As 10 principais vulnerabilidades de segurança do WordPress e maneiras de corrigi-las
Esta citação é boa o suficiente para lhe dar uma ideia dos problemas de segurança que estão ocorrendo em todo o mundo. De fato, a segurança de sites é um assunto que há muito tempo vem causando noites em claro aos proprietários de sites. Ninguém foi capaz de obter 100% de segurança para seu site de negócios.
De acordo com uma pesquisa realizada pela Juniper Research, o cibercrime custará às empresas mais de US$ 2 trilhões até 2019. Esta é uma estatística alarmante e mostra que a segurança diária de um site está se tornando muito difícil. Ao mesmo tempo, você precisa encontrar maneiras de proteger seu site, pois ele contém seus dados mais importantes, bem como as informações confidenciais.
Como todos sabem, o WordPress alimenta 31% da Internet e, portanto, é muito claro que a plataforma WordPress enfrentará o maior número de problemas de segurança na web. A maioria dos usuários confia nessa plataforma maravilhosa e é por isso que eles construíram seus sites de negócios nela.
No entanto, de acordo com uma pesquisa realizada pela Sucuri, o WordPress é a plataforma de sites mais infectada no ano de 2018.
Portanto, torna-se importante que todos vocês estejam cientes das várias vulnerabilidades de segurança do WordPress e as maneiras de corrigi-las. Então, vamos começar e analisar cada vulnerabilidade individualmente.
Existem dois tipos de empresas: as que foram hackeadas e as que ainda não sabem que foram hackeadas.
– John Chambers
As 10 principais vulnerabilidades de segurança do WordPress
- Hospedagem de sites insegura
- Usando Senha Fraca
- Não Atualizar o WordPress
- Injeção SQL
- Esquecer de proteger o arquivo de configuração do WordPress
- Não Atualizar Plugins ou Temas
- Usando FTP Simples
- Não alterar o prefixo da tabela do WordPress
- Malware
- Permissões de arquivo incorretas
1 Hospedagem Web Insegura
Esta é talvez uma das maiores razões pelas quais os sites WordPress são facilmente infectados. Como todos os outros sites, o site WordPress também está hospedado no servidor. Às vezes, o que acontece é que as empresas provedoras de hospedagem não protegem sua plataforma. Nesse tipo de cenário, há todas as chances de que seu site WordPress seja atacado por alguém de fora.
Maneira de corrigir esse problema
A melhor maneira de corrigir esse problema é hospedando seu site WordPress em algumas das plataformas de hospedagem de primeira linha. Aqui está uma lista do melhor provedor de hospedagem WordPress que você pode utilizar para o site da sua empresa.
Melhores provedores de hospedagem WordPress
- Bluehost
- HostGator
- SiteGround
- DreamHost
- Hospedagem InMotion
2 Usando Senha Fraca
As senhas são uma parte fundamental da segurança do seu site WordPress. Você sempre precisa se certificar de que está usando uma senha forte para sua conta do WordPress. De acordo com uma pesquisa realizada pela WPTemplate, 8% dos sites WordPress em todo o mundo são invadidos devido à senha da semana. Uma senha de semana pode fornecer acesso fácil às seguintes coisas:
- Conta de Administrador do WP
- Conta C-Panel
- Conta FTP
- Seu banco de dados do WordPress
É por isso que se torna extremamente vital ter uma senha forte para o seu site WordPress.
Maneira de corrigir esse problema
-
Forme uma senha complexa
Uma das maneiras de corrigir esse problema é criar uma senha complexa para o seu site. Sempre tente usar a combinação de Alfabeto, Números, Caracteres Especiais, etc. para fazer uma senha. Isso ajudará você a criar uma senha forte que não pode ser adivinhada facilmente.
-
Utilize um gerenciador de senhas
A outra maneira de corrigir esse problema é usando os gerenciadores de senhas. Um gerenciador de senhas é um aplicativo que permite armazenar todas as suas senhas em um só lugar e gerenciá-las por meio de uma senha mestra. O USP de qualquer gerenciador de senhas é que eles têm uma funcionalidade de preenchimento automático.
Aqui está uma lista de alguns dos melhores gerenciadores de senhas:
- Última passagem
- 1Senha
- Dashlane
-
Autenticação de dois fatores
Esta é uma das melhores maneiras de proteger seu site WordPress contra roubo de senha. Em um cenário de autenticação de dois fatores, se algum invasor conseguir adivinhar a senha do seu site WordPress, ele não poderá fazer login no seu site. Ele/ela exigirá um código de segurança que é enviado para o seu celular. Desta forma, você será capaz de proteger seu site.
Existem maneiras principais de configurar a autenticação de dois fatores no WordPress:
- Verificação por SMS
- Aplicativo Google Authenticator
3 Não atualizar o WordPress
Existem muitos usuários que se sentem confortáveis com uma das versões do WordPress e, portanto, não atualizam sua versão do WordPress em intervalos regulares. A principal razão por trás disso é que eles temem que isso quebre seu site. No entanto, cada nova versão do WordPress vem com correções para bugs de segurança e é por isso que se torna importante para você atualizar seu site.
Maneira de corrigir esse problema
Sempre verifique a versão mais recente do WordPress e tente manter seu site atualizado. Isso minimizará as chances de problemas de segurança. Para aqueles que temem que atualizar o WordPress crie um colapso do site, podem fazer o backup de seu site. Portanto, se a nova versão não funcionar de acordo com seus requisitos, você sempre poderá voltar atrás.
4 Injeção SQL
SQL Injection é um dos métodos mais antigos de obter acesso ao site. Como todos sabem, SQL é uma linguagem que é utilizada para trabalhar com o banco de dados WordPress e é por isso que neste tipo de ataque, os hackers injetam comandos SQL em seu site para recuperar as informações. Os hackers estão ficando espertos a cada dia e estão criando uma nova injeção de SQL todos os dias. Portanto, como proprietário de um site, você deve estar ciente das maneiras de se livrar desse problema.
Maneira de corrigir esse problema
-
Verificar vulnerabilidade de injeção de SQL
Você deve verificar o problema de SQL Injection em seu site WordPress regularmente. No entanto, esta pode ser uma tarefa muito difícil de executar manualmente e é por isso que você deve utilizar algumas ferramentas de verificação de segurança para esse fim. Aqui está uma lista da melhor ferramenta de verificação de segurança:
- Verificação de segurança do WordPress
- Sucos SiteCheck
- WPScan
-
Adicionando um código ao seu arquivo .htaccess
Outra forma de evitar SQL Injection é adicionar um código específico em seu arquivo .htaccess. .htaccess é um arquivo de configuração que é usado nos servidores da web e, portanto, alterando essa parte, você poderá restringir o acesso de pessoas de fora ao seu banco de dados WordPress.
Adicione o seguinte código em seu arquivo .htaccess:
RewriteEngine On RewriteBase / RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC] RewriteRule ^(.*)$ - [F,L] RewriteCond %{QUERY_STRING} ../ [NC,OR] RewriteCond %{QUERY_STRING} boot.ini [NC,OR] RewriteCond %{QUERY_STRING} tag= [NC,OR] RewriteCond %{QUERY_STRING} ftp: [NC,OR] RewriteCond %{QUERY_STRING} http: [NC,OR] RewriteCond %{QUERY_STRING} https: [NC,OR] RewriteCond %{QUERY_STRING} (|%3E) [NC,OR] RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR] RewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR] RewriteCond %{QUERY_STRING} ^.*([|]|(|)||ê|"|;|?|*|=$).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*("|'|||{||).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC] RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$ RewriteRule ^(.*)$ - [F,L]
5 Esquecer de proteger o arquivo de configuração do WordPress
O arquivo de configuração do WordPress (wp-config.php) é composto por credenciais de login do banco de dados do WordPress. Portanto, se alguém de fora obtiver acesso a esse arquivo, ele poderá roubar suas informações e causar danos ao seu site. Portanto, torna-se necessário que você faça todo o possível para proteger esse arquivo.
Maneira de corrigir esse problema
Uma das maneiras mais simples de proteger o arquivo wp-config.php é modificando o .htaccess e restringindo o acesso. Para isso, basta adicionar o seguinte trecho ao seu arquivo .htaccess:
order allow,deny
deny from all
6 Não atualizar plugins ou temas
Assim como o WordPress principal, é importante usar a versão mais recente dos plugins ou temas no site WordPress. Usar uma versão desatualizada de qualquer plug-in ou tema pode tornar seu site vulnerável a ameaças de segurança. De acordo com uma pesquisa realizada pela WPWhiteSecurity, 54% das vulnerabilidades globais do WordPress são devidas a plugins.
Maneira de corrigir esse problema
Sempre verifique a atualização em qualquer um dos seus plugins e temas. Certifique-se de estar usando a versão mais recente disponível no WordPress. Ao seguir esta metodologia, você minimizará as chances de ameaças de segurança em seu site WordPress.
7 Usando FTP Simples
Para quem não sabe, as contas FTP são usadas para carregar um arquivo no servidor do seu site usando um cliente FTP. A maioria dos provedores de hospedagem oferece suporte à conexão FTP usando diferentes tipos de protocolos: FTP simples, SFTP ou SSH.
A maioria dos proprietários de sites WordPress comete o erro de usar FTP simples. Agora, o que acontece em um FTP simples é que sua senha é enviada ao servidor de forma não criptografada. Portanto, qualquer pessoa que possa hackear o servidor pode obter acesso fácil ao seu site WordPress.
Maneira de corrigir esse problema
Em vez de usar FTP, você pode optar pela opção SFTP ou SSH. Você não precisa alterar o cliente FTP para essa finalidade. Basta alterar o protocolo para ‘SFTP-SSH’ enquanto se conecta ao seu site. Ao usar este protocolo, você poderá enviar a senha para o servidor de forma criptografada, o que minimiza o risco de problemas de segurança.
8 Não alterar o prefixo da tabela do WordPress
Como todos sabem, por padrão, todas as tabelas do WordPress criadas em seu banco de dados começam com um prefixo chamado ks29so_. A maioria dos desenvolvedores do WordPress não se importa em mudar esse prefixo, pois acham que isso não afetará o desempenho do site.
Em constante isso, esse prefixo torna seu site WordPress vulnerável a problemas de segurança. A razão por trás disso é que um invasor pode facilmente adivinhar o nome de suas tabelas de banco de dados do WordPress. Portanto, você deve tentar ressuscitar esse problema o mais rápido possível.
Maneira de corrigir esse problema
Em vez de usar o prefixo padrão para as tabelas de banco de dados do WordPress, você deve definir seu próprio prefixo, que é complicado por natureza, para que ninguém possa adivinhá-lo. Você pode alterar o prefixo de suas tabelas de banco de dados do WordPress no momento da instalação. Portanto, lembre-se sempre desse ponto. Depois disso, você não terá a chance de alterar o prefixo.
Veja como você pode alterar o prefixo do banco de dados do WordPress para melhorar a segurança:
9 Malware
Malware é uma abreviação de software malicioso. Em outras palavras, você pode dizer que é um código usado para obter acesso a um site de maneira não autorizada. Um site invadido indica claramente que um malware foi injetado. Agora, se você deseja reconhecer malware no site, tente examinar os arquivos alterados recentemente.
Pode haver muitos tipos de infecções por malware na web, mas para o WordPress, quatro principais infecções por malware estão listadas abaixo:
- Backdoors
- Download drive-by
- hacks farmacêuticos
- Redirecionamentos maliciosos
Maneira de corrigir esse problema
Quaisquer problemas de malware podem ser facilmente identificados pesquisando o arquivo modificado recentemente e, em seguida, removendo esse arquivo do seu site WordPress. A outra maneira de lidar com esse problema é instalar uma nova versão do WordPress ou restaurar o site do WordPress a partir de seu backup recente. Ambos os métodos ajudarão você a minimizar as vulnerabilidades de segurança.
10 permissões de arquivo incorretas
As permissões de arquivo são o conjunto de regras usadas pelo servidor da web. Ele ajuda seu servidor a controlar o acesso ao seu arquivo em seu site WordPress. Agora, às vezes, o que acontece é que o usuário define permissões de arquivo incorretas, o que permite que os invasores acessem o arquivo e o modifiquem de acordo com seus requisitos, o que pode causar grandes danos ao seu site WordPress.
Maneira de corrigir esse problema
A melhor maneira de corrigir esse problema é definir a permissão de arquivo correta para o seu site WordPress. A permissão de arquivo em qualquer site WordPress deve ser conforme listado abaixo:
- 755 ou 750 para todos os diretórios
- 644 ou 640 para arquivos
- 600 para wp-config.php
Ao definir essas permissões, você poderá restringir o acesso ao seu site WordPress, o que o ajudará a protegê-lo dos invasores.
Pensamentos finais
A segurança tem sido uma das principais preocupações dos proprietários de sites ao longo dos anos. Mesmo depois de tanta pesquisa sendo realizada nesta área, ninguém foi capaz de reivindicar ser 100% seguro. Isso mostra o nível de complexidade com o qual é preciso lidar ao trabalhar com esse problema.
Levando isso em consideração, tentamos fornecer a você as 10 principais vulnerabilidades de segurança do WordPress e as maneiras de corrigi-las, o que certamente o ajudará no futuro próximo.
Quais são seus pensamentos sobre este assunto? Mencione-os em nossa seção de comentários. Obrigada!