5 problemas comuns de segurança do WordPress
Publicados: 2021-01-27Se você possui um site baseado em WordPress ou está pensando em usar o WordPress como seu CMS, pode estar preocupado com possíveis problemas de segurança do WordPress. Nesta postagem, descreveremos algumas das vulnerabilidades de segurança mais comuns do WordPress, junto com as etapas que você pode seguir para proteger e proteger seu site WordPress.
O WordPress é seguro?
A resposta para a pergunta “o WordPress é seguro?” é depende . O WordPress em si é muito seguro , desde que as melhores práticas de segurança do WordPress sejam seguidas .
De acordo com o uso mais recente de dados de sistemas de gerenciamento de conteúdo da W3Techs, o WordPress oferece 34% de desconto em todos os sites. Portanto, as vulnerabilidades de segurança do WordPress são inevitáveis porque nem todos os usuários são cuidadosos, meticulosos ou preocupados com a segurança de seus sites. Se um hacker consegue encontrar uma maneira de entrar em um das centenas de milhões de sites WordPress na web, ele pode procurar outros sites que também estão executando configurações inseguras de versões antigas ou inseguras do WordPress e hackea-los também.
O WordPress é executado em código-fonte aberto e tem uma equipe especificamente dedicada a encontrar, identificar e corrigir problemas de segurança do WordPress que surgem no código principal. Conforme as vulnerabilidades de segurança são divulgadas, as correções são imediatamente enviadas para corrigir quaisquer novos problemas de segurança descobertos no WordPress. É por isso que manter o WordPress atualizado com a versão mais recente é extremamente importante para a segurança geral do seu site.
É importante observar que as vulnerabilidades de segurança do WordPress se estendem além do núcleo do WordPress para os temas ou plug-ins que você instala em seu site. De acordo com um relatório recente da wpvulndb.com, das 2.837 vulnerabilidades de segurança conhecidas do WordPress em seu banco de dados:
- 75% são de plug-ins do WordPress
- 14% são do núcleo do WordPress
- 11% são de temas WordPress
5 problemas comuns de segurança do WordPress
Os problemas de segurança mais comuns do WordPress ocorrem antes ou logo depois que seu site foi comprometido. O objetivo de um hack é obter acesso não autorizado ao seu site WordPress em nível de administrador, seja no front-end (painel do WordPress) ou no lado do servidor (inserindo scripts ou arquivos maliciosos).
Aqui estão os 5 problemas de segurança do WordPress mais comuns que você deve conhecer:
1. Ataques de força bruta
Ataques de força bruta do WordPress referem-se ao método de tentativa e erro de inserir várias combinações de nome de usuário e senha repetidamente até que uma combinação bem-sucedida seja descoberta. O método de ataque de força bruta explora a maneira mais simples de obter acesso ao seu site: sua página de login do WordPress.
O WordPress, por padrão, não limita as tentativas de login, então os bots podem atacar sua página de login do WordPress usando o método de ataque de força bruta. Mesmo se um ataque de força bruta não for bem-sucedido, ele ainda pode causar estragos em seu servidor, pois as tentativas de login podem sobrecarregar seu sistema e tornar seu site mais lento. Enquanto você está sob um ataque de força bruta, alguns hosts podem suspender sua conta, especialmente se você estiver em um plano de hospedagem compartilhada, devido a sobrecargas do sistema.
2. Explorações de inclusão de arquivo
Após ataques de força bruta, as vulnerabilidades no código PHP do seu site WordPress são o próximo problema de segurança mais comum que pode ser explorado por invasores. (PHP é o código que executa seu site WordPress, junto com seus plug-ins e temas.)
As explorações de inclusão de arquivo ocorrem quando um código vulnerável é usado para carregar arquivos remotos que permitem que invasores obtenham acesso ao seu site. Explorações de inclusão de arquivo são uma das maneiras mais comuns de um invasor obter acesso ao arquivo wp-config.php do seu site WordPress, um dos arquivos mais importantes na instalação do WordPress.
3. Injeções de SQL
Seu site WordPress usa um banco de dados MySQL para operar. As injeções de SQL ocorrem quando um invasor obtém acesso ao banco de dados do WordPress e a todos os dados do seu site.
Com uma injeção de SQL, um invasor pode criar uma nova conta de usuário de nível de administrador que pode então ser usada para fazer o login e obter acesso total ao seu site WordPress. As injeções de SQL também podem ser usadas para inserir novos dados em seu banco de dados, incluindo links para sites maliciosos ou de spam.
4. Cross-Site Scripting (XSS)
84% de todas as vulnerabilidades de segurança em toda a Internet são chamadas de ataques Cross-Site Scripting ou XSS. As vulnerabilidades de Cross-Site Scripting são as vulnerabilidades mais comuns encontradas nos plug-ins do WordPress.
O mecanismo básico do Cross-Site Scripting funciona assim: um invasor encontra uma maneira de fazer a vítima carregar páginas da web com scripts javascript inseguros. Esses scripts são carregados sem o conhecimento do visitante e, em seguida, são usados para roubar dados de seus navegadores. Um exemplo de ataque de Cross-Site Scripting seria um formulário sequestrado que parece residir em seu site. Se um usuário inserir dados nesse formulário, esses dados serão roubados.
5. Malware
Malware, abreviação de software malicioso, é um código usado para obter acesso não autorizado a um site para coletar dados confidenciais. Um site WordPress hackeado geralmente significa que um malware foi injetado nos arquivos do seu site, portanto, se você suspeitar de malware no seu site, dê uma olhada nos arquivos alterados recentemente.
Embora existam milhares de tipos de infecções por malware na web, o WordPress não é vulnerável a todos eles. As quatro infecções por malware mais comuns do WordPress são:
- Backdoors
- Downloads drive-by
- Pharma hacks
- Redirecionamentos maliciosos
Cada um desses tipos de malware pode ser facilmente identificado e limpo removendo manualmente o arquivo malicioso, instalando uma nova versão do WordPress ou restaurando seu site WordPress de um backup anterior não infectado.
O que torna seu site WordPress vulnerável a problemas de segurança do WordPress?
Vários fatores podem tornar seu site WordPress mais vulnerável a ataques bem-sucedidos.
1. Senhas fracas
Usar uma senha fraca é uma das maiores vulnerabilidades de segurança que você pode evitar facilmente. Sua senha de administrador do WordPress deve ser forte, incluir vários tipos de caracteres, símbolos ou números. Além disso, sua senha deve ser específica para o seu site WordPress e não deve ser usada em nenhum outro lugar.
Curioso para saber se sua senha foi comprometida? O plugin de segurança do iThemes verifica se sua senha apareceu em uma violação de dados. Uma violação de dados é normalmente uma lista de nomes de usuário, senhas e, muitas vezes, outros dados pessoais que foram expostos depois que um site foi comprometido. Com a configuração Recusar senhas comprometidas, você pode recusar senhas comprometidas e forçar os usuários a usar senhas que não aparecem em nenhuma violação de senha rastreada pela API Have I Been Pwned.
2. Não atualizando WordPress, Plug-ins ou Temas
Simplificando: você corre o risco de um ataque se estiver executando versões desatualizadas do WordPress, plug-ins e temas em seu site. As atualizações de versão geralmente incluem patches para problemas de segurança no código, por isso é importante sempre executar a versão mais recente de todo o software instalado no seu site WordPress.
As atualizações aparecerão no painel do WordPress assim que estiverem disponíveis. Pratique a execução de um backup e, em seguida, todas as atualizações disponíveis sempre que você acessar seu site WordPress. Embora a tarefa de executar atualizações possa parecer inconveniente ou cansativa, é uma importante prática recomendada de segurança do WordPress.
Se você gerencia mais de um site WordPress, pode usar uma ferramenta que economiza tempo como o iThemes Sync Pro para gerenciar melhor as atualizações. Em vez de fazer login em cada site individual, oferece um painel para gerenciar atualizações para vários sites WordPress de um só lugar.
3. Usando plug-ins e temas de fontes não confiáveis
Código mal escrito, inseguro ou desatualizado é uma das formas mais comuns pelas quais os invasores podem explorar seu site WordPress. Uma vez que plug-ins e temas são fontes potenciais de vulnerabilidades de segurança, como prática recomendada de segurança, apenas baixe e instale plug-ins e temas do WordPress de fontes confiáveis, como o repositório do WordPress.org ou de empresas premium que já estão no mercado há algum tempo . Além disso, evite versões "gratuitas" de bootleg ou torrent de temas e plug-ins premium, pois os arquivos podem ter sido alterados para conter malware. O custo desses plug-ins e temas “gratuitos” pode prejudicar a segurança do seu site.
4. Usando hospedagem compartilhada ou de baixa qualidade
Como o servidor em que seu site WordPress reside é um alvo de invasores, o uso de hospedagem compartilhada ou de baixa qualidade pode tornar seu site mais vulnerável a ser comprometido. Embora todos os hosts tomem precauções para proteger seus servidores, nem todos estão tão vigilantes ou implementam as medidas de segurança mais recentes para proteger sites no nível do servidor.
A hospedagem compartilhada também pode ser uma preocupação porque vários sites são armazenados em um único servidor. Se um site for hackeado, os invasores também podem obter acesso a outros sites e seus dados. Embora usar um VPS, ou servidor virtual privado, seja mais caro, ele garante que seu site seja armazenado em seu próprio servidor.
8 ações que você pode realizar hoje para proteger seu site WordPress
1. Use uma senha forte para cada conta online.
Se você estiver usando uma senha que contém menos de 6 caracteres, altere-a agora. Se você estiver usando uma senha em mais de um login, altere-a agora. Se você tem a mesma senha há mais de seis meses, altere-a agora. Se você estiver reutilizando uma senha para várias contas online, altere-a agora.
2. Instale um plugin de segurança do WordPress.
Usar um plugin de segurança do WordPress é uma ótima maneira de cuidar das medidas de segurança adicionais em seu site do WordPress. O iThemes Security oferece uma verificação de segurança do WordPress com um clique que ativa as configurações de segurança mais importantes e recomendadas do WordPress. Um bom plugin de segurança do WordPress pode lidar com os aspectos mais técnicos da segurança do seu site, então você não precisa ser um especialista em segurança para usá-lo.
3. Habilite a autenticação de dois fatores do WordPress.
A autenticação de dois fatores adiciona uma camada extra de proteção ao seu login do WordPress. Além de sua senha, um código sensível ao tempo adicional é necessário de outro dispositivo, como seu smartphone, para fazer o login. A autenticação de dois fatores é uma das melhores maneiras de bloquear seu login do WordPress e minimiza quase completamente o potencial de ataques de força bruta bem-sucedidos.
4. Mantenha seu site WordPress atualizado.
Novamente: manter seu site WordPress atualizado é uma das melhores maneiras de evitar possíveis problemas de segurança do WordPress. Faça login no seu site WordPress agora e execute todas as atualizações disponíveis para o núcleo do WordPress, seus temas ou plug-ins. Se você estiver usando plug-ins ou temas premium do WordPress, certifique-se de ter uma licença atual para garantir que está recebendo atualizações e não executando versões desatualizadas.
5. Configure as permissões adequadas em seu servidor.
Certifique-se de que as permissões adequadas sejam definidas em todos os diretórios em seu servidor. As permissões adequadas determinam quem tem permissão para ler, criar e editar arquivos.
6. Execute varreduras de malware agendadas.
Mantenha o controle sobre possíveis infecções por malware com varreduras de malware agendadas. A maioria dos serviços, como a verificação de malware oferecida no plug-in iThemes Security Pro, fornece um relatório sobre o status de malware do seu site junto com vários outros status de lista negra.
7. Tenha um plano de backup WordPress confiável.
Ter um plano de backup do WordPress é um componente importante de sua estratégia de segurança do WordPress. Configure backups programados para serem executados e certifique-se de enviar seus backups com segurança para um local remoto de backup do WordPress. Além disso, certifique-se de que sua estratégia de backup tenha um componente de restauração, caso você precise restaurar seu site a partir de um backup limpo.
8. Ative a proteção contra força bruta do WordPress.
Proteger-se de ataques de força bruta é outra maneira de reduzir qualquer vulnerabilidade potencial ou sobrecarga do servidor. Use um serviço que inclua proteção de força bruta local e de rede para impedir que usuários que tentaram invadir outros sites também invadam o seu.
Obtenha o iThemes Security Pro agora + Economize 25%!
Embora existam problemas de segurança para o WordPress, a maioria pode ser evitada com as práticas recomendadas de segurança do WordPress e com a consciência dos riscos potenciais à segurança. Armado com conhecimento e estratégias para proteger seu site WordPress, você pode minimizar significativamente sua vulnerabilidade a hacks e manter seu site WordPress seguro e protegido.
Um plug-in de segurança WordPress confiável como o iThemes Security Pro pode ajudar a proteger e proteger seu site WordPress. Com mais de 30 maneiras de bloquear o seu site, o iThemes Security trabalha para bloquear o WordPress, consertar buracos comuns, interromper ataques automatizados e fortalecer as credenciais do usuário.
Plano iThemes Security Pro.
Obtenha o iThemes Security Pro
Kristen tem escrito tutoriais para ajudar os usuários do WordPress desde 2011. Normalmente, você pode encontrá-la trabalhando em novos artigos para o blog do iThemes ou desenvolvendo recursos para o #WPprosper. Fora do trabalho, Kristen gosta de fazer um diário (ela escreveu dois livros!), Fazer caminhadas e acampar, cozinhar e aventuras diárias com sua família, na esperança de viver uma vida mais presente.
