Principais erros de segurança do WordPress e como corrigi-los - MalCare
Publicados: 2023-04-13Erros de segurança do WordPress: você sabia que a cada minuto cerca de 90.978 tentativas de invasão são feitas em sites WordPress? Depois que seu site é invadido, os hackers o usam para executar todos os tipos de atividades maliciosas, como enviar e-mails de spam (leia-se hackear phishing), atacar outros sites, injetar links de spam, redirecionar visitantes, etc.
É por isso que os proprietários de sites WordPress como você devem levar a sério suas preocupações com a segurança. Não existe uma bala de prata que você possa usar para resolver todas as suas necessidades de segurança, mas você precisa fazer muitas coisas corretamente. Na internet, existem inúmeros conselhos sobre como manter seu site seguro e protegido. Alguns deles são conselhos conflitantes e alguns estão desatualizados. Inúmeras opiniões sobre o que o proprietário de um site deve ou não fazer trazem confusão e, em meio a toda essa confusão, os erros são inevitáveis.
Manter a segurança de um site não é uma tarefa fácil, especialmente para novos proprietários de sites que estão propensos a cometer erros que podem deixá-los vulneráveis a ataques de hackers comuns. Conhecer os erros comuns de segurança que os proprietários de sites cometem ajudará a evitá-los. E é por isso que criamos esta lista para que você pare de cometer os erros que a maioria dos proprietários de sites WordPress comete.
Os principais erros de segurança do WordPress que os proprietários de sites cometem:
Sugerimos executar uma auditoria de segurança do WordPress antes de tomar qualquer uma das medidas abaixo –
1. Não atualizar o WordPress Core, Plugin e Temas
Manter o núcleo e os complementos do WordPress (ou seja, temas e plug-ins) atualizados é uma boa medida de segurança. Atualizá-los não apenas adiciona mais recursos ao site, mas também ajuda a corrigir vulnerabilidades. Devido ao ecossistema em que o WordPress funciona, as notícias sobre vulnerabilidades se espalham muito rapidamente e o hacker tenta tirar vantagem da situação. Se você não atualizar seu site, o que ajudaria a corrigir a vulnerabilidade, seu site se tornará fácil de invadir.
Enquanto alguns proprietários de sites não atualizam seus sites porque não sabem como as atualizações estão vinculadas à segurança, outros têm medo de incompatibilidade. Os sites do WordPress podem quebrar após atualizar o núcleo do WordPress e seus complementos.
As atualizações do WordPress são projetadas para serem compatíveis com todas as versões anteriores. Portanto, se seu site estiver executando a versão 4.1, você ainda poderá atualizá-lo para a versão mais recente, que é, digamos, 4.9. Mas apesar de todas as precauções tomadas, cada atualização traz notícias de quebra do site. Aqui está um exemplo da última versão do WordPress 4.9.6.
Você pode ter problemas semelhantes ao atualizar complementos do WordPress, ou seja, temas e plugins. Frequentemente, surgem problemas de incompatibilidade em temas e plugins porque o desenvolvedor foi apressado para lançar uma nova atualização ou talvez o desenvolvedor fosse incompetente. Plugins e temas têm um mercado realmente competitivo e, em uma tentativa de se destacar do resto, os desenvolvedores são pressionados a adicionar mais e mais novos recursos no menor espaço de tempo. Às vezes, eles não têm tempo suficiente para ver se a versão é compatível com todas as versões anteriores do WordPress. E, portanto, se alguém estiver usando uma versão muito antiga do WordPress e atualizar um plug-in que funciona apenas com as versões mais recentes do WordPress, seu site será interrompido.
As preocupações em torno dos problemas de compatibilidade entre o WordPress Core e um complemento podem levar os proprietários de sites a ignorar as atualizações de segurança.
Como corrigir isso: um serviço de preparação pode resolver esse problema. O processo de criação de um site duplicado com a finalidade de testar a instalação do núcleo do WordPress e seus complementos é chamado de Staging. Serviços de backup como BlogVault ou mesmo provedores de hospedagem na web como Kinsta oferecem ambientes de preparação. Verifique com seu host da web ou serviços de backup (se você estiver usando um) para ver se eles têm a opção de preparar um site. Caso contrário, inscreva-se em um serviço que permite que você organize um site.
Além de manter seus plugins, temas e núcleo atualizados, sugerimos fortemente que você mantenha seus sais e chaves de segurança do WordPress atualizados.
2. Usando complementos de baixa qualidade
Nem todos os plugins e temas do WordPress são bem feitos. Alguns ignoram as verificações de garantia de qualidade, enquanto outros são desenvolvidos por programadores amadores. É importante que o usuário fique atento ao que está escolhendo usar ou comprar. Mas, infelizmente, muitos usuários do WordPress não têm nenhum conhecimento técnico que os torne despreparados para descobrir a qualidade do plugin ou tema.
Como corrigir isso: Para ajudar esses usuários, listamos algumas características que ajudarão a identificar um bom tema ou plug-in:
eu. Certifique-se de obter os complementos de uma fonte de renome , como o repositório de plug-ins do WordPress ou um vendedor popular, como Elegant Themes, Themeforest, etc.
ii. Certifique-se de que os complementos tenham uma boa classificação no repositório do WordPress e sejam revisados por pessoas que usaram o tema/plug-in em seu site . Uma rápida pesquisa no Google ajudará você a encontrar os comentários.
iii. Verifique se o plug-in existe há muito tempo e resistiu ao teste do tempo. Procure atualizações de segurança e correções de bugs listadas no repositório do WordPress ou no site oficial.
4. E certifique-se de que eles sejam atualizados com frequência e que a atualização recente tenha sido feita há menos de 2 meses.
3. Usando plugins e temas ilegais
Muitos sites vendem temas e plugins premium gratuitamente. O uso desses produtos gratuitos pode significar um desastre porque muitos desses complementos do WordPress têm malware injetado deliberadamente neles. Instalar esses complementos ilegais em seus sites é como abrir portas e convidar hackers para o seu site. Assim que um invasor conseguir invadir seu site usando o código incorreto do tema/plugin que você acabou de instalar, ele usará seu site para executar uma série de atividades maliciosas, como enviar e-mails de spam ou atacar outros sites. Além disso, ter malware em seu site o considera comprometido, o que faz com que os provedores de hospedagem suspendam sua conta de mecanismos de pesquisa, como o Google, para colocar seu site na lista negra e suspender sua conta do AdWords.
Como corrigir isso: Compre temas originais e plugins de mercados populares como ThemeForest , Elegant Themes , etc. Pode-se procurar sites oficiais do tema ou plugin de nossa escolha.
4. Mantendo plugins e temas não utilizados em seu site
Manter temas e plug-ins não utilizados no site oferece uma oportunidade para hackers se infiltrarem em seu site. Muitos proprietários de sites não atualizam complementos inativos porque desconhecem os benefícios de segurança. Para eles, as atualizações trazem novos recursos e, como não estão usando o plug-in, acham que não precisam dos novos recursos. Se uma atualização foi lançada para corrigir uma vulnerabilidade, seu site permanecerá em risco até que você o atualize.
Como corrigir isso: A única solução aqui é livrar-se dos temas e plugins inativos do WordPress. Veja como:
Visite a página 'plugins instalados' no painel WordPress do seu site.
Na página, existe uma opção chamada 'inativo'. Selecione isso.
Ele levará para outra página de onde você pode excluir os plugins inativos . Mas antes de clicar no botão 'inativo', sugerimos que você certifique-se de que não precisará desse plug-in específico em um futuro próximo.
5. Uso de práticas inapropriadas de login em sites
Duas práticas de login comuns, mas muito perigosas, são usar credenciais de login fáceis de adivinhar e não fazer logout quando o site não está sendo usado. Os invasores programam bots que tentam fazer login em seu site usando uma combinação de nome de usuário fácil de lembrar (como admin) e senha (como password123) para invadir um site. Esse método peculiar de hackear um site é chamado de ataque de força bruta.
Como corrigir isso: é recomendável que você use um nome de usuário e senha exclusivos (leitura recomendada – guia de proteção da página de login do WordPress). Uma desvantagem aqui é que as credenciais exclusivas são difíceis de lembrar. Portanto, você deve manter um documento com essas credenciais. E certifique-se de que o documento esteja criptografado para impedir o acesso não autorizado.
6. Concedendo a cada usuário acesso de administrador
Tornar todos os usuários um administrador é uma má ideia, especialmente para sites onde há um grande número de usuários que o proprietário do site não conhece pessoalmente. O WordPress permite que os proprietários de sites atribuam as seguintes funções aos usuários – Administrador, Editor, Autor, Colaborador, Assinante, Gerente de SEO, Editor de SEO. É arriscado tornar todos administradores porque isso concede acesso a todas as áreas de um site.
Dar aos usuários acesso irrestrito a todo o site leva à exploração, como visto neste caso com TechCrunch (um site de tecnologia popular) que foi hackeado por OurMine (um grupo de hackers). Depois de obter acesso a uma conta de usuário, OurMine pôde postar no site. Aqui está uma captura de tela da página inicial quando os leitores acordaram depois que o TechCrunch foi hackeado:
Como corrigir isso: Cada função de usuário no WordPress permite acesso apenas a áreas específicas do site. Com base no que você precisa que um usuário faça em seu site, você pode atribuir essas funções. Seguir esse princípio garante que apenas pessoas em quem você confia possam acessar todo o site. E se algo der errado, você sabe quem é o responsável.
7. Não fazer backups
Os backups são sua rede de segurança. Não ter um instalado pode causar problemas quando ocorrer um desastre. Se o seu site for invadido e as postagens deletadas, você pode facilmente restaurá-lo ao normal usando os backups. Mas usar qualquer serviço de backup não é aconselhável porque muitos serviços de backup não são eficientes. Por exemplo, muitos plug-ins de backup armazenam backups em seus servidores da web. Alguns deles armazenam backups em um único local. O servidor do seu site não é o local ideal para armazenar backups porque o servidor assume o ônus do backup além da execução de processos regulares. Isso atola a velocidade do seu site. Armazenar apenas um backup significa que, se você perder esse backup, não terá outros backups para recorrer.
Como corrigir isso: antes de escolher um serviço de backup, verifique os recursos para ver onde eles armazenam os backups. Se você não conseguir encontrar informações adequadas, envie-lhes um e-mail fazendo perguntas diretas sobre onde eles armazenam backups e se eles os armazenam em vários locais. Para saber mais sobre como escolher backups confiáveis, confira este post .
8. Não usar um serviço de segurança
Muitos proprietários de sites, especialmente aqueles que têm sites pequenos que atraem menos tráfego, acham que seu site é insignificante e, portanto, não chamarão a atenção de um hacker. Mas os hackers de hoje têm muitos motivos para atacar um pequeno site . Eles podem estar usando para armazenar arquivos ou enviar e-mails de spam, entre outras coisas. Muitos grupos de hackers, de fato, preferem atacar sites pequenos porque sites pequenos são negligentes com sua segurança e, portanto, são mais fáceis de hackear. Eles lançam ataques maciços de força bruta , onde os bots tentam adivinhar o nome de usuário e as credenciais corretos para invadir um site. Uma das técnicas de hacking mais preferidas envolve aproveitar plugins e temas vulneráveis.
Como corrigir isso: um serviço de segurança padrão oferece recursos de segurança essenciais, como o WordPress Firewall, que ajuda a impedir que hackers forcem a entrada em seu site.
Além de tomar as medidas acima para consertar seu site, você pode tomar mais algumas medidas de segurança. Sugerimos seguir este guia – Proteja seu site WordPress com wp-config.php.
Sempre que surge uma vulnerabilidade no plug-in ou nos temas ou mesmo no núcleo, os desenvolvedores lançam um patch por meio de uma atualização. Portanto, manter todos os seus temas, plugins e núcleo do WordPress atualizados é uma boa prática de segurança. MalCare – um dos melhores plug-ins de segurança do WordPress oferece o recurso de gerenciamento de sites que permite atualizar plug-ins, temas e o núcleo do WordPress a partir do painel do MalCare. É especialmente útil para pessoas que têm muitos sites para manter. Fazer login em cada site e atualizar temas, plug-ins e núcleo é um trabalho demorado. Serviços como o MalCare tornam mais fácil para os proprietários de sites seguirem boas práticas de segurança.
Além do firewall e do gerenciamento do site, um plug-in de segurança também oferece serviços de verificação diária. Se o seu site estiver infectado por malware, o plug-in o ajudará a reparar o site invadido. Se você se sentir mais confortável com uma equipe que fornece serviços de manutenção de sites WordPress diretamente para você para gerenciar totalmente a segurança do seu site, o WP Buffs será uma ótima opção. Eles cuidam de atualizações, segurança, velocidade do site e edições contínuas, independentemente de você estar gerenciando 1 site ou 1000!
Qual o proximo?
Usar um bom plug-in de segurança do WordPress é o primeiro passo para criar um site seguro ou manter o WordPress seguro. Algumas outras medidas de segurança que você pode tomar incluem bloqueio de IP, proteção da página de login e seguir este guia completo sobre segurança do WordPress para aprender mais sobre como proteger seu site WordPress.
Se você cometeu algum desses erros no passado, esperamos que o post tenha ajudado a ver o que você estava fazendo de errado e como corrigi-los. Agradecemos qualquer dúvida que você possa ter sobre esses erros de segurança do WordPress e suas correções. Por favor, entre em contato conosco através de nossa página de contato .