O designer mal-humorado enfrenta o malware do WordPress

Publicados: 2022-10-12

Enquanto algumas profissões desaparecem com o tempo, sempre haverá a necessidade de web designers. Por quê? Porque a cada ano que passa, o trabalho se torna mais complexo. Chegam novas responsabilidades que vão além do alcance das ferramentas automatizadas e sem código.

A segurança do site é um excelente exemplo. Sempre foi uma preocupação – mesmo quando comecei esse caminho em meados da década de 1990. Naquela época, a principal preocupação era uma senha de FTP hackeada ou um ex-colega irritado desfigurando/apagando arquivos. Estes dias, é muito mais. Como um inseto irritante que se transformou em um enorme monstro marinho.

E esse monstro envolveu totalmente seus tentáculos em torno desse designer mal-humorado. O trabalho tornou-se um ciclo vicioso de infecção, limpeza e reinfecção por malware. Então repita.

O principal alvo da malevolência do monstro é o WordPress. Isso não deve ser uma surpresa, pois o sistema de gerenciamento de conteúdo (CMS) está constantemente sob ataque. Ele vem com o território de alimentar mais de 40% da web.

Infelizmente, eu sei que não sou o único a enfrentar esse tipo de desastre. Com isso, eu queria compartilhar alguns desabafos, pensamentos e sugestões para colocar esse monstro de volta em seu lugar.

Ser cuidadoso não é bom o suficiente

A fria realidade da segurança do site é que não há garantias. Praticamente todos os sites podem ser comprometidos por malware. Isso acontece até com os mais cuidadosos entre nós.

Como se aplica ao WordPress, ser cuidadoso significa manter alguns princípios básicos em mente:

  • Verificação do tema e plugins que instalamos;
  • Aplicando atualizações rotineiramente;
  • Usando senhas seguras e complexas;
  • Hospedar o site em um serviço que leva a segurança a sério;
  • Garantir que as permissões de arquivo estejam de acordo com as recomendações do WordPress;
  • Adicionando camadas extras de defesa, como plugins de segurança e firewalls;

Embora haja mais do que isso, as ações acima fornecem uma base sólida. A ideia é proteger contra os tipos mais básicos de ataques. Espero que também impeça algumas tentativas mais complexas.

O aspecto frustrante dessa abordagem é que você é tão forte quanto o elo mais fraco em sua segurança. Mesmo plugins respeitáveis ​​podem conter falhas de segurança. E há uma infinidade de vetores que um invasor pode usar para causar problemas – incluindo alguns sobre os quais não temos controle direto.

Portanto, ter cuidado não é bom o suficiente para evitar todos os ataques.

Uma abordagem cautelosa à segurança do WordPress é ótima - mas não há garantias.

Limpar um hack é um dreno de recursos

Apesar de tomar medidas para evitar problemas de segurança, os hacks ainda acontecem. E quando o fazem, limpar as consequências pode ser uma tarefa árdua.

O processo envolve a identificação de quaisquer arquivos maliciosos – incluindo arquivos principais legítimos do WordPress que podem ter sido modificados. Scanners de segurança como os encontrados no plugin Wordfence podem ajudar a identificar arquivos, mas há ressalvas.

Se a conta de administrador de um site foi comprometida ou um invasor usou uma falha de segurança para obter acesso ao painel do WordPress – todas as apostas estão desativadas. Eles teriam a capacidade de desativar um plug-in de segurança. A partir daí, eles poderiam causar todos os tipos de estragos sem serem detectados.

Além disso, determinar como o malware chegou ao seu site raramente é simples. Não posso contar o número de vezes que pensei ter encontrado o culpado, apenas para provar que estava errado após infecções subsequentes. Muitas vezes é preciso vasculhar arquivos e estudar blogs de segurança para obter uma resposta. No entanto, alguns problemas podem permanecer um mistério.

Isso não é apenas estressante para todos os envolvidos, mas também dificulta sua capacidade de trabalhar em outros projetos. Uma violação de segurança é um tipo de situação prática. Se acontecer de você ser um freelancer, então suas mãos estão inevitavelmente atadas para consertar um site invadido.

A correção de malware tira um tempo precioso de outras tarefas.

O que mais os web designers podem fazer?

Como mencionei anteriormente, há muito sob nosso controle. Web designers podem tomar decisões informadas, mas nossos projetos ainda podem ser vítimas de malware. De certa forma, parece uma situação desesperadora.

No entanto, as ameaças à segurança não estão desaparecendo. Se alguma coisa, eles vão continuar a crescer exponencialmente. Isso significa que temos que continuar tentando.

Aqui estão algumas estratégias que podem ajudar:

Torne-se um minimalista de plugins

Embora nunca seja uma boa ideia manter plugins desnecessários do WordPress instalados, também pode ser perigoso. É por isso que vale a pena remover tudo o que você não precisa.

Em alguns casos, pode valer a pena criar um plugin personalizado barebones quando possível. Bots maliciosos tentam detectar vulnerabilidades conhecidas no núcleo do WordPress e em plugins específicos. Essa pode ser uma maneira de reduzir o risco enquanto ainda mantém a funcionalidade.

Independentemente disso, também é uma boa ideia acompanhar o que está acontecendo com os plugins que você instala. Certifique-se de que eles sejam atualizados regularmente e tente evitar aqueles que não são mais mantidos.

Peça aos clientes que invistam em segurança

A segurança pode se tornar uma parte significativa do trabalho de um web designer. Muito trabalho é feito para fortalecer um site e mitigar quaisquer problemas que possam surgir. Mas nossos preços nem sempre refletem essa realidade.

Assim, faz sentido pedir aos clientes que invistam nesta área. Ao recomendar ferramentas e serviços relacionados à segurança, você adiciona camadas extras de proteção de forma proativa. E ao incluir verificações de segurança regulares em seus pacotes de manutenção, você estará atento ao que está acontecendo.

Outro benefício dessa estratégia é que você está aumentando a conscientização sobre segurança. Quando os clientes têm uma melhor compreensão do assunto, eles estarão mais propensos a tomar medidas preventivas.

Faça um plano de limpeza

É seguro dizer que nenhum de nós quer lidar com um site invadido. Fazemos tudo o que podemos para tentar evitar que isso aconteça. E... acontece de qualquer maneira.

Como tal, é melhor se preparar para esse cenário em vez de enterrar a cabeça na areia. Desenvolva um processo que o ajude a limpar com eficiência um site comprometido.

Pode nem sempre funcionar na primeira (ou segunda) vez. Mas cada falha é uma boa experiência de aprendizado. Eventualmente, você refinará o processo e aumentará suas chances de sucesso.

Obtenha ajuda profissional

Gerenciar a segurança do site é confuso e frustrante – o suficiente para colocar qualquer um de nós em terapia. Esse tipo de ajuda profissional é sempre bem-vinda. Mas não é do tipo que estou falando aqui.

Em vez disso, estou falando sobre trabalhar com profissionais de segurança. Por exemplo, serviços que ajudam a bloquear os sites de seus clientes e livrá-los de qualquer infecção.

Há um custo envolvido – um que você pode repassar aos seus clientes. E isso pode salvar sua sanidade a longo prazo.

Existem etapas extras que os web designers podem seguir para aumentar a segurança do WordPress.

O caos do malware é o novo normal

De certa forma, proteger um site é como um jogo de gato e rato. Para cada lacuna que você fecha, outra aparece. Atores maliciosos estão constantemente evoluindo seus métodos para penetrar no WordPress e em outras plataformas. E nenhum de nós está imune.

Isso torna nosso trabalho mais difícil e demorado. E também torna a manutenção do site mais cara para nossos clientes.

Certamente, não era isso que eu imaginava quando comecei como web designer. É improvável que muitos de nós tenham entrado nesse setor porque gostamos de limpar malware. Mas goste ou não, este é o novo normal. E somos a última linha de defesa contra este proverbial monstro marinho. Não podemos nos dar ao luxo de cair sem lutar.