3 razões pelas quais sites WordPress são hackeados e como proteger o seu

por Carlos Torres
3 razões pelas quais sites WordPress são hackeados e como proteger o seu

Restricted Content

To view this protected content, enter the password below:

Restricted Content

To view this protected content, enter the password below:

Restricted Content

To view this protected content, enter the password below:

Se você tem um site construído com WordPress, corre um risco maior de ser hackeado do que se estiver usando plataformas de terceiros, como Wix, SiteW ou Squarespace. Veremos porque as principais vulnerabilidades (hospedagem, plugins, temas, etc.) são os principais alvos dos hackers. Em seguida, daremos algumas dicas simples para melhorar a segurança do seu site WordPress.

Causa nº 1: Você escolheu um provedor de hospedagem de baixa qualidade

Você obterá o que pagou e muitos hosts de sites “baratos” também economizarão em uma série de recursos essenciais para a proteção adequada do seu site. Os hackers sabem disso, visando hosts de sites inferiores, mas também sites hospedados diretamente. Hosts de sites de qualidade inferior tendem a ter as seguintes características:

  • Fornece backups uma vez por mês ou nenhum backup;
  • Não suportam as versões mais recentes de MySQL ou PHP;
  • Não verificam a existência de malware;
  • Não fornecem firewall ou proteção DDoS;
  • Não fornecem proteção para o diretório;
  • Tem garantia de tempo de atividade de menos de 99,9 por cento (os melhores fornecedores devem estar em 99,99 por cento ou mais);

Se um host da Web for abaixo do padrão em uma área ou fornecer funcionalidade inferior a pelo menos um dos serviços descritos acima, considere o host como um todo abaixo do padrão. Embora os hackers não possam hackear seu site diretamente, eles ainda podem hackear seu servidor web, o que acaba afetando seu desempenho.

Causa nº 2: Você instalou temas ou plugins vulneráveis

De acordo com o WP Template, cerca de 29% dos hacks vêm de um tema inseguro e 22% de plugins vulneráveis. O template ou plugin pode estar desatualizado ou programado por alguém que não se preocupa com segurança. Os hackers tirarão vantagem de quaisquer vulnerabilidades que possam encontrar para tentar invadir seu site. Por exemplo, em 2015, a principal vulnerabilidade identificada no aplicativo WP Slimstat 3.9.5 deixou mais de um milhão de sites abertos para qualquer tentativa de hacking. Esta vulnerabilidade permitiu que os ciberataques hackeassem a chave secreta do plugin e executassem injeções de SQL que permitiram que os hackers controlassem os sites.

Outra grande falha foi encontrada no popular aplicativo de fotos TimThumb de 2012. Uma vulnerabilidade no recurso “redimensionar imagem externa” permitiu que hackers injetassem código PHP em servidores da web. O desenvolvedor do aplicativo até admitiu que foi hackeado por causa do aplicativo com defeito e acabou parando de desenvolvê-lo. Embora essas vulnerabilidades não sejam alarmantes, observe que você também precisa lidar com temas e plugins que são distribuídos diretamente para hackers e sites maliciosos. Como o WordPress é de código aberto, qualquer pessoa pode criar e distribuir plugins. Eles são geralmente considerados aplicativos úteis e, em muitos casos, fornecem a funcionalidade prometida.

Causa nº 3: Você não está fazendo seu trabalho como administrador

Outra razão comum para os sites WordPress serem hackeados é que os administradores de sites evitam suas responsabilidades, deixando de manter seus sites o mais seguros possível. Isso envolve alguns ou todos os seguintes:

  • Você não usa senhas fortes o suficiente
  • Você não está protegendo o diretório do wp-admin
  • Você não atualiza seu WordPress regularmente
  • Você não atualiza temas ou plugins regularmente
  • Permissões de arquivo incorretas para contas de usuário
  • Você usa FTP padrão sobre SFTP ou SSH

Os primeiros quatro pontos são as falhas mais comuns entre administradores de sites. Eles usam uma senha fraca ou não atualizam regularmente o WordPress, seus temas ou plugins. As atualizações regulares garantem que você obtenha a versão mais recente, que geralmente inclui atualizações de segurança eficazes. Permissões de arquivo e uso de FTP não seguro são menos comuns, mas ainda assim problemáticos. Se as permissões de arquivo ou diretório não estiverem definidas corretamente, os hackers podem ter acesso de leitura e gravação ao seu site. Além disso, se você estiver usando o FTP padrão sobre SFTP ou SSH, é como pedir para ser hackeado porque o FTP padrão envia senhas não criptografadas para o seu servidor web.

Dicas básicas para evitar a maioria dos hacks do WordPress

Se você deseja evitar hackers em seu site WordPress, existem algumas etapas que você pode seguir para protegê-lo. A maioria deles são etapas simples, mas exigem uma ação consistente de sua parte.

Dicas para Evitar Hackers

Image by Michael Treu from Pixabay

Dica nº 1: Escolha hospedagens web de qualidade

Este não é apenas um clichê. Muitos hosts da web oferecem recursos abaixo do padrão para ganhar dinheiro rápido, deixando você desprotegido de ataques. Procure um host da Web que forneça backup diário, proteção contra vírus e malware, as versões mais recentes de PHP e MySQL, proteção anti-DDoS e diretórios seguros. Todos esses devem ser recursos padrão para todos os planos.

Considere também a escolha de um host já conhecido pela otimização do WordPress. Isso não significa que ele forneça um instalador automático ou que seja compatível com o WordPress. Isso significa que eles fornecerão personalizações do WordPress junto com ferramentas e suporte experientes para ajudá-lo a construir e proteger seu site.

Dica nº 2: Preste atenção aos plugins e temas que você instala

Em primeiro lugar, você deseja instalar e executar o mínimo possível de plugins para reduzir o número de riscos potenciais ao seu site. Remova ou desative todos os plugins desnecessários no backend do WordPress. Em seguida, instale plugins e temas de fontes confiáveis. Assim como você não baixa automaticamente um programa ou abre um anexo de e-mail de um remetente desconhecido, você deve evitar plugins e temas de fontes que não sejam muito conhecidas. WordPress.org é o diretório definitivo para plugins seguros.

Todos os plugins listados são geralmente testados exaustivamente e considerados seguros. A própria biblioteca do wordpress é outra fonte que serve como banco de dados para todos os plugins do WordPress disponíveis. Ele também fornece informações que podem ajudá-lo a determinar se um plugin é seguro, incluindo a última atualização, classificação, número total de downloads, instalações ativas, etc. Além disso, existem muitas maneiras de testar seus plugins e temas antes de instalá-los . Instale a verificação de plugin e a verificação de temas em seu site para verificar se há temas e plugins inválidos regularmente. Você também pode usar a Sucuri. Este site fornece um banco de dados de plugins com vulnerabilidades conhecidas que você deve verificar antes de instalar um plugin suspeito. Existem alguns itens a serem verificados ao instalar plugins ou temas antes de baixá-los. Se você encontrar algum dos itens a seguir em relação a um arquivo, procure outro:

  • Um histórico de problemas, segurança ou outros;
  • Incompatibilidade com a versão atual do WordPress;
  • Atualizações infrequentes ou não atualizadas por muito tempo;
  • Uma alta porcentagem de críticas negativas;
  • Falta de suporte ou documentação;
  • Relatórios de hospedagem que proíbem ou não recomendam o produto;

Dica nº 3: Instale um plugin de segurança para WordPress

Plugin de Segurança

Image by Werner Moser from Pixabay

Plugins de segurança oferecem uma ampla gama de recursos para proteger seu site WordPress de ameaças conhecidas. Eles mantêm seus serviços atualizados ao longo do ano para lutar contra os vírus mais recentes e outras ameaças. Se você leva a sério o uso do WordPress, além de suas práticas recomendadas, você deve usar um para tornar seu site o mais seguro possível. Aqui está uma lista de alguns dos melhores plugins de segurança do WordPress:

  • Wordfence
  • iThemes Security
  • All in One WP Security
  • Anti-Malware Security
  • BulletProof Security

Cabe a você estudar os diferentes recursos desses plugins para fazer a melhor escolha possível para o seu site.

Dica nº 4: Leve sua função de administrador a sério

Se você não está levando a sério seu trabalho como administrador, por que se preocupar em criar um site? Basta contratar outra pessoa para fazer o trabalho. Se você deseja proteger seu site, é necessário fazer o seguinte:

  • Use senhas fortes e altere-as regularmente. Não repita a mesma senha em diversos sites;
  • Atualize seu WordPress, temas e plug-ins regularmente;
  • Proteja seus diretórios do WordPress e certifique-se que todos os arquivos e diretórios tenham as permissões corretas;
  • Nunca use o padrão FTP para fazer upload de arquivos;
  • Oculte a página de login e o número da versão do WordPress e desative o plugin e o editor de temas;

Você também pode desativar os relatórios de PHP em seu site. Temas e plugins fornecem informações sobre erros que podem ser explorados. Ao desativar os relatórios, você bloqueará ainda mais seu site contra ameaças em potencial. Essas são tarefas regulares que você precisa realizar várias vezes por ano, se não pelo menos uma vez por mês.

Alguns de vocês podem pensar que hackear não é um problema ou que seu site não é importante o suficiente para ser hackeado. Infelizmente, isso pode acontecer com qualquer pessoa. Arquivos apagados offline, backups ausentes, etc. Se você não proteger seu site, corre o risco de perder não apenas o seu site, mas também sua reputação. Ao reservar um tempo para proteger seu site contra hackers, você não apenas protegerá os dados de seu site, mas também sua reputação conquistada com dificuldade.

Artigos Relacionados