quando você pode tentar novamente
• Header X-RateLimit-Limit mostrando o máximo de requisições permitidas
• Header X-RateLimit-Remaining mostrando requisições restantes na janela atual
• Header X-RateLimit-Reset mostrando quando o limite de taxa reseta

Algoritmo de Token Bucket

A limitação de taxa usa um algoritmo de token bucket que fornece:

• Janelas de tempo configuráveis (segundo, minuto, hora, dia, semana, mês)
• Reabastecimento gradual de requisições disponíveis ao longo do tempo
• Proteção contra abusos sustentados e ataques de pico
• Buckets separados para diferentes tipos de operações (autenticação, reset de senha, cadastros, etc.)

Limitação de Taxa de Autenticação

Tentativas falhas de autenticação são rastreadas separadamente para prevenir ataques de força bruta:

• Autenticações falhas de token bearer consomem tokens de um bucket específico por IP
• Após 10 tentativas falhas dentro de um minuto, tentativas adicionais de autenticação são bloqueadas
• Autenticação bem-sucedida reseta o contador de falhas para aquele IP
• Status de limite de taxa é registrado para monitoramento de segurança

Segurança de Sessões

O Post Affiliate Pro implementa gerenciamento robusto de sessões para proteger contas de usuários.

Recursos de Gerenciamento de Sessões

• IDs de Sessão Seguros: Sessões usam identificadores criptograficamente seguros de 32 caracteres
• Validação de Sessão: Cada requisição valida o estado da sessão e módulo associado
• Expiração de Sessão: Sessões expiradas são automaticamente detectadas e tratadas
• Armazenamento de Sessões: Sessões podem ser armazenadas em banco de dados ou Redis para ambientes de alto desempenho
• Controle de Multi-Sessão: Usuários podem ter suas outras sessões encerradas quando mudanças de segurança sensíveis ocorrem

Encerramento de Sessão em Eventos de Segurança

Quando eventos críticos de segurança ocorrem, o Post Affiliate Pro automaticamente encerra sessões relacionadas:

• Habilitar autenticação de dois fatores invalida todas as outras sessões ativas
• Alterações de senha podem acionar invalidação de sessões
• Exclusão de chave de API encerra sessões associadas
• Alterações de status de conta acionam limpeza de sessões

Proteção de Login

O Post Affiliate Pro fornece proteção abrangente de login com configurações configuráveis para painéis de comerciante e afiliado.

Restrições Baseadas em IP

Endereços IP Banidos: Bloqueie tentativas de login de endereços IP ou ranges específicos. O sistema:

• Valida endereços IP contra a lista de banidos antes de processar login
• Previne que você bana acidentalmente seu próprio endereço IP atual
• Suporta listas de banidos separadas para painéis de comerciante e afiliado

Endereços IP Permitidos: Restrinja acesso de login a uma lista branca de endereços IP aprovados:

• Apenas usuários conectando de IPs na lista branca podem fazer login
• Suporta tanto endereços IP individuais quanto ranges de IP
• Protege você de se bloquear validando que seu IP atual está na lista antes de salvar

Limitação de Taxa para Logins

Tentativas de login são limitadas por taxa para prevenir ataques de força bruta:

• Limitação de Taxa por IP: Limita o número de tentativas de login de um único endereço IP por hora
• Limitação de Taxa por Username: Limita tentativas contra um username específico para prevenir ataques direcionados
• Limites configuráveis para painéis de comerciante e afiliado
• Tentativas falhas são rastreadas usando o sistema de token bucket

Serviço de Chave de Login

Para single sign-on seguro e funcionalidade “Login Como”, o Post Affiliate Pro usa chaves de login temporárias:

• Chaves de login são válidas por apenas 30 segundos
• Cada chave pode ser usada apenas uma vez (consumida no uso)
• Chaves são geradas criptograficamente usando funções aleatórias seguras
• Verificações de permissão garantem que apenas usuários autorizados podem gerar chaves de login para outras contas

Proteção contra Fraude de Venda

O Post Affiliate Pro inclui um plugin dedicado de Proteção contra Fraude de Rastreamento de Vendas que usa checksums MD5 para verificar autenticidade de transações.

Como Funciona

1. Quando uma venda é rastreada, o sistema calcula um checksum MD5 usando o custo total, ID do pedido e uma chave secreta
2. Este checksum deve ser incluído com a requisição de rastreamento de venda
3. O sistema recalcula o checksum e compara com o valor enviado
4. Se os checksums não correspondem, a transação é recusada

Opções de Configuração

• Chave Secreta Global: Defina uma chave secreta padrão para todas as campanhas
• Chaves Específicas por Campanha: Substitua a chave global com chaves únicas por campanha para segurança adicional
• Parâmetro de Checksum: Escolha qual campo de dados carrega o checksum (data1 até data5)

Esta proteção garante que apenas vendas legítimas do seu site sejam rastreadas, prevenindo envios fraudulentos de transações de fontes externas.

Proteção contra Fraude de Cliques

O Post Affiliate Pro monitora todos os cliques e pode automaticamente recusar ou descartar os fraudulentos.

Métodos de Detecção

Detecção de Cliques Duplicados: Identifica cliques do mesmo endereço IP dentro de um período de tempo configurável:

• Defina a janela de tempo em segundos
• Opcionalmente exija mesmo user agent para detecção de duplicados
• Opcionalmente exija mesmo banner ou campanha para detecção mais rigorosa
• Escolha recusar (marcar como fraudulento) ou não salvar o clique

Proteção de IP Banido: Bloqueie cliques de atores maliciosos conhecidos:

• Defina endereços IP e ranges banidos
• Cliques de IPs banidos são automaticamente recusados ou descartados
• Configurações separadas disponíveis por conta

Proteção de Referrer Banido: Bloqueie cliques de URLs de referência suspeitas:

• Defina padrões para URLs de referência banidas
• Previne fraude de cliques de certos sites ou fontes de tráfego

Listas de IP/Referrer Permitidos: Crie listas brancas para tráfego legítimo:

• Aceite apenas cliques de ranges de IP aprovados
• Aceite apenas cliques de URLs de referência aprovadas
• Opção para permitir referrers vazios
• Opção para permitir domínios de destino de banner

Ações de Proteção contra Fraude

Para cada tipo de detecção, você pode escolher:

• Recusar: Salve o clique mas marque como recusado (visível em relatórios)
• Não Salvar: Descarte o clique totalmente (não salvo no banco de dados)

Proteção contra Fraude de Ação/Venda

Proteções similares existem para rastreamento de vendas e leads.

Detecção de Duplicados

Pedidos Duplicados do Mesmo IP: Detecta múltiplas vendas do mesmo endereço IP:

• Janela de tempo configurável em segundos
• Correspondência opcional por user agent, campanha, ID do produto, ID do pedido ou tipo de comissão
• Previne envios fraudulentos de vendas em sequência rápida

IDs de Pedido Duplicados: Detecta vendas com o mesmo ID de pedido:

• Janela de tempo configurável em horas
• Correspondência opcional por campanha ou ID do produto
• Previne pagamentos duplicados de comissão por atualizações de página ou ataques de replay

Bloqueio de Pedido

Ao processar uma venda, o sistema bloqueia temporariamente o ID do pedido:

• Previne condições de corrida quando o mesmo pedido é enviado múltiplas vezes simultaneamente
• Bloqueio expira após 60 segundos
• Pedidos duplicados bloqueados recebem mensagens de erro claras

Proteção de IP e Referrer

Vendas herdam as mesmas proteções de IP e referrer banidos/permitidos que cliques:

• Bloqueie vendas de endereços IP banidos
• Bloqueie vendas de URLs de referência banidas
• Permita vendas apenas de IPs ou referrers na lista branca
• Mensagens de recusa personalizadas para cada tipo de proteção

Autenticação de Dois Fatores

O Post Affiliate Pro suporta autenticação de dois fatores TOTP (Time-based One-Time Password) para segurança aprimorada de contas.

Implementação

• Usa algoritmo TOTP padrão compatível com Google Authenticator e apps similares
• Gera uma chave secreta única por usuário armazenada com segurança em atributos de usuário
• Fornece QR codes para fácil configuração em apps mobile
• Valida códigos com janela de 90 segundos (3 períodos de 30 segundos cada)

Recursos de Segurança

• Limitação de Taxa: Validação de código de dois fatores é limitada a 5 tentativas por minuto
• Invalidação de Sessão: Habilitar 2FA invalida todas as outras sessões ativas para aquele usuário
• Invalidação de Solicitação de Senha: Solicitações pendentes de reset de senha são invalidadas quando 2FA é habilitado
• Log de Auditoria: Ativação de 2FA é registrada na trilha de auditoria

Disponibilidade

Autenticação de dois fatores está disponível para:

• Usuários do painel do comerciante
• Usuários do painel do afiliado

Cada usuário pode habilitar 2FA independentemente através das configurações do perfil.

Melhores Práticas de Segurança

Para maximizar a segurança da sua instalação do Post Affiliate Pro:

Segurança de API

1. Rotacione chaves de API regularmente: Defina datas de expiração e substitua chaves periodicamente
2. Use escopos mínimos: Conceda apenas as permissões que cada integração realmente precisa
3. Implemente lista branca de IP: Restrinja acesso à API a IPs de servidores conhecidos
4. Monitore uso: Revise contagens de uso de chaves de API e timestamps de último uso
5. Use OAuth para terceiros: Prefira tokens OAuth de curta duração para integrações externas

Segurança de Contas

1. Habilite autenticação de dois fatores: Exija 2FA para todas as contas de comerciantes
2. Use senhas fortes: Combine com 2FA para proteção máxima
3. Configure limites de taxa de login: Defina limites apropriados para prevenir ataques de força bruta
4. Implemente restrições de IP: Use listas de IPs permitidos para contas sensíveis
5. Revise logs de auditoria: Verifique regularmente o log de auditoria para atividade suspeita

Prevenção de Fraude

1. Habilite proteção contra fraude de venda: Use verificação de checksum MD5 para todas as campanhas
2. Configure detecção de duplicados: Defina janelas de tempo apropriadas para seu modelo de negócio
3. Use banimento de IP proativamente: Bloqueie ranges de IP fraudulentos conhecidos
4. Monitore transações recusadas: Revise cliques e vendas recusados para padrões
5. Personalize mensagens de fraude: Mensagens claras ajudam usuários legítimos a entender rejeições

Recursos da Base de Conhecimento

Para instruções detalhadas de configuração, visite nossa documentação de suporte:

• Documentação da API v3
• Gerenciamento de Chaves de API
• Criação de Token OAuth
• Configuração de Proteção contra Fraude