5 ataques mais comuns no WordPress e como evitá-los

Publicados: 2023-04-19

Você está preocupado que hackers ataquem seu site WordPress? Gostaríamos de ter dito para você não se preocupar, mas a verdade é que os sites WordPress são constantemente alvo de hackers. Isso se deve principalmente à sua popularidade, já que o WordPress alimenta um terço de todos os sites da Internet.

Embora o próprio WordPress seja uma plataforma segura de criação de sites, ele não funciona sozinho. Você precisa de plugins e temas para executar um site WordPress. Plugins e temas geralmente desenvolvem vulnerabilidades que os hackers exploram para invadir um site.

Assim que tiverem acesso ao seu site, eles executam todos os tipos de atividades maliciosas, como roubar informações confidenciais, fraudar clientes e exibir conteúdo ilegal. Enquanto isso, seu site pode ser sinalizado com um aviso nos resultados da pesquisa ou pode ser colocado na lista negra do Google ou até mesmo suspenso pelo seu host. Tudo isso leva à perda de visitantes e receita.

Embora os desenvolvedores do WordPress mantenham a plataforma segura, os proprietários de sites WordPress também precisam tomar medidas por conta própria. Neste artigo, discutimos os ataques mais comuns a sites WordPress e as medidas preventivas que você pode tomar contra eles.

TL;DR: Se você está preocupado com hackers atacando seu site WordPress, você pode tomar medidas de proteção imediatamente. Você pode instalar nosso plugin de segurança WordPress MalCare. Ele verificará e monitorará seu site todos os dias e impedirá que hackers tentem invadi-lo.

[lwptoc skipHeadingLevel=”h1,h3,h4,h5,h6″ skipHeadingText=”Pensamentos Finais”]

Por que o WordPress é um alvo popular para hackers?

O WordPress é uma plataforma de criação de sites que permite a qualquer pessoa criar sites sem saber como codificar. Além disso, o WordPress é gratuito.

Como resultado, a plataforma está alimentando mais de 1,3 bilhão de sites ativos hoje.

A desvantagem de tudo isso é que os sites do WordPress são mais direcionados do que os sites criados em qualquer outra plataforma.

Agora, existem várias maneiras pelas quais os hackers podem invadir seu site. Nós reduzimos para os 5 mais comuns. Explicaremos o que acontece e como você pode proteger seu site WordPress contra isso.

5 ataques mais comuns em sites WordPress

1. Plugins e Temas Vulneráveis

Um site WordPress é criado usando três elementos – a instalação principal, temas e plugins. Todos os três elementos têm o potencial de tornar um site vulnerável a hacks.

Por muitos anos, não houve nenhuma vulnerabilidade importante no núcleo do WordPress. É mantido por uma equipe de desenvolvedores altamente experientes e qualificados. Eles trabalham duro para garantir que a plataforma seja completamente segura, para que você não tenha nada com que se preocupar.

No entanto, os plugins e temas do WordPress são criados por desenvolvedores terceirizados e tendem a desenvolver vulnerabilidades do WordPress com bastante frequência.

Quando os desenvolvedores descobrem qualquer vulnerabilidade, eles a corrigem imediatamente e lançam uma versão atualizada.

atualização do wordpress

Você, o proprietário do site, precisa atualizar para a versão mais recente e seu site estará seguro. É importante instalar essas atualizações de segurança imediatamente. Isso ocorre porque quando os desenvolvedores lançam uma atualização, eles também divulgam os motivos da atualização. Assim, a vulnerabilidade é anunciada ao público.

Isso significa que os hackers agora sabem que existe uma vulnerabilidade. Eles também sabem que nem todos os proprietários de sites atualizam seus sites imediatamente. Então, quando descobrem que um plugin ou tema é vulnerável, eles programam bots e scanners para rastrear a internet e encontrar sites que os estão usando. Saber exatamente qual é a vulnerabilidade torna mais fácil para eles explorar, invadir e inserir malware como wp feed malware etc;.

Como proteger seu site contra plugins e temas vulneráveis

  1. Use apenas temas e plugins confiáveis ​​encontrados no repositório do WordPress ou em mercados como ThemeForest e Code Canyon.
  2. Verifique sua lista de plug-ins regularmente e mantenha apenas os que você usa. Exclua aqueles que você não precisa ou está inativo.
  3. Examine seu tema regularmente e, idealmente, você deve manter apenas o tema que está usando ativamente.
  4. Nunca use temas e plugins piratas. Eles geralmente contêm malware que infectará seu site.
  5. Certifique-se de reconhecer todos os plugins e temas em seu site. Às vezes, os hackers instalam seus próprios plug-ins e temas com backdoors de sites instalados. Isso dá a eles um acesso secreto ao seu site.

2. Ataques de Força Bruta

Para acessar seu site WordPress, você precisa inserir suas credenciais de login, ou seja, um nome de usuário e senha.

Muitas vezes, os proprietários de sites WordPress usam nomes de usuário e senhas fáceis de lembrar. Muitos usuários do WordPress mantêm o nome de usuário padrão 'admin'. As senhas comuns incluem 'password123' ou '1234567'.

Os hackers estão bem cientes disso e atacam a página de login dos sites WordPress.

página de login wordpress

Eles criam um banco de dados de nomes de usuários e senhas comumente usados. Em seguida, eles programam bots para atingir sites WordPress e tentam diferentes combinações presentes em seu banco de dados.

Se suas credenciais de login forem fracas, os bots têm grandes chances de adivinhar e invadir seu site. Isso é conhecido como 'Ataques de Força Bruta' e estima-se que eles tenham uma taxa de sucesso de 10%!

Como proteger seu site contra força bruta

Existem algumas etapas que você pode seguir para proteger seu site contra ataques de força bruta:

  1. Por padrão, seu nome de usuário do WordPress é admin. Você pode alterá-lo de administrador para algo mais exclusivo.
  2. Use uma senha forte do WordPress. Sugerimos usar uma senha em combinação com numerais e símbolos como Birdsofafeather123$.
  3. Use credenciais exclusivas que você não usou em outros sites.
  4. Limite o número de tentativas de login em seu site. Isso significa que um usuário do WordPress terá apenas chances limitadas de inserir as credenciais corretas, como 3 tentativas ou 5 tentativas. Depois disso, eles precisarão usar a opção 'esqueci a senha'. Você pode instalar nosso plug-in de segurança MalCare em seu site e ele implementará automaticamente essa proteção de login para você.
  5. Use a autenticação de dois fatores em que um usuário do WordPress precisa inserir suas credenciais junto com uma senha única gerada em seus smartphones ou enviada para o endereço de e-mail registrado.

3. Ataques de Injeção

Quase todo site tem um campo de entrada como um formulário de contato, uma barra de pesquisa do site ou uma seção de comentários que permite aos visitantes inserir dados. Alguns sites também permitem que os visitantes carreguem documentos e arquivos de imagem.

Normalmente esses dados são aceitos e enviados para seu banco de dados para serem processados ​​e armazenados. Esses campos precisam de configuração adequada para validar e limpar os dados antes de irem para o seu banco de dados. Isso garantirá que apenas dados válidos sejam aceitos. Se faltarem essas medidas, os hackers o exploram e inserem códigos maliciosos.

Vamos dar um exemplo de um site WordPress que possui um formulário de contato. Idealmente, este formulário deve aceitar um nome, um endereço de e-mail e um número de telefone.

Formulário de Contato
  1. O campo nome deve aceitar apenas letras do alfabeto.
  2. O campo de endereço de e-mail deve aceitar um formato de endereço de e-mail válido, como [email protected].
  3. O campo do número de telefone deve conter apenas dígitos.

Agora, se essas configurações não estiverem em vigor, um hacker pode inserir scripts maliciosos como:

 String userLoginQuery = "SELECT user_id, username, password_hash FROM users WHERE username = '" + request.getParameter("user") + "'";

Este é um código que comandará o banco de dados para executar determinadas funções. Dessa forma, os hackers podem executar scripts maliciosos em seu site, que podem ser usados ​​para obter controle total do site.

Os ataques de injeção mais populares em sites WordPress incluem ataques de injeção SQL e Cross-Site Scripting.

Como proteger seu site contra ataques de injeção

  1. Muitos ataques de injeção decorrem de temas e plug-ins que permitem a entrada de visitantes em seu site. Sugerimos usar apenas temas e plugins confiáveis. Em seguida, mantenha seus plugins e tema sempre atualizados.
  2. Controle entradas de campo e envios de dados. Isso é técnico e exigiria a assistência de um desenvolvedor.
  3. Use um firewall do WordPress. Se você instalou o MalCare em seu site, ele automaticamente coloca um firewall robusto para defender seu site contra hackers.

4. Phishing e roubo de dados

Os visitantes interagem com seu site de maneiras diferentes. Alguns deles apenas leem as postagens do seu blog, outros entram em contato com você por meio de seu contato, e assim por diante. Se você administra um site de comércio eletrônico, muitos visitantes compram itens do seu site. Isso significa que eles precisam fazer login no seu site e inserir as informações do cartão de crédito.

Quando alguém insere informações de cartão de crédito em seu site, ele transfere e armazena as informações no servidor do site. Essas informações podem ser interceptadas enquanto estão sendo transferidas. Além disso, os dados do cartão de crédito podem ser roubados.

Eles também podem invadir seu site e se passar por você. Eles enviam e-mails ou redirecionam os visitantes para outros sites e os induzem a revelar dados pessoais e informações de pagamento.

Como proteger seu site contra phishing e roubo de dados

  1. Use um certificado SSL. Isso criptografará os dados que estão sendo transferidos de e para o seu site. Mesmo que um hacker o intercepte, ele não poderá usá-lo, pois não será capaz de decifrá-lo. Consulte nosso guia sobre como usar SSL e HTTPS. Ele também removerá o aviso de site não seguro do WordPress em seu site.
  2. Use um plug-in de segurança do WordPress para receber alertas se houver alguma atividade suspeita em seu site. O plug-in também bloqueará as tentativas de invasão.

5. Roubo de Cookies

Você já reparou que quando você entra em um site, seu navegador pede para 'lembrar de mim' ou 'salvar senha'? Isso é feito para que você não precise inserir suas credenciais de login toda vez que quiser acessar um site. Você pode optar por permitir que o navegador salve seus detalhes de login.

usuário e senha

Os navegadores podem salvar esses dados por causa dos cookies. Cookies são pequenos pedaços de dados que registram a interação de um visitante com um site. Por exemplo, se você administra uma loja online, seu site pode rastrear a jornada de um cliente, como o produto que ele pesquisou e o que comprou. Esses dados são usados ​​em análises e também os anunciantes adaptam os anúncios de acordo com a preferência do visitante. Agora, os cookies também podem armazenar dados bancários e informações pessoais.

Se um hacker conseguir roubar os cookies do seu site, ele poderá acessar dados confidenciais da sua empresa e dos seus visitantes. Eles podem explorar esses dados para realizar seus atos maliciosos, como fraudar clientes usando suas informações de cartão de crédito.

Você pode ler mais sobre isso em nosso guia fácil sobre roubo de cookies e seqüestro de sessão.

Como proteger seu site contra roubo de cookies e seqüestro de sessão

  • Altere suas chaves e sais do WordPress regularmente. Chaves e sais fornecem criptografia segura das informações armazenadas nos cookies do navegador. Esta medida é de natureza técnica. Recomendamos o uso do recurso de fortalecimento do WordPress do MalCare para alterar suas chaves e sais. No painel do MalCare, acesse Segurança > Fortalecimento do WordPress > Alterar chaves e sais de segurança do WordPress.
endurecimento do site malcare
  • Também aqui recomendamos a instalação de um certificado SSL para proteger os dados do seu site.

Isso nos leva ao fim dos ataques mais comuns do WordPress. Antes de encerrarmos, gostaríamos de mostrar algumas medidas de proteção do WordPress que tornarão seu site mais forte contra esses ataques.

Como proteger seu site WordPress contra ataques ?

Embora você possa tomar medidas específicas para proteger seu site contra determinados ataques, existem algumas medidas gerais de segurança que você pode implementar em seu site para melhor proteção. Essas são chamadas de medidas de proteção do WordPress. Explicamos brevemente aqui, mas você pode ler nosso guia detalhado sobre fortalecimento do WordPress para obter explicações mais detalhadas.

1. Desativando o editor de arquivos

O WordPress possui um recurso que permite editar arquivos de tema e plug-in diretamente do painel. Muitos proprietários de sites não precisam desse recurso, ele é usado principalmente por desenvolvedores. Mas se um hacker invadir seu painel wp-admin, ele poderá inserir código malicioso em seus arquivos de tema e plug-in. Assim, se você não precisa desse recurso, ele pode ser desabilitado.

2. Desativando instalações de plugins ou temas

Quando os hackers podem acessar seu site, eles instalam seus próprios plugins ou temas. Esses plugins e temas geralmente são maliciosos e contêm backdoors. Isso dá aos hackers uma entrada secreta em seu site.

Além disso, como mencionamos, temas e plugins vulneráveis ​​são uma das principais causas de sites invadidos. Se você tiver vários usuários em seu site, eles podem instalar um plug-in ou tema que não é seguro. Isso pode abrir seu site para hackers. Se quiser evitar isso, você pode desabilitar as instalações de plugins e temas em seu site.

Se você não instala plugins e temas regularmente em seu site, pode desativar a opção de instalação.

3. Limitando as tentativas de login

Como mencionamos anteriormente, você pode limitar o número de chances que um usuário do WordPress tem de inserir as credenciais de login corretas para entrar no site. Isso elimina o risco de ataques de força bruta.

4. Alteração de chaves e sais de segurança

Chaves e sais criptografam as informações armazenadas em seu navegador. Portanto, mesmo que um hacker consiga roubar seus cookies, eles não conseguirão decifrá-los. No entanto, se um hacker acessar essas chaves e sais, ele poderá usá-lo para descriptografar os cookies. Alterar regularmente suas chaves e sais pode ajudar a evitar o roubo de cookies.

5. Bloqueando a execução do PHP em pastas desconhecidas

Existem apenas alguns arquivos e pastas em seu site WordPress que executam código. Outras pastas armazenam apenas informações, como a pasta Uploads, que armazena imagens e vídeos.

No entanto, quando um hacker obtém acesso ao seu site, ele insere o código php em pastas aleatórias ou até mesmo cria suas próprias pastas.

Você pode bloquear essa atividade desativando as execuções do PHP em pastas desconhecidas.

A implementação dessas medidas requer conhecimento técnico. Não recomendamos fazê-lo manualmente. É muito mais seguro e fácil usar um plug-in como o MalCare, que permite fazer isso com apenas alguns cliques.

endurecimento do site malcare

Com isso, temos certeza de que seu site WordPress está seguro e protegido contra hackers.

Pensamentos finais

Os hackers têm várias maneiras de invadir seu site WordPress e sempre inventam novas maneiras!

Você precisa tomar suas medidas de segurança para proteger seu site e garantir que ele esteja seguro contra ataques de hackers.

Recomendamos usar nosso plug-in de segurança MalCare para proteger seu site WordPress. Ele impedirá que hackers e bots maliciosos acessem seu site. Você pode ter certeza de que seu site está sendo monitorado e protegido.

Evite hacks com nosso plug-in de segurança MalCare !