As 10 principais vulnerabilidades de segurança do WordPress e maneiras de corrigi-las

Publicados: 2018-11-28

Esta citação é boa o suficiente para lhe dar uma ideia dos problemas de segurança que estão ocorrendo em todo o mundo. De fato, segurança de sites é um assunto que há muito vem dando noites sem dormir aos donos de sites. Ninguém foi capaz de alcançar 100% de segurança para seu site de negócios.

De acordo com uma pesquisa realizada pela Juniper Research, o cibercrime custará às empresas mais de US$ 2 trilhões até 2019. Esta é uma estatística alarmante e mostra que a segurança diária de um site está se tornando muito difícil. Ao mesmo tempo, você precisa encontrar maneiras de proteger seu site, pois ele contém seus dados mais importantes, bem como informações confidenciais.

Como todos sabem, o WordPress alimenta 31% da internet e, portanto, é muito claro que a plataforma WordPress enfrentará o maior número de problemas de segurança na web. A maioria dos usuários confia nessa plataforma maravilhosa e é por isso que eles construíram seus sites de negócios nela.

No entanto, de acordo com uma pesquisa realizada pela Sucuri, o WordPress é a plataforma de sites mais infectada para o ano de 2018.

WordPress in 2018

Portanto, torna-se importante que todos vocês estejam cientes das várias vulnerabilidades de segurança do WordPress e das maneiras de corrigi-las. Então, vamos começar e analisar cada vulnerabilidade uma a uma.

Existem dois tipos de empresas: aquelas que foram hackeadas e aquelas que ainda não sabem que foram hackeadas.

– João Câmaras

As 10 principais vulnerabilidades de segurança do WordPress

  1. Hospedagem de sites insegura
  2. Usando senha fraca
  3. Não atualizando o WordPress
  4. Injeção SQL
  5. Esquecer de proteger o arquivo de configuração do WordPress
  6. Não atualizando plugins ou temas
  7. Usando FTP Simples
  8. Não alterar o prefixo da tabela do WordPress
  9. Malware
  10. Permissões de arquivo incorretas

1. Hospedagem de sites insegura

Esta é talvez uma das maiores razões pelas quais os sites WordPress são facilmente infectados. Como todos os outros sites, o site WordPress também está hospedado no servidor. Às vezes, o que acontece é que as empresas provedoras de hospedagem não protegem sua plataforma. Nesse tipo de cenário, há todas as chances de que seu site WordPress seja atacado por alguém de fora.

Maneira de corrigir este problema

A melhor maneira de corrigir esse problema é hospedando seu site WordPress em algumas das plataformas de hospedagem de alto nível. Aqui está uma lista dos melhores provedores de hospedagem WordPress que você pode utilizar para o seu site de negócios.

Melhores provedores de hospedagem WordPress

  • Bluehost
  • HostGator
  • SiteGround
  • DreamHost
  • Hospedagem InMotion

2. Usando senha fraca

As senhas são uma parte essencial da segurança do seu site WordPress. Você sempre precisa ter certeza de que está usando uma senha forte para sua conta do WordPress. De acordo com uma pesquisa realizada pelo WPTemplate, 8% dos sites WordPress em todo o mundo são invadidos devido à senha da semana. Uma senha semanal pode fornecer acesso fácil aos seguintes itens:

  • Conta de administrador WP
  • Conta do Painel C
  • Conta FTP
  • Seu banco de dados WordPress

É por isso que se torna extremamente vital ter uma senha forte para o seu site WordPress.

Maneira de corrigir este problema
  • Formulário A Senha Complexa

    Uma das maneiras de corrigir esse problema é formando uma senha complexa para o seu site. Sempre tente usar a combinação de Alfabeto, Números, Caracteres Especiais, etc. para fazer uma senha. Isso ajudará você a criar uma senha forte que não pode ser adivinhada facilmente.

  • Utilize um gerenciador de senhas

    A outra maneira de corrigir esse problema é usando os gerenciadores de senhas. Um gerenciador de senhas é um aplicativo que permite armazenar todas as suas senhas em um só lugar e gerenciá-las por meio de uma senha mestra. A USP de qualquer gerenciador de senhas é que eles têm uma funcionalidade de preenchimento automático.

    Aqui está uma lista de alguns dos melhores gerenciadores de senhas:

    • Última passagem
    • 1Senha
    • Dashlane
  • Autenticação de dois fatores

    Esta é uma das melhores maneiras de proteger seu site WordPress contra roubo de senha. Em um cenário de autenticação de dois fatores, se algum invasor conseguir adivinhar a senha do seu site WordPress, ele não poderá fazer login no seu site. Ele/ela vai exigir um código de segurança que é enviado para o seu celular. Desta forma, você será capaz de proteger seu site.

    Existem maneiras principais de configurar a autenticação de dois fatores no WordPress:

    1. Verificação por SMS
    2. Aplicativo Google Authenticator

3. Não atualizar o WordPress

Existem muitos usuários que se sentem confortáveis ​​com uma das versões do WordPress e, portanto, não atualizam sua versão do WordPress em intervalos regulares. A principal razão por trás disso é que eles temem que isso quebraria seu site. No entanto, cada nova versão do WordPress vem com correções para bugs de segurança e é por isso que se torna importante atualizar seu site.

Maneira de corrigir este problema

Sempre verifique a versão mais recente do WordPress e tente manter seu site atualizado. Isso minimizará as chances de quaisquer problemas de segurança. Para aqueles que temem que a atualização do WordPress crie um colapso do site, pode fazer o backup de seu site. Portanto, se a nova versão não funcionar de acordo com seus requisitos, você sempre poderá reverter.

4. Injeção de SQL

SQL Injection é um dos métodos mais antigos de obter acesso ao site. Como todos sabem, SQL é uma linguagem usada para trabalhar com o banco de dados WordPress e é por isso que nesse tipo de ataque, os hackers injetam comandos SQL em seu site para recuperar as informações. Os hackers estão ficando espertos a cada dia e estão lançando uma nova injeção de SQL a cada dia ou outro. Portanto, como proprietário de um site, você deve estar ciente das maneiras de se livrar desse problema.

Maneira de corrigir este problema
  • Verificar vulnerabilidade de injeção de SQL

    Você deve verificar regularmente o problema de injeção de SQL em seu site WordPress. No entanto, isso pode ser uma tarefa muito difícil de executar manualmente e é por isso que você deve utilizar algumas ferramentas de verificação de segurança para esse fim. Aqui está uma lista da melhor ferramenta de verificação de segurança:

    • Verificação de segurança do WordPress
    • Verificação do Site Sucuri
    • WPScan
  • Adicionando um código ao seu arquivo .htaccess

    Outra forma de prevenir SQL Injection é adicionar um código específico em seu arquivo .htaccess. .htaccess é um arquivo de configuração que é usado nos servidores web e, portanto, alterando essa parte, você poderá restringir o acesso de estranhos ao seu banco de dados WordPress.

    Adicione o seguinte código em seu arquivo .htaccess:

    RewriteEngine On
    RewriteBase /
    RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
    RewriteRule ^(.*)$ - [F,L]
    RewriteCond %{QUERY_STRING} ../ [NC,OR]
    RewriteCond %{QUERY_STRING} boot.ini [NC,OR]
    RewriteCond %{QUERY_STRING} tag= [NC,OR]
    RewriteCond %{QUERY_STRING} ftp:  [NC,OR]
    RewriteCond %{QUERY_STRING} http:  [NC,OR]
    RewriteCond %{QUERY_STRING} https:  [NC,OR]
    RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
    RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]
    RewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|e|"|;|?|*|=$).* [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*("|'|<|>||{||).* [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]
    RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
    RewriteRule ^(.*)$ - [F,L]
    

5. Esquecer de proteger o arquivo de configuração do WordPress

O arquivo de configuração do WordPress (wp-config.php) é composto por credenciais de login do banco de dados do WordPress. Portanto, se algum estranho obtiver acesso a esse arquivo, ele poderá roubar suas informações e causar danos ao seu site. Portanto, torna-se necessário que você faça todo o possível para proteger esse arquivo.

Maneira de corrigir este problema

Uma das maneiras mais simples de proteger o arquivo wp-config.php é modificando o .htaccess e restringindo o acesso. Para isso, basta adicionar o seguinte trecho ao seu arquivo .htaccess:

<files wp-config.php>
order allow,deny
deny from all
</files>

6. Não atualizar plugins ou temas

Assim como o WordPress principal, é importante usar a versão mais recente dos plugins ou temas no site WordPress. Usar uma versão desatualizada de qualquer plugin ou tema pode tornar seu site vulnerável a ameaças de segurança. De acordo com uma pesquisa realizada pela WPWhiteSecurity, 54% das vulnerabilidades globais do WordPress são devido a plugins.

Maneira de corrigir este problema

Sempre verifique a atualização em qualquer um dos seus plugins e temas. Certifique-se de estar usando a versão mais recente disponível no WordPress. Ao seguir esta metodologia, você minimizará as chances de ameaças de segurança em seu site WordPress.

7. Usando FTP Simples

Para quem não sabe, as contas FTP são usadas para fazer upload de um arquivo no servidor do seu site usando um cliente FTP. A maioria do provedor de hospedagem suporta conexão FTP usando diferentes tipos de protocolos: FTP simples, SFTP ou SSH.

A maioria dos proprietários de sites WordPress cometem o erro de usar FTP simples. Agora, o que acontece em um FTP simples é que sua senha é enviada ao servidor de forma não criptografada. Assim, qualquer pessoa que possa hackear o servidor pode ter acesso fácil ao seu site WordPress.

Maneira de corrigir este problema

Em vez de usar FTP, você pode optar pela opção SFTP ou SSH. Você não precisa alterar o cliente FTP para essa finalidade. Basta alterar o protocolo para 'SFTP-SSH' ao se conectar ao seu site. Ao usar este protocolo, você poderá enviar a senha ao servidor de forma criptografada, o que minimiza o risco de problemas de segurança.

8. Não alterar o prefixo da tabela do WordPress

Como todos sabem que, por padrão, todas as tabelas do WordPress criadas em seu banco de dados começam com um prefixo chamado ks29so_. A maioria dos desenvolvedores do WordPress não se importa em alterar esse prefixo, pois sentem que isso não afetará o desempenho do site.

Além disso, esse prefixo torna seu site WordPress vulnerável a problemas de segurança. A razão por trás disso é que um invasor pode adivinhar facilmente o nome de suas tabelas de banco de dados do WordPress. Portanto, você deve tentar ressuscitar esse problema o mais rápido possível.

Maneira de corrigir este problema

Em vez de usar o prefixo padrão para as tabelas de banco de dados do WordPress, você deve definir seu próprio prefixo que é complicado por natureza para que ninguém possa adivinhar. Você pode alterar o prefixo das tabelas do banco de dados do WordPress no momento da instalação. Então, lembre-se sempre desse ponto. Depois disso, você não terá a chance de alterar o prefixo.

Veja como você pode alterar o prefixo do banco de dados do WordPress para melhorar a segurança:

9. Malware

Malware é uma abreviação de software malicioso. Em outras palavras, você pode dizer que é um código que é usado para obter acesso a um site de maneira não autorizada. Um site invadido indica claramente que um malware foi injetado. Agora, se você quiser reconhecer malware no site, tente ver os arquivos alterados recentemente.

Pode haver muitos tipos de infecções por malware na web, mas para o WordPress, as quatro principais infecções por malware estão listadas abaixo:

  • Portas dos fundos
  • Downloads diretos
  • Hacks farmacêuticos
  • Redirecionamentos maliciosos
Maneira de corrigir este problema

Quaisquer problemas de malware podem ser facilmente identificados pesquisando o arquivo modificado recentemente e removendo esse arquivo do seu site WordPress. A outra maneira de lidar com esse problema é instalar uma nova versão do WordPress ou restaurar o site do WordPress de seu backup recente. Ambos os métodos ajudarão você a minimizar as vulnerabilidades de segurança.

10. Permissões de arquivo incorretas

Permissões de arquivo são o conjunto de regras que é usado pelo servidor web. Ele ajuda seu servidor a controlar o acesso ao seu arquivo em seu site WordPress. Agora, às vezes, o que acontece é que o usuário define permissões de arquivo incorretas, o que permite que os invasores acessem o arquivo e o modifiquem de acordo com seus requisitos, o que pode causar grandes danos ao seu site WordPress.

Maneira de corrigir este problema

A melhor maneira de corrigir esse problema é definindo a permissão de arquivo correta para o seu site WordPress. A permissão de arquivo em qualquer site WordPress deve ser conforme listado abaixo:

  • 755 ou 750 para todos os diretórios
  • 644 ou 640 para arquivos
  • 600 para wp-config.php

Ao definir essas permissões, você poderá restringir o acesso ao seu site WordPress, o que o ajudará a protegê-lo dos invasores.

Pensamentos finais

A segurança tem sido uma preocupação primordial para os proprietários de sites ao longo dos anos. Mesmo depois de tantas pesquisas sendo conduzidas nesta área, ninguém conseguiu empilhar a alegação de ser 100% seguro. Isso mostra o nível de complexidade com o qual se tem que lidar ao trabalhar com esse problema.

Levando isso em consideração, tentamos fornecer a você as 10 principais vulnerabilidades de segurança do WordPress e as maneiras de corrigi-las, o que certamente o ajudará em um futuro próximo.

Quais são seus pensamentos sobre este assunto? Mencione-os em nossa seção de comentários. Obrigada!