Como os sites são hackeados?

Como proprietário de um site WordPress, você já sabe que a segurança desempenha um papel importante em manter suas operações seguras contra hacks e ataques maliciosos. Mas como os sites são invadidos exatamente? Qual é o processo pelo qual os hackers tentam, e muitas vezes conseguem, derrubar sites WordPress com seus ataques?

Mesmo que a web tenha crescido aos trancos e barrancos nas últimas décadas, não mudou muito na forma como os sites são invadidos por maus atores. E a coisa mais importante que você deve fazer para manter seu site e visitantes seguros é entender completamente quais são essas relações de confiança imutáveis ​​para que você possa ficar um passo à frente delas.

Neste guia abrangente, mostraremos exatamente como os sites são invadidos, quais são os sinais de que seu site foi invadido e muito mais. Vamos dar uma olhada.

A enorme escala de sites invadidos

Bem mais de 1,2 bilhão de sites (com um B) agora compõem a versão atual da World Wide Web. E se você assumir uma média de 3 segundos de tempo de carregamento do site, levaria mais de 160 anos para visitar todos os sites existentes, sem tirar um segundo para descansar.

Essa é uma teia insanamente massiva que é completamente impossível para qualquer entidade individual vigiar com segurança. Embora serviços como o Safe Browsing do Google tentem alertar seus usuários sobre sites que podem ser inseguros. Atualmente, ele fornece mais de 3 milhões desses avisos aos usuários todos os dias.

E isso é aproximadamente o tamanho das populações de Los Angeles e Nova York juntas.

Simplificando, os sites sempre serão grandes alvos para pessoas com más intenções. E o impacto geral de qualquer hack será devastador para o seu negócio.

Mas há boas notícias.

Embora haja uma grande ameaça nociva e persistente, nossa consciência de nós, combinada com o uso das ferramentas certas, ajudará bastante a garantir que nossos sites permaneçam protegidos contra ataques.

Como os sites são hackeados? As 3 Formas Primárias

Ao longo das últimas três décadas da Internet, vemos que os hacks quase sempre caem em três categorias diferentes:

1. Controle de acesso
2. Vulnerabilidades de software
3. Integrações de terceiros

A realidade é que não importa se você está administrando um site para uma Fortune 500 ou sua loja de sapatos local, a maneira como os hackers abordam seu ofício será quase idêntica.

Mas o que varia é como cada negócio individualmente se permite ser explorado em primeiro lugar.

• Grandes organizações costumam usar a desculpa de dizer: “Achamos que outra pessoa estava cuidando da segurança”. Esse tipo de névoa e falta de comunicação é comum em organizações grandes e complexas.
• As pequenas empresas geralmente acreditam que são pequenas demais para que qualquer hacker queira alvejar. Eles geralmente estão sob a falsa suposição de que os hackers não os tocarão. Isso torna fácil perder de vista quanta informação privada realmente pode ser obtida até mesmo do menor site.

Em ambos os casos, os hackers têm incentivos e ferramentas para realizar seus objetivos em áreas onde não há muita vigilância sobre segurança.

Ambientes de sites têm muita atividade

Antes de mergulhar nas especificações de cada tipo de hack, vamos primeiro definir uma base incrivelmente importante para como a web realmente funciona.

Cada site conta com uma série de sistemas que estão interconectados e funcionam em conjunto. Existem componentes como DNS (Domain Name Servers), o servidor web e a infraestrutura que hospeda seus vários servidores e os conecta à Internet.

Mesmo que isso pareça relativamente simples, o ecossistema subjacente é bastante complexo.

Muitos dos componentes individuais são fornecidos por provedores de serviços especializados. Mesmo se você estiver recebendo vários serviços diferentes de um único provedor de serviços, ainda existem inúmeras partes únicas da equação que funcionam por conta própria.

Pense no seu site como um veículo de consumo moderno. Por fora, parece sólido e aerodinâmico, mas por baixo tem inúmeras peças móveis que fazem tudo funcionar.

Para os propósitos deste guia, não é importante que você entenda todos os detalhes sobre como seu site funciona. Mas é importante saber que cada um desses componentes individuais afetará a segurança geral do seu site WordPress.

E cada um deles tem o potencial de contribuir para como seu site é invadido.

1. Controle de acesso

Isso se refere especificamente ao processo de autorização e autenticação. Dito de forma simples, o controle de acesso é como você faz login no seu site WordPress.

E isso vai além da maneira como você faz login no painel de administração do seu site. Como já estabelecemos, existem muitos logins interconectados diferentes que funcionam juntos nos bastidores do seu site.

Ao pensar em controle de acesso, existem seis áreas específicas que você precisa considerar.

Como você:

• Entrar no seu painel de host?
• Entrar no servidor (SSH, SFTP, FTP)?
• Entrar no seu site?
• Entrar no seu computador pessoal?
• Entrar em plataformas de mídia social?
• Armazenar suas credenciais de nome de usuário e senha para cada uma dessas variáveis?

É muito fácil ignorar o controle de acesso. No entanto, cada ponto de acesso individual pode oferecer aos hackers acesso a todo o seu ecossistema.

Um hacker também usará várias táticas diferentes para obter acesso a um único ponto de login inseguro. Pense nisso como um ladrão de casa verificando todas as entradas em potencial e, em seguida, roubando (ou enganando você) cópias de seus códigos de acesso ou chaves de casa.

• Os ataques de força bruta são os mais fáceis de realizar e podem ser a maneira mais eficaz de entrar. Com um ataque de força bruta, o hacker tenta adivinhar as possíveis combinações de nome de usuário e senha em um esforço para fazer login como um usuário confiável do site.
• Os ataques de engenharia social estão crescendo em popularidade. Um hacker cria páginas de phishing projetadas para induzir um usuário a inserir voluntariamente sua combinação de ID e senha.
• Os ataques Cross-Site Scripting (XSS) e Cross-Site Request Forgery (CSRF) envolvem a interceptação das credenciais de login de um usuário por meio do navegador do usuário.
• Os ataques Man in the Middle (MITM) também são usados. Com isso, o nome de usuário e a senha de um usuário são facilmente interceptados quando um usuário trabalha em redes que não são totalmente seguras.
• Keyloggers e malwares adicionais que monitoram os usuários rastrearão as entradas e as reportarão ao hacker que infectou o usuário.

Mas não importa o tipo de ataque perpetrado, o objetivo do hacker é sempre o mesmo: obter acesso direto ao seu site por meio de logins confiáveis.

Independentemente do estilo de ataque, o objetivo é o mesmo: obter acesso direto por meio de logins.

O plugin iThemes Security adiciona mais proteção para a segurança do seu usuário. A segurança do seu site depende de seus usuários terem logins seguros com senhas fortes. É por isso que o iThemes Security oferece várias camadas de segurança para os usuários, incluindo autenticação de dois fatores, dispositivos confiáveis ​​com proteção contra seqüestro de sessão, logins sem senha para verificar a identificação de um usuário e proteção por senha violada. Você pode até mesmo executar verificações de segurança do usuário para auditar e modificar rapidamente os elementos mais críticos da segurança do usuário.

A próxima camada de segurança que o iThemes Security adiciona é a proteção para a parte mais atacada do seu site, a tela de login do WordPress. O iThemes Security oferece dois tipos de proteção de força bruta para observar tentativas de login inválidas feitas em seu site. Depois que um usuário ou bot fizer muitas tentativas consecutivas de login inválido, ele será bloqueado e será impedido de fazer mais tentativas por um determinado período de tempo.

2. Vulnerabilidades de software

Na realidade, a grande maioria dos proprietários de sites WordPress não consegue resolver as vulnerabilidades de segurança do software atual sem um patch recomendado pelo desenvolvedor do software. O problema é que muitos desenvolvedores não levam em conta as ameaças que o código que eles escrevem apresenta ao seu site.

Um pequeno bug que não afeta visivelmente o UX (experiência do usuário) pretendido pode ser explorado para fazer o software fazer coisas que não deveria fazer. E os hackers mais experientes veem esses bugs como vulnerabilidades em potencial.

Uma das maneiras mais comuns de fazer isso é usando um cabeçalho POST malformado ou um URL (Uniform Resource Locator) malformado para iniciar vários ataques diferentes.

Esses incluem:

• Execução Remota de Código (RCE) que permite o controle remoto total do site e sistema de destino
• Inclusão de arquivo remoto/local (R/LFI) que usa a entrada fornecida pelo usuário em campos para fazer upload de arquivos maliciosos em um sistema
• SQL Injection (SQLi) que manipula campos de entrada de texto com código malicioso que envia sequências de ataque ao servidor

De maneira semelhante ao controle de ativos, as vulnerabilidades no software se estendem além do escopo do site. Essas vulnerabilidades podem ser encontradas e exploradas em todas as tecnologias interconectadas das quais um site depende.

E a maioria dos sites atuais usa uma mistura de extensões de terceiros, como plugins e temas do WordPress, que são pontos potenciais de invasão de hackers.

Como plugins vulneráveis, temas e versões principais do WordPress são o maior risco de segurança do seu site, o iThemes Security trabalha na verificação do seu site. Com o iThemes Security Site Scan, você saberá sempre que um plugin, tema ou versão principal do WordPress em seu site estiver vulnerável e precisar de atualização. E ainda melhor... ele executará automaticamente as atualizações para você. O Site Scan é alimentado pelo banco de dados de vulnerabilidades mais abrangente disponível, para que você sempre tenha a proteção mais recente. O Site Scan também se integra ao Google Safe Browsing para verificar o status da lista de bloqueio do seu site e qualquer malware conhecido ou arquivos suspeitos.

Veja como o Site Scan do iThemes Security funciona para proteger seu site:

• Verifica vulnerabilidades no seu site duas vezes por dia – os plugins, temas e versões principais do WordPress do seu site são verificados no banco de dados de vulnerabilidades WPScan para as últimas divulgações de vulnerabilidades.
• Atualiza automaticamente se uma correção de segurança estiver disponível - Emparelhado com o gerenciamento de versões, o iThemes Security atualizará automaticamente um plug-in, tema ou versão principal do WordPress se tiver uma vulnerabilidade.
• Enviar um e-mail para você se a verificação do site detectar uma vulnerabilidade – Você pode receber um relatório por e-mail se o seu site estiver executando versões vulneráveis ​​de um plugin, tema ou núcleo do WordPress. Personalize os endereços de e-mail que recebem os resultados da verificação.

3. Serviços e integrações de terceiros

Por fim, existem as explorações que acontecem por meio de serviços e integrações de terceiros.

Na maioria das vezes, eles assumem a forma de anúncios por meio de uma rede de anúncios que leva a ataques de publicidade maliciosa.

Esses hacks envolverão serviços que você usa com seu site e hospedagem, incluindo variáveis ​​como sua CDN (Content Distribution Network).

As integrações e serviços de terceiros fornecem interconexão suficiente entre diferentes partes de sua experiência de gerenciamento de sites. Na verdade, isso é uma coisa que as pessoas adoram nas opções de sistema de gerenciamento de conteúdo extensível, como WordPress, Drupal e Joomla.

Mas a interconexão também fornece pontos para os hackers explorarem.

Um dos maiores problemas é como os hackers exploram esses serviços e integrações de maneiras que estão além da capacidade do proprietário de um site de controlá-los. Como construtor ou gerente de sites, você depositou muita confiança em provedores terceirizados ao optar por usar uma de suas integrações.

E, claro, muitos são diligentes em proteger suas integrações.

Mas como com outras coisas, há um risco inerente. E é um que os hackers sempre estão de olho.

Uma das maneiras pelas quais o iThemes Security trabalha para proteger o acesso de terceiros é com senhas de aplicativos seguras para XML-RPC e API REST. Esta atualização permite o uso de autenticação de nome de usuário/senha para solicitações da API REST para que você possa bloquear a API REST (por nossa recomendação), enquanto ainda permite que ferramentas externas que usam a API REST se conectem.

Protegendo seu site de ser hackeado

A segurança do site WordPress é importante. Uma grande parte da segurança do site WordPress é educação e conscientização. E simplesmente ler este guia colocou você em uma posição melhor para proteger seu site.

Seguindo em frente, há passos específicos que você precisa tomar. E é nosso objetivo ajudá-lo a alcançá-los. Infelizmente, é só depois que algo já deu errado que tantos proprietários de sites finalmente levam a sério a segurança.

Em vez disso, por que não se antecipar à dor e seguir estas etapas para mantê-lo fora dela:

1. Use os princípios da Defesa em Profundidade. Isso envolve a construção de camadas de segurança como uma cebola. Cada prática torna mais difícil para os hackers entrarem no seu ecossistema.
2. Aproveite a melhor prática dos menos privilegiados. Certifique-se de limitar o que o login de cada usuário do site permite que eles façam.
3. Crie autenticação de dois fatores e autenticação multifator sempre que puder. Isso protegerá ainda mais esses pontos de acesso de usuários específicos.
4. Use um firewall de site. Isso fará maravilhas ao limitar como os hackers tentam explorar vulnerabilidades no software.
5. Agende backups regularmente. Baixe e instale o plugin de backup BackupBuddy WordPress como sua solução para isso. Dessa forma, se seu site for invadido, você poderá recuperá-lo com apenas alguns cliques.
6. Obtenha a perspectiva dos principais motores de busca. O Bing Webmaster Tools e o Google Search Console fornecem relatórios úteis sobre como eles veem a segurança do seu site.

A melhor maneira de cobrir essas bases de segurança como proprietário de um site WordPress é usando o plugin iThemes Security Pro.

Então entenda que não há uma maneira infalível de se manter 100% seguro o tempo todo. As ferramentas que você emprega no ambiente do seu site reduzirão significativamente seu risco geral. Mas a segurança não é uma ação ou evento único. É uma série de ações.

E tudo começa com uma ótima ferramenta como o iThemes Security Pro, que o ajudará a descobrir como proteger melhor seu site.

Agora que você sabe o que fazer e o que está procurando, sem dúvida encontrará um dos cenários de segurança que abordamos neste guia. Mas agora, você saberá melhor o que fazer para remediar o problema.

O melhor plug-in de segurança do WordPress para proteger e proteger o WordPress

Atualmente, o WordPress alimenta mais de 40% de todos os sites, por isso se tornou um alvo fácil para hackers com intenções maliciosas. O plug-in iThemes Security Pro elimina as suposições da segurança do WordPress para facilitar a segurança e a proteção do seu site WordPress. É como ter um especialista em segurança em tempo integral na equipe que monitora e protege constantemente seu site WordPress para você.

Obtenha o iThemes Security Pro

Kristen Wright

Kristen escreve tutoriais para ajudar os usuários do WordPress desde 2011. Como diretora de marketing aqui na iThemes, ela se dedica a ajudá-lo a encontrar as melhores maneiras de construir, gerenciar e manter sites WordPress eficazes. Kristen também gosta de escrever no diário (confira seu projeto paralelo, The Transformation Year !), caminhadas e acampamentos, aeróbica, culinária e aventuras diárias com sua família, esperando viver uma vida mais presente.