22 maneiras pelas quais o WordPress é vulnerável a tentativas de hackers

WordPress é incrivelmente popular. Não há como contornar esse fato.

A partir de 2022, o WordPress atualmente possui 64,3% da participação de mercado de sites que possuem um CMS identificável, de acordo com a W3Techs.

O WordPress é especialmente vulnerável a ataques maliciosos não porque é inseguro, mas porque é muito popular.

Mas, assim como o Homem-Aranha disse, “com grandes poderes vêm grandes responsabilidades”, algo semelhante pode ser dito do WordPress. Ou seja, “com grande popularidade vem um grande aumento nas tentativas de hackers”.

Agora, não deixe isso te derrubar.

Sim, o WordPress está recebendo mais tentativas de hackers do que outros CMS. Mas ainda é uma ótima plataforma para usar.

Na verdade, basta implementar algumas soluções simples para proteger seu site da grande maioria dos ataques.

Neste artigo, exploraremos os motivos mais comuns pelos quais os sites do WordPress são invadidos e como corrigir essas vulnerabilidades rapidamente.

Por que as pessoas hackeiam sites em primeiro lugar?

De um modo geral, existem quatro razões pelas quais alguém pode querer invadir seu site WordPress:

1. Para inserir código malicioso ou conteúdo que possa prejudicar seus visitantes de alguma forma. Isso é conhecido como um “ataque malicioso”. Esses ataques de malware representam cerca de 64% dos hacks do WordPress, de acordo com a Sucuri Security.
2. Para usar os recursos do seu site para seus próprios fins. Por exemplo, para ajudar como parte de um botnet em um ataque de “negação de serviço” ou “DDoS”.
3. Para usar scripts entre sites. Isso funciona fazendo com que alguém carregue sites que tenham JavaScript inseguro neles. Esses scripts roubam dados do navegador e representam cerca de 54% das vulnerabilidades de segurança do WordPress a partir de 2022, de acordo com a iThemes.
4. Para sequestrar seu site para uso em um esquema de phishing. Em outras palavras, enganar seus visitantes para que forneçam informações pessoais, como senhas ou números de cartão de crédito.

O objetivo final de todos esses métodos é quase sempre roubar informações. Esta informação é usada para roubar a identidade de uma pessoa ou para roubar dinheiro.

Felizmente, com apenas algumas soluções simples, você pode proteger seu site da maioria dos hackers.

22 razões pelas quais os sites do WordPress são invadidos com frequência e como corrigi-los

Então você definitivamente quer usar o WordPress, mas gostaria de evitar a possibilidade de ser hackeado. Parece correto?

Você está com sorte!

Reunimos 22 razões diferentes pelas quais os sites WordPress em particular são invadidos.

Também mostramos o que você pode fazer sobre isso e como defender seu site o máximo possível.

1. O WordPress é fácil de explorar

No topo da nossa lista hoje está o fato de que o WordPress é fácil de explorar. Como o WordPress é de código aberto, qualquer pessoa pode visualizar o código. Assim, uma vez que uma vulnerabilidade é encontrada, ela está disponível para todos verem e potencialmente explorarem.

Como corrigi-lo:

Embora você não possa fazer nada sobre o fato de o WordPress ser um alvo, você pode tomar medidas para garantir que seu site seja o mais seguro possível.

Falaremos mais sobre como fazer isso mais adiante neste artigo, mas, por enquanto, saiba que é importante manter a instalação do WordPress atualizada, usar senhas fortes e instalar um plug-in de segurança.

2. O WordPress é super popular

Como acabamos de discutir anteriormente, o WordPress é um dos sistemas de gerenciamento de conteúdo mais populares do mundo.

Infelizmente, isso significa que também é o principal alvo dos hackers.

Eles sabem que, se puderem investir tempo para encontrar uma vulnerabilidade no WordPress, poderão explorar muitos sites com essa mesma vulnerabilidade.

Como corrigi-lo:

A melhor maneira de combater isso é manter sua instalação, temas e plugins do WordPress atualizados.

Quando um novo patch de segurança é lançado para o WordPress, é importante atualizar seu site o mais rápido possível. Dessa forma, você pode ter certeza de que está menos suscetível a qualquer uma das vulnerabilidades conhecidas.

Mas mais sobre isso daqui a pouco.

3. Os sites WordPress geralmente carecem de medidas básicas de segurança

Muitos usuários do WordPress não tomam as medidas necessárias para proteger seus sites. Isso é apenas um fato.

Agora, eles podem não perceber o quão fácil é fazer ou podem não pensar que seu site é um alvo.

Mas, a verdade é que mesmo um pequeno site pode ser alvo de hackers. Se você não tomar as medidas necessárias para proteger seu site, ele será um alvo fácil.

Como corrigi-lo

O primeiro passo é se informar sobre as medidas básicas de segurança que você deve tomar para proteger seu site WordPress.

Para alguns, isso significará instalar um plugin de segurança. Para outros, isso significa embarcar em um protocolo de endurecimento.

A boa notícia é que este post cobre a maior parte do que você precisa saber.

4. Os sites WordPress geralmente são hospedados em servidores compartilhados

Outra razão pela qual os sites do WordPress são vulneráveis ​​​​a tentativas de hackers é porque geralmente são hospedados em servidores compartilhados.

Muitos proprietários de sites não percebem que o servidor em que seu site está hospedado pode ter um grande impacto na segurança de seu site.

Se o servidor em que seu site está hospedado não estiver devidamente protegido, ele poderá deixar seu site aberto a ataques.

Como corrigi-lo

O primeiro passo é certificar-se de que você está usando uma empresa de hospedagem respeitável.

Faça algumas pesquisas e leia as avaliações para encontrar uma empresa de hospedagem que leve a segurança a sério. Gostamos particularmente de SiteGround, DreamHost e Hostinger.

Depois de encontrar uma boa empresa de hospedagem, certifique-se de que seu site esteja hospedado em um servidor seguro.

5. Senhas ruins (e não forçar as fortes) sem autenticação de dois fatores

Todos nós já ouvimos isso um milhão de vezes, mas vale a pena repetir: uma das maneiras mais simples de proteger seu site WordPress é usar senhas fortes.

Muitos proprietários de sites WordPress não seguem esse conselho e usam senhas fracas que são fáceis de adivinhar.

Pior ainda, alguns usuários do WordPress não forçam seus usuários a usar senhas fortes com autenticação de dois fatores também. Isso torna os ataques de força bruta ainda mais prováveis.

Como corrigi-lo

Alterar sua senha para algo mais difícil de adivinhar é o primeiro passo.

Sua senha deve ter pelo menos 8 caracteres e deve incluir uma mistura de letras maiúsculas e minúsculas, números e símbolos.

Se você não tiver certeza de como criar uma senha forte, poderá usar um gerador de senhas para criar uma para você.

Algumas boas opções incluem:

• Gerador de senhas LastPass
• Gerador de senha forte
• Gerenciador de senhas do Norton

Depois de ter uma senha forte, a próxima etapa é garantir que seus usuários também estejam usando senhas fortes.

Você pode fazer isso forçando-os a usar senhas fortes ao criar uma conta.

Para fazer isso, você precisará instalar um plug-in de segurança. O Password Policy Manager é uma boa opção gratuita.

Instale e ative este plug-in como faria com qualquer outro e clique em Política de senha miniOrange no painel do WordPress.

A partir daqui, você pode configurar suas regras de senha.

Selecione o número necessário de caracteres e decida se deseja forçar os usuários a usar letras maiúsculas e minúsculas, números e caracteres especiais.

6. Sem medidas de endurecimento

Outro erro de segurança comum que os proprietários de sites WordPress cometem é não tomar nenhuma medida de proteção.

Medidas de proteção são etapas que você pode seguir para tornar seu site WordPress mais seguro. Geralmente são coisas simples que você pode fazer, como alterar o prefixo do banco de dados padrão ou remover o arquivo leia-me.

Mas, mesmo sendo simples, eles podem fazer uma grande diferença na segurança do seu site.

Como corrigi-lo

A proteção do WordPress pode assumir várias formas. Mas, uma das coisas mais simples que você pode fazer é alterar o prefixo do banco de dados padrão.

Conecte-se ao seu site WordPress através do seu cliente FTP favorito e adicione a seguinte linha ao seu arquivo wp-config.php :

 $table_prefix = 'wp_';

Outra medida simples de proteção que você pode tomar é remover o arquivo leia-me. Você pode fazer isso excluindo o arquivo readme.html do seu diretório WordPress.

Uma das melhores maneiras de implementar uma gama completa de práticas de proteção é instalar um plug-in de segurança, o que nos leva ao próximo ponto.

Temos um post dedicado a personalizar o arquivo wp-config aqui.

7. Nenhum plug-in de segurança

Uma das coisas mais importantes que você pode fazer para proteger seu site WordPress é instalar um plugin de segurança.

Um plug-in de segurança adicionará uma camada extra de proteção ao seu site e poderá ajudá-lo a corrigir rapidamente quaisquer problemas de segurança que surgirem.

E a melhor parte é que um plugin como este é relativamente prático – basta configurá-lo e seu site estará protegido.

Como corrigi-lo:

O primeiro passo é encontrar um bom plugin de segurança para o seu site WordPress. Há muitas ótimas opções por aí.

Aqui estão alguns dos melhores desempenhos:

Segurança Sucuri

Este plugin é uma ótima opção para proprietários de sites WordPress que procuram uma solução de segurança abrangente.

Inclui recursos como verificação de malware, monitoramento de lista negra e remoção remota de malware.

MalCare

Outra ótima opção é o MalCare. Ele fornece uma gama completa de recursos de segurança, incluindo verificação completa do site, firewall em tempo real e ferramentas de remoção de malware. Ele também oferece esses recursos de proteção do site sem comprometer a velocidade do site.

Depois de escolher um plugin, instale-o e configure-o de acordo com as instruções do plugin.

8. Permissões de arquivo incorretas

Outro erro de segurança comum que os proprietários de sites WordPress cometem é não definir as permissões de arquivo corretas.

As permissões de arquivo determinam quem pode ler, gravar e executar um arquivo. Se eles não estiverem configurados corretamente, isso pode deixar seu site WordPress vulnerável a ataques.

Como corrigi-lo

O primeiro passo é se conectar ao seu site WordPress usando um cliente FTP.

Quando estiver conectado, dê uma olhada nas permissões para os seguintes arquivos e diretórios:

• wp-admin
• wp-inclui
• wp-conteúdo

Esses arquivos e diretórios devem ter a permissão 755.

Os números denotam as permissões reais:

• 3 = (2 + 1) = Gravar + Executar
• 5 = (4 + 1) = Ler + Executar
• 6 = (4 + 2) = Ler + Gravar
• 7 = (4 + 2 + 1) = Ler + Gravar + Executar

Então 755 dá ler + escrever + executar para qualquer um que seja um usuário registrado. Isso não é o ideal.

Em seguida, dê uma olhada nas permissões para os seguintes arquivos:

• index.php
• wp-login.php
• wp-blog-header.php

Esses arquivos devem ter uma permissão de 644.

Saiba mais sobre permissões de arquivo aqui.

9. Muitos usuários com privilégios de administrador

Dar privilégios de administrador a muitos usuários é outro erro de segurança crucial que pode colocar seu site em risco.

Privilégios de administrador dão ao usuário controle total sobre um site WordPress. Se uma conta de usuário com privilégios de administrador for invadida, isso pode deixar todo o seu site vulnerável.

Como corrigi-lo

Certifique-se de que todos os usuários em seu site tenham apenas o nível de permissões necessário para concluir o trabalho com eficiência. É aí que entram as funções do usuário.

Um colaborador ocasional não precisa ser um administrador. Em vez disso, selecione Colaborador ou Escritor ao criar sua conta.

Se você precisar ajustar a função de usuário de um usuário existente, basta acessar Usuários > Todos os usuários no painel do WordPress e clicar no nome do usuário para o qual deseja fazer alterações.

Role para baixo até ver um menu suspenso ao lado de Função . Clique nele e selecione a função de usuário apropriada para este usuário.

Quando terminar de fazer as alterações, role para baixo até a parte inferior da página e clique em Atualizar usuário .

Saiba mais sobre as funções de usuário do WordPress.

10. Não usar logs de atividades

Manter um registro de atividades é uma das melhores maneiras de monitorar seu site WordPress em busca de atividades suspeitas.

Um log de atividades rastreará todas as alterações feitas no seu site WordPress. E, se algo suspeito acontecer, você poderá identificá-lo rapidamente e agir.

Assim, você pode ver como, se não estiver de olho no site deles, poderá estar perdendo importantes ameaças de segurança.

Como corrigi-lo

O primeiro passo é encontrar um bom plugin de log de atividades para o seu site WordPress.

Existem algumas ótimas opções por aí, mas uma das melhores é o plugin WP Activity Log.

Depois de instalar e ativar o plug-in, ele começará a rastrear todas as alterações feitas no seu site WordPress, o que torna muito mais fácil ver quando algo malicioso está acontecendo.

11. Arquivos principais do WordPress desatualizados

Uma das coisas mais importantes que você pode fazer para manter seu site WordPress seguro é garantir que os arquivos principais estejam sempre atualizados.

O WordPress lança novas versões de seu software regularmente. Cada nova versão inclui correções de segurança para quaisquer vulnerabilidades conhecidas.

Se você não estiver executando a versão mais recente do WordPress, seu site pode estar vulnerável a ataques.

Como corrigi-lo

A maneira mais fácil de atualizar seus arquivos principais do WordPress é fazer login no painel do WordPress e clicar no link Atualizações na parte superior da tela.

Se houver atualizações disponíveis, você verá uma mensagem informando que há uma nova versão do WordPress disponível.

Clique no botão Atualizar agora para atualizar seus arquivos do WordPress. Sempre recomendamos fazer backup do seu site antes de atualizar, apenas por precaução.

12. Temas e plugins desatualizados

Além de manter seus arquivos principais do WordPress atualizados, você também precisa garantir que seus temas e plugins estejam sempre atualizados.

Assim como o WordPress Core, temas e plugins são atualizados regularmente para corrigir vulnerabilidades de segurança e adicionar novos recursos.

Se você estiver usando um tema ou plugin desatualizado, seu site pode estar em risco.

Como corrigi-lo

Faça login no seu painel do WordPress e clique no link Atualizações na barra lateral esquerda.

Se houver atualizações disponíveis para seus temas ou plugins, você verá uma mensagem informando que há uma nova versão disponível.

13. Temas e plugins mal codificados

Às vezes, nenhuma quantidade de atualizações pode corrigir um problema com um plugin ou tema. Você tem que ter cuidado com quais temas e plugins você está usando em primeiro lugar.

Alguns temas e plugins são mal codificados e podem introduzir vulnerabilidades de segurança no seu site WordPress.

Como corrigi-lo

Para evitar isso, baixe apenas temas e plugins de fontes confiáveis. O melhor lugar para encontrar temas e plugins respeitáveis ​​são os diretórios de temas e plugins do WordPress.org.

Você também pode acessá-los de desenvolvedores altamente conceituados no setor, como nós aqui na Brainstorm Force.

Se você não tiver certeza sobre a reputação do desenvolvedor por trás de qualquer plugin ou tema que esteja usando, talvez seja melhor encontrar uma alternativa.

Na verdade, oferecemos várias recomendações de plugins que você pode querer conferir.

14. Falha ao excluir temas e plugins não utilizados

Outra vulnerabilidade é ter muitos plugins ou temas instalados.

Se algum tema e plug-in não utilizado tiver vulnerabilidades de segurança, seu site poderá estar em risco. Isso é ainda mais provável quando você não os está usando, pois é menos provável que você execute atualizações.

Como corrigi-lo

Passe por todos os temas e plugins que você instalou no seu site WordPress. Se houver algum que você não esteja usando, exclua-o.

Isso também mantém seu banco de dados organizado, além de outros benefícios!

15. Sem backups

Não importa o quão bem você proteja seu site WordPress, sempre há uma chance de que algo dê errado.

Por exemplo, você pode excluir acidentalmente arquivos importantes ou seu site pode ser invadido.

Se algo assim acontecer e você não tiver um backup do seu site, poderá perder todo o seu conteúdo.

É por isso que é importante criar backups regulares do seu site WordPress. Dessa forma, se algo der errado, você poderá restaurar seu site.

Como corrigi-lo

Existem muitos plugins do WordPress que podem ajudá-lo a criar backups do seu site. As opções populares incluem:

UpdraftPlus

UpdraftPlus é um dos plugins WordPress mais populares para criar backups. Ele permite que você crie backups dos arquivos, bancos de dados e plugins do seu site.

Você pode restaurar seu site a partir desses backups se algo der errado.

O UpdraftPlus também possui vários outros recursos, incluindo a capacidade de fazer backup automático do seu site em uma programação.

Kinsta

Você também pode usar uma opção de hospedagem gerenciada do WordPress que inclui backups regulares como parte de seu serviço. Kinsta é a nossa opção favorita que oferece isso.

Recomendamos ter seu próprio mecanismo de backup, independentemente de você usar backups hospedados ou não. Você nunca pode ser muito cuidadoso!

16. Acesso limitado aos arquivos do WordPress

Outro risco de segurança ao usar a hospedagem compartilhada do WordPress é que você pode não ter acesso total aos seus arquivos do WordPress.

Alguns provedores de hospedagem limitam a quantidade de acesso que seus clientes têm aos seus arquivos do WordPress. Isso pode dificultar a proteção adequada do seu site.

Como corrigi-lo

A melhor maneira de evitar esse problema é usar um provedor de hospedagem WordPress que lhe dê acesso total aos seus arquivos WordPress.

17. Não usar um firewall

Um firewall é um software que ajuda a proteger seu site contra ataques. Ele faz isso bloqueando o tráfego de entrada que considera malicioso.

Se você não estiver usando um firewall em seu site WordPress, ele estará mais vulnerável a ataques.

Como corrigi-lo

Existem muitos plugins do WordPress que podem ajudá-lo a adicionar um firewall ao seu site.

As opções populares incluem:

• Firewall de aplicativos Web da Sucuri
• Segurança do Wordfence
• Cloudflare

Algumas opções são gratuitas, outras premium. Sugerimos ler as avaliações e conferir os recursos para tomar uma decisão.

18. Principal alvo de ataques DDoS

Sites WordPress são frequentemente alvo de ataques DDoS.

Os ataques DDoS são um tipo de ataque em que o invasor tenta sobrecarregar seu servidor com tráfego para deixar seu site offline.

Se você não estiver preparado para um ataque DDoS, seu site poderá ficar offline por um período de tempo.

Como corrigi-lo

A melhor maneira de proteger seu site WordPress contra ataques DDoS é usar um provedor de hospedagem WordPress que ofereça proteção DDoS ou um CDN como Cloudflare.

19. Alvo principal para ataques de cross-site scripting (XSS)

Os ataques de script entre sites (XSS) são um tipo de ataque em que o invasor tenta injetar código malicioso em seu site.

Se for bem-sucedido, esse código poderá ser usado para roubar informações dos visitantes do seu site.

Como corrigi-lo

A melhor maneira de proteger seu site WordPress contra ataques XSS é usar um plug-in de segurança do WordPress que inclua proteção XSS.

Você pode aprender mais sobre o XSS e a ameaça que ele representa aqui.

O Prevent XSS Vulnerability é uma opção ótima e direta para essa tarefa.

20. Alvo principal para injeção de malware

Malware é um tipo de software projetado para danificar ou desativar seu site.

Ele pode ser injetado em seu site de várias maneiras, inclusive por meio de plugins e temas inseguros.

Se o seu site estiver infectado com malware, pode ser difícil removê-lo. E, em alguns casos, pode ser necessário reconstruir completamente seu site.

Como corrigi-lo

A melhor maneira de proteger seu site WordPress contra malware é usar um plug-in de segurança do WordPress que inclui verificação e remoção de malware. O MalCare, especificamente, é ideal para isso.

21. Formulários de contato inseguros

Os formulários de contato são um recurso comum dos sites do WordPress e geralmente são usados ​​para coletar informações confidenciais, como números de cartão de crédito e endereços residenciais.

Se seus formulários de contato não estiverem devidamente protegidos, essas informações podem ser roubadas por hackers.

Como corrigi-lo

Seu site precisa ter um certificado SSL para processar adequadamente informações confidenciais por meio de formulários de contato. Depois de ter isso, você pode usar um plug-in de segurança do WordPress para ajudar a proteger seus formulários de contato também.

Aqui estão mais algumas informações sobre como criar formulários de contato seguros.

22. Página de login não segura

A página de login é uma das páginas mais importantes do seu site WordPress. É também um dos mais vulneráveis.

Se sua página de login não estiver devidamente protegida, os hackers podem obter acesso ao seu site adivinhando seu nome de usuário e senha.

Como corrigi-lo

Você pode tornar o login do seu site mais seguro movendo sua URL. Dessa forma, não é tão fácil para os hackers encontrarem. Você pode fazer isso usando um plugin de segurança do WordPress ou adicionando algumas linhas de código ao arquivo .htaccess do seu site.

Uma vez conectado ao seu site via FTP, navegue até o diretório /wp-content/ . Dentro deste diretório, procure um arquivo chamado .htaccess . Se você não o vir, certifique-se de que seu cliente FTP esteja configurado para mostrar arquivos ocultos.

Adicione o seguinte código ao topo do seu arquivo .htaccess :

Rewrite Engine On

RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$

Regra de regravação ^(.*)$ –

Salve suas alterações e carregue o arquivo de volta para o seu servidor.

Temos um post inteiro dedicado à sua página de login do WordPress aqui.

Proteja seu site WordPress contra tentativas de hackers e aproveite a segurança do site

Neste artigo, listamos 22 maneiras de hackear o WordPress. Também fornecemos dicas sobre como corrigir essas vulnerabilidades.

Se você seguir essas dicas, poderá ajudar a proteger seu site WordPress contra tentativas de hackers. E você pode ficar tranquilo sabendo que seu site é seguro!

Boa sorte!