Os 10 principais erros de segurança do WordPress e como evitá-los

Erros de segurança do WordPress são fáceis de cometer. Os erros mais comuns na segurança do WordPress podem ser baseados em informações desatualizadas, mitos de segurança comuns do WordPress ou simplesmente não conhecer as melhores práticas de segurança do WordPress.

Embora o WordPress em si seja seguro, evitar erros de segurança do WordPress requer um pouco de esforço dos proprietários do site. Neste post, vamos cobrir os 10 principais erros de segurança do WordPress com dicas sobre como evitá-los.

Vamos mergulhar. Cobriremos tudo, desde a qualidade do seu host WordPress até o login de administrador do WordPress e os temas e plug-ins que você usa.

1. Escolha de hospedagem ruim

Nem todos os hosts da web são criados da mesma forma, e escolher um apenas com base no preço pode acabar custando muito mais com os erros de segurança do WordPress.

A maioria dos ambientes de hospedagem compartilhada é segura, mas alguns não separam adequadamente as contas de usuário. Se as contas de usuário não forem separadas adequadamente, uma única conta comprometida pode derrubar todos os sites desse servidor compartilhado.

Seu host deve estar atento à aplicação dos patches de segurança mais recentes e ao seguir outras práticas recomendadas de segurança de hospedagem importantes relacionadas à segurança de servidor e arquivo.

Como evitar a escolha de hospedagem ruim

Escolha um host confiável para o seu site com um histórico de segurança sólido.

Confira o iThemes Hosting para um provedor de hospedagem em que você pode confiar.

2. Não ter um plano de backup do WordPress

Backups e segurança não parecem estar relacionados. Mas acredite em nós, ter um backup do seu site WordPress após um ataque de ransomware pode realmente salvar seu bacon.

Um ataque de ransomware ocorre quando um hacker criptografa os arquivos do seu site, tornando-os e o seu site inacessíveis. Para recuperar o acesso ao seu site, você precisa de uma chave para descriptografar os arquivos. Por uma taxa elevada, o hacker ficará mais do que feliz em fornecer a chave para você.

Ter um backup do seu site WordPress permite que você reverta o seu site a um estado anterior ao de seu site ser retido para resgate. Você recupera o acesso ao seu site sem ter que pagar o resgate exigido. #baconsaved

Como evitar não ter um backup do site

Crie uma programação para fazer backups regulares do seu site.

BackupBuddy, nosso plugin de backup do WordPress, é nossa ferramenta recomendada para backups do WordPress. Com o BackupBuddy, você pode configurar agendamentos de backup para 5 tipos de backups do WordPress para que seus backups sejam executados automaticamente. Isso é paz de espírito.

3. Logins inseguros

O login do WordPress é a parte mais atacada e potencialmente mais vulnerável de qualquer site do WordPress. Por padrão, não há nada embutido no WordPress para limitar o número de tentativas de login malsucedidas que alguém pode fazer. Sem um limite para o número de tentativas de login malsucedidas que um invasor pode fazer, ele pode continuar tentando uma quantidade infinita de nomes de usuário e senhas até ter sucesso.

Seu login do WordPress é muito parecido com a porta da frente de sua casa. Sem uma fechadura na porta da frente, seria fácil para qualquer pessoa entrar direto em sua casa, começar a mover seus móveis, quebrar suas coisas e roubar sua TV. Só faz sentido adicionar uma fechadura à porta da frente para dificultar a entrada de um suposto ladrão em sua casa.

Como evitar um login inseguro

Use um plug-in de segurança do WordPress para limitar os acessos de login inválidos.

O recurso de proteção contra força bruta local do iThemes Security Pro mantém registros de tentativas de login inválidas feitas por um host ou endereço IP e um nome de usuário. Quando um IP ou nome de usuário fizer muitas tentativas consecutivas de login inválido, ele será bloqueado e impedido de fazer mais tentativas.

4. Sem proteção contra ataques de bot automatizados

Um bot é um software programado para realizar uma lista específica de tarefas. Os desenvolvedores criam um conjunto de instruções que um bot seguirá automaticamente, sem que o desenvolvedor precise dizer a eles para começar. Os bots realizarão tarefas repetitivas e mundanas muito mais rápido do que nós.

Alguns desses bots são programados com motivos nefastos, como:

Os bots de força bruta vasculham a internet em busca de logins do WordPress para atacar.

Content Scraping Bots são programados para baixar o conteúdo do seu site sem a sua permissão. O bot pode duplicar o conteúdo para usar no site do invasor para melhorar seu SEO e roubar o tráfego do site.

Spambots estragam seus comentários com promessas de se tornar um milionário enquanto trabalha em casa na esperança de enviar seus visitantes a sites maliciosos.

Como evitar ataques de bot automatizados

Evite esse erro de segurança do WordPress usando proteção automatizada de bot, como o Google reCAPTCHA em seu site.

O recurso reCAPTCHA do Google no iThemes Security Pro protege seu site de robôs mal-intencionados. O reCAPTCHA usa técnicas avançadas de análise de risco para diferenciar humanos de bots. Assim que um bot defeituoso for identificado, ele será inicializado do seu site.

5. Usando versões vulneráveis ​​de plug-ins, temas ou núcleo do WordPress

Plug-ins ou temas vulneráveis ​​do WordPress são o maior erro de segurança do WordPress que você pode cometer. Manter o software atualizado é uma parte essencial de qualquer estratégia de segurança, e isso inclui o núcleo do WordPress e seus temas e plug-ins. As atualizações de versão não são apenas para correções de bugs e novos recursos. As atualizações também podem incluir patches de segurança críticos. Você está deixando seu telefone, computador, servidor, roteador ou site vulnerável a ataques sem esse patch.

Os hackers visam vulnerabilidades corrigidas porque sabem que as pessoas não atualizam (incluindo plug-ins e temas em seu site). É um padrão da indústria divulgar publicamente as vulnerabilidades no dia em que são corrigidas. Depois que uma vulnerabilidade é divulgada publicamente, ela se torna uma “vulnerabilidade conhecida” para versões desatualizadas e sem patch do software. Software com vulnerabilidades conhecidas é um alvo fácil para hackers.

Os hackers gostam de alvos fáceis. Ter um software desatualizado com vulnerabilidades conhecidas é como entregar a um hacker as instruções passo a passo para invadir seu site WordPress.

Ter um plugin ou tema vulnerável para o qual um patch está disponível, mas não aplicado é o principal culpado de sites WordPress hackeados.

Como evitar o uso de plug-ins e temas vulneráveis

Mantenha todos os seus plug-ins e temas atualizados para evitar o erro de segurança do WordPress de software vulnerável.

Use o iThemes Security Pro Site Scan. O Site Scan executa verificações automáticas de vulnerabilidades conhecidas instaladas em seu site. E se um patch estiver disponível, o iThemes Security Pro aplicará automaticamente a correção para você.

6. Fraca segurança do usuário

A falta de segurança do usuário é um grande erro de segurança do WordPress. Simplificando: um único usuário administrador do WordPress com uma senha fraca pode prejudicar todas as outras medidas de segurança do site que você implementou. É por isso que a segurança do usuário é uma parte essencial de qualquer estratégia de segurança do WordPress.

De acordo com o Relatório de investigações de violação de dados da Verizon, mais de 70% dos funcionários reutilizam senhas no trabalho. Mas a estatística mais importante do relatório é que “81% das violações relacionadas a hackers aproveitaram senhas roubadas ou fracas”.

Em uma lista compilada pela Splash Data, a senha mais comum incluída em todos os despejos de dados era 123456. Um despejo de dados é um banco de dados invadido cheio de senhas de usuário despejadas em algum lugar da Internet. Você pode imaginar quantas pessoas em seu site estão usando uma senha fraca se 123456 for a senha mais comum em despejos de dados?

As ferramentas do hacker estão cada vez melhores e podem contornar as senhas mais rápido do que nunca. Por exemplo, vamos dar uma olhada em um gráfico criado pela Terahash, uma empresa de quebra de senhas de alto desempenho. O gráfico mostra o tempo que leva para quebrar uma senha usando um cluster de hashstack de 448x RTX 2080s.

Por padrão, o WordPress usa MD5 para fazer o hash das senhas de usuário armazenadas no banco de dados WP. Portanto, de acordo com este gráfico, Terahash poderia quebrar uma senha de 8 caracteres ... quase que instantaneamente. Isso não é apenas superimpressionante, mas também assustador.

Para piorar a situação, embora 91% das pessoas saibam que reutilizar senhas é uma prática inadequada, 59% das pessoas ainda reutilizam suas senhas em todos os lugares! Muitas dessas pessoas ainda estão usando senhas que sabem que apareceram em um despejo de banco de dados.

Os hackers usam uma forma de ataque de força bruta chamada de ataque de dicionário. Um ataque de dicionário é um método de invadir um site WordPress com senhas comumente usadas que aparecem em despejos de banco de dados. A “Coleção nº 1? A violação de dados hospedada no MEGA hospedado incluiu 1.160.253.228 combinações exclusivas de endereços de e-mail e senhas. Isso é bilhão com um b. Esse tipo de pontuação realmente ajudará um ataque de dicionário a restringir as senhas do WordPress mais comumente usadas.

Como evitar segurança do usuário fraca

A melhor maneira de evitar o erro de segurança do WordPress de segurança do usuário fraca é criando uma política de senha forte e usando autenticação de dois fatores.

O recurso de Requisitos de Senha do iThemes Security Pro permite forçar os membros de um grupo de usuários a usar uma senha forte , escolher um tempo de expiração da senha , recusar senhas comprometidas e forçar uma alteração de senhas em todo o site para que todos cumpram sua nova política de senha forte.

A autenticação de dois fatores é um processo de verificação da identidade de uma pessoa, exigindo dois métodos separados de verificação. O Google compartilhou em seu blog que o uso de autenticação de dois fatores pode impedir 100% dos ataques de bot automatizados.

O recurso de autenticação de dois fatores do iThemes Security Pro oferece muita flexibilidade ao implementar 2fa em seu site. Você pode habilitar dois fatores para todos ou alguns de seus usuários e pode forçar seus usuários de alto nível a usar 2fa em cada login.

7. Comunicações não criptografadas (sem SSL)

Não criptografar as comunicações em seu site é um grave erro de segurança do WordPress. Sempre que fazemos uma compra online, a comunicação acontece entre o seu navegador e a loja online. Por exemplo, quando inserimos nosso número de cartão de crédito em nosso navegador, nosso navegador irá compartilhar o número com a loja online. Depois que a loja recebe o pagamento, ela informa ao seu navegador para informá-lo de que sua compra foi bem-sucedida.

Uma coisa a ter em mente sobre as informações compartilhadas entre nosso navegador e o servidor da loja é que as informações fazem várias paradas no trânsito. Se a comunicação não for criptografada, um hacker pode roubar nosso cartão de crédito antes que ele chegue ao destino final do servidor da loja.

Para entender melhor como funciona a criptografia, pense em como nossas compras são entregues. Se você já rastreou o status de entrega de uma compra online, deve ter visto que seu pedido parou várias vezes antes de chegar em sua casa. Se o vendedor não empacotou corretamente sua compra, seria fácil para as pessoas verem o que você comprou.

Como evitar comunicação não criptografada

Você precisará de um certificado SSL para criptografar a comunicação em seu site. Se o seu site WordPress não tiver SSL, a primeira coisa que você deve fazer é pedir ao seu provedor de hospedagem para ver se eles fornecem um certificado SSL gratuito e configuração.

A Cloudflare oferece um certificado SSL compartilhado gratuito para sites WordPress. Se você preferir não ter um certificado SSL compartilhado e está confortável com a linha de comando, CertBot é uma excelente opção. Certbot não apenas cria um certificado SSL grátis usando o Let's Encrypt para você, mas também gerencia automaticamente a renovação do certificado para você.

8. Registro e monitoramento de segurança insuficientes

O registro insuficiente em seu site é um erro de segurança do WordPress grande o suficiente que caiu no OWASP 10 principais riscos de segurança de aplicativos da web. O registro é uma parte essencial da sua estratégia de segurança do WordPress. O monitoramento do comportamento correto o ajudará a identificar e interromper ataques, detectar uma violação e acessar e reparar os danos causados ​​ao seu site após um ataque bem-sucedido.

O registro e o monitoramento insuficientes podem levar a um atraso na detecção de uma violação de segurança. A maioria dos estudos de violação mostra que o tempo para detectar uma violação é de mais de 200 dias! Esse período de tempo permite que um invasor viole outros sistemas, modifique, roube ou destrua mais dados.

Como evitar registros insuficientes

Adicione log de segurança ao seu site para evitar esse erro de segurança do WordPress. Você pode usar algumas das funções de desenvolvedor e filtros que o WordPress fornece para criar um sistema de registro, mas a maneira mais fácil de iniciar um registro de segurança é instalar um plug-in de segurança do WordPress

O iThemes Security Pro WordPress Security Logs monitora e registra automaticamente os eventos críticos de segurança que ocorrem em seu site.

9. Plug-ins e temas não utilizados

Ter plug-ins e temas não utilizados ou inativos em seu site é um grande erro de segurança do WordPress. Cada pedaço de código em seu site é um ponto de entrada potencial para um hacker.

É uma prática comum para desenvolvedores usar código de terceiros - como bibliotecas JS - em seus plug-ins e temas. Infelizmente, se as bibliotecas não forem mantidas adequadamente, elas podem criar vulnerabilidades que os invasores podem aproveitar para hackear seu site.

Como evitar plug-ins e temas

Desinstale e exclua completamente quaisquer plug-ins e temas desnecessários em seu site WordPress para limitar o número de pontos de acesso e código executável em seu site.

Além disso, evite usar plug-ins abandonados do WordPress. Se algum plugin instalado em seu site WordPress não receber uma atualização em seis meses ou mais.

10. Instalação de software de fontes não confiáveis

Instalar software de fontes não confiáveis ​​é uma das maneiras mais rápidas de criar um erro de segurança do WordPress. Você deve ter cuidado com uma versão “anulada” de plug-ins comerciais. Muitas vezes, essas versões gratuitas ou com grandes descontos de plug-ins profissionais contêm código malicioso.

Não importa como você bloqueia seu site WordPress se é você quem está instalando malware.

Como evitar software de fontes não confiáveis

Você só deve instalar softwares obtidos no WordPress.org, em repositórios comerciais conhecidos ou diretamente de desenvolvedores confiáveis.

Se o plugin ou tema do WordPress não estiver sendo distribuído no site do desenvolvedor, você deverá fazer a devida diligência antes de baixar o plugin. Entre em contato com os desenvolvedores para ver se eles são de alguma forma afiliados ao site que está oferecendo seu produto a um preço gratuito ou com desconto.

Conclusão: os 10 principais erros de segurança do WordPress explicados

Como podemos ver, existem muitos erros potenciais de segurança do WordPress. Felizmente, todos os erros de segurança são facilmente evitados com apenas um pequeno esforço de nossa parte.

Uma lista de verificação de segurança simples do WordPress

A maioria das vulnerabilidades de segurança do WordPress pode ser atenuada por meio de uma abordagem proativa à segurança do WordPress. Para recapitular, aqui está uma lista de verificação de segurança simples do WordPress a seguir:

• 1. Escolha hospedagem de qualidade.
• 2. Crie uma programação de backup.
• 3. Limite as tentativas de login inválidas
• 4. Adicione proteção automatizada de bot.
• 5. Evite usar software vulnerável.
• 6. Use senhas fortes e 2fa.
• 7. Criptografe a comunicação com SSL.
• 8. Adicione o registro de segurança do WordPress.
• 9. Remova plug-ins e temas não utilizados.
• 10. Instale apenas software de fontes confiáveis.

Obtenha o iThemes Security Pro

Michael Moore

A cada semana, Michael elabora o Relatório de vulnerabilidade do WordPress para ajudar a manter seus sites seguros. Como Gerente de Produto da iThemes, ele nos ajuda a continuar melhorando a linha de produtos da iThemes. Ele é um nerd gigante e adora aprender sobre todas as coisas de tecnologia, antigas e novas. Você pode encontrar Michael saindo com sua esposa e filha, lendo ou ouvindo música quando não está trabalhando.