O que são ataques de hack WordPress direcionados e não direcionados
Publicados: 2014-07-08Se você estiver lendo sobre segurança do WordPress e procurando por hacks e ajustes de segurança do WordPress para aplicar aos seus plugins de segurança do WordPress ou WordPress para protegê-lo contra ataques de hackers, você notará que existem dois tipos de ataques, hack do WordPress direcionado e não direcionado ataques.
Qual é a diferença entre ataques direcionados e não direcionados ao WordPress e como você pode proteger seu WordPress desses dois ataques? Este artigo explica a diferença entre esses dois tipos de ataques de hack e explica por que alguns ou os ajustes e hacks do WordPress podem protegê-lo de um tipo de ataque e não do outro, e vice-versa.
Ataque de hack do WordPress não direcionado
Os ataques de hackers do WordPress não direcionados são ataques automatizados e não são lançados especificamente apenas contra sites do WordPress. Por exemplo, se os hackers estão tentando explorar uma vulnerabilidade conhecida em uma versão antiga do WordPress, eles não procuram manualmente os sites do WordPress, verificam sua versão e verificam se estão vulneráveis a tal vulnerabilidade ou não.
Em vez disso, eles usam ferramentas automatizadas para enviar solicitações HTTP específicas que são usadas para explorar a vulnerabilidade para vários sites, geralmente um intervalo de endereços IP. Dependendo das respostas HTTP recebidas de volta, a ferramenta determina se o site de destino é uma instalação vulnerável do WordPress ou não.
Proteja o WordPress de ataques não direcionados
Portanto, se você ocultar sua versão do WordPress, ou até mesmo ocultar o fato de estar usando o WordPress para seus sites, não estará protegendo seu site contra ataques de hackers não direcionados ao WordPress. Para proteger o WordPress de ataques de hackers não direcionados, siga as recomendações abaixo:
- Mantenha todo o seu software atualizado; sempre use a versão mais recente e segura do WordPress, plugins e temas que você usa. Isso também se aplica ao MySQL, Apache e qualquer outro software que esteja rodando em seu ambiente web.
- Sempre desinstale e remova quaisquer plugins, temas e quaisquer outros componentes e arquivos desnecessários que não estejam sendo usados.
- Não use nomes de usuário típicos, como admin, administrador e root para sua conta de administrador do WordPress. Se você renomear a conta de administrador do WordPress.
- Proteja as páginas de login e administração do WordPress adicionando uma camada adicional de autenticação. Leia Proteger a página de login do WordPress com autenticação HTTP para obter mais informações.
- Use senhas fortes; isso não se aplica apenas ao WordPress, mas a qualquer outro serviço ou site que você use online. Se você tiver vários usuários usando o WordPress, use um plug-in para criar políticas de senha do WordPress para garantir que os usuários usem senhas fortes.
Ataque de hack do WordPress direcionado
Os ataques de hackers direcionados são direcionados especificamente para seus sites e blogs. Existem várias razões pelas quais seu site WordPress pode ser vítima de um ataque direcionado e o motivo pelo qual seu WordPress é vítima de um ataque direcionado não é importante. O importante é entender o que acontece em um ataque direcionado para que você possa proteger melhor seus sites e blogs WordPress.
Os ataques direcionados são mais perigosos do que os não direcionados, simplesmente porque, em vez de ter um número de ferramentas automatizadas varrendo sites aleatoriamente, há um ser humano analisando todos os detalhes do seu site na esperança de encontrar algo que possa ser explorado.
Anatomia de um ataque direcionado ao WordPress
A princípio, o invasor usará ferramentas automatizadas para verificar se sua versão do WordPress está vulnerável a alguma vulnerabilidade conhecida. Como são usadas ferramentas automatizadas, ocultar a versão do seu WordPress não ajuda em tais cenários.
O invasor também tentará determinar quais plugins estão sendo executados no seu WordPress e se algum deles está vulnerável a uma vulnerabilidade específica. Novamente, a maioria dessas tarefas é feita usando ferramentas automatizadas.
Os links mais fracos na segurança do WordPress são normalmente as credenciais. Portanto, usando ferramentas automatizadas, o invasor tentará enumerar todos os usuários do WordPress e até mesmo lançar um ataque de dicionário de senhas contra o WordPress.
Existem muitas outras maneiras e meios de hackear um blog ou site do WordPress e os ataques direcionados não tiram vantagem especificamente de uma falha de segurança no WordPress ou em um de seus componentes. Também pode ser uma falha de segurança no software ou configuração do servidor da Web, etc., mas os três acima são os pontos de entrada de ataque de hack mais comuns.
Proteja o WordPress de ataques direcionados
Existem muitos hacks e ajustes do WordPress que você pode aplicar para proteger seu WordPress de um ataque de hack direcionado, conforme destacado na lista abaixo:
- Para começar, tudo o que se aplica para proteger seu WordPress de ataques não direcionados do WordPress também se aplica a ataques direcionados
- Proteja e proteja sua conta de administrador do WordPress
- Habilite o WordPress SSL para acessar sua página de login e páginas de administração do WordPress em uma camada de comunicação criptografada para evitar que seus nomes de usuário e senha do WordPress sejam sequestrados
- Use um plug-in de monitoramento e auditoria de segurança do WordPress para acompanhar tudo o que está acontecendo no seu WordPress e identificar qualquer atividade suspeita antes que se torne um problema de segurança
- Use as funções de usuário do WordPress para melhorar a segurança do WordPress, garantindo que cada usuário tenha apenas os privilégios mínimos necessários para fazer o trabalho
- Use o scanner de caixa preta de segurança WPScan WordPress e outras ferramentas para verificar e auditar com frequência seu site WordPress.
Protegendo o WordPress de todos os tipos de ataques de hackers
De tempos em tempos, você pode ler sobre um ajuste de segurança específico do WordPress que algumas pessoas dizem que funciona, enquanto outros dizem que não, como ocultar sua versão do WordPress. Nesse caso, sabemos que ocultar a versão do WordPress não melhora sua segurança, então por que implementar esse ajuste em primeiro lugar? Se você tiver dúvidas sobre um ajuste específico, se o ajuste não afetar o desempenho do seu WordPress e for fácil de implementar, vá em frente e implemente-o. Melhor prevenir do que remediar!
Além das dicas acima, existem muitas outras maneiras de melhorar a segurança de seus blogs e sites WordPress e protegê-los contra ataques de hackers WordPress direcionados e não direcionados. Idealmente, você deve se manter atualizado assinando um blog de segurança do WordPress, onde são publicadas dicas, hacks e ajustes frequentes de segurança do WordPress.