Muitos proprietários de sites se preocupam com seus sites WordPress sendo hackeados. Gerenciamos muitos sites e entendemos bem essa preocupação.
Ser hackeado é muito frustrante e pode prejudicar seu negócio. Embora hackers tentem atacar todos os tipos de sites, alguns erros comuns podem tornar seu site WordPress um alvo mais fácil.
Neste artigo, compartilharemos os principais motivos pelos quais sites WordPress são hackeados para que você possa tomar medidas para proteger melhor seu site.
Por Que o WordPress é Alvo de Hackers?
Primeiro, não é apenas o WordPress. Todos os sites na internet são vulneráveis a tentativas de hacking.
O motivo pelo qual sites WordPress são um alvo comum é que o WordPress é o construtor de sites mais popular do mundo. Ele alimenta mais de 43% de todos os sites, o que significa centenas de milhões de sites em todo o mundo.
Essa imensa popularidade dá aos hackers uma maneira fácil de encontrar sites menos seguros para que possam explorá-los.
Hackers têm vários motivos para invadir um site. Alguns são iniciantes que estão apenas aprendendo a explorar sites menos seguros. Outros têm intenções maliciosas, como distribuir malware, atacar outros sites e enviar spam.
Dito isso, vamos analisar algumas das principais causas de sites WordPress serem hackeados para que você possa aprender como impedir que seu site seja invadido.
1. Hospedagem Web Insegura
Como todos os sites, os sites WordPress são hospedados em um servidor web. Algumas empresas de hospedagem não protegem adequadamente sua plataforma de hospedagem. Isso torna todos os sites hospedados em seus servidores vulneráveis a tentativas de hacking.
Isso pode ser facilmente evitado escolhendo o provedor de melhor hospedagem WordPress para o seu site. Servidores adequadamente seguros podem bloquear muitos dos ataques mais comuns em sites WordPress.
Se você quiser tomar precauções extras, recomendamos o uso de um provedor de hospedagem WordPress gerenciada.
2. Uso de Senhas Fracas
Senhas são as chaves para o seu site WordPress. Você precisa garantir que está usando uma senha forte e única para cada uma das seguintes contas, pois todas elas podem fornecer a um hacker acesso completo ao seu site:
- Sua conta de administrador do WordPress
- Sua conta do painel de controle de hospedagem web
- Suas contas FTP
- O banco de dados MySQL usado para o seu site WordPress
- Todas as contas de e-mail usadas para administração do WordPress e hospedagem
Todas essas contas são protegidas por senhas. O uso de senhas fracas facilita para os hackers quebrarem as senhas usando algumas ferramentas básicas de hacking.
Você pode facilmente evitar isso usando senhas únicas e fortes para cada conta. Veja nosso guia sobre a melhor maneira de gerenciar senhas para iniciantes em WordPress para aprender como gerenciar todas essas senhas fortes.
3. Acesso Desprotegido à Área Administrativa do WordPress (wp-admin)
A área administrativa do WordPress dá a um usuário acesso para realizar diferentes ações em seu site WordPress. É também a área mais comumente atacada de um site WordPress.
Deixar desprotegido permite que hackers tentem diferentes abordagens para invadir seu site. Você pode dificultar isso adicionando camadas de autenticação ao seu diretório de administrador.
Primeiro, você deve proteger com senha sua área de administrador do WordPress. Isso adiciona uma camada extra de segurança, e qualquer pessoa que tentar acessar o administrador do WordPress terá que fornecer uma senha adicional.
Se você administra um site WordPress com vários autores ou usuários, pode exigir senhas fortes para todos os usuários do seu site. Você também pode adicionar autenticação de dois fatores (2FA) para dificultar ainda mais a entrada de hackers na sua área de administrador do WordPress.
4. Permissões de Arquivo Incorretas
As permissões de arquivo são um conjunto de regras usadas pelo seu servidor web. Essas permissões ajudam seu servidor web a controlar o acesso aos arquivos do seu site. Permissões de arquivo incorretas podem dar a um hacker acesso para escrever e alterar esses arquivos.
Todos os seus arquivos do WordPress devem ter o valor 644 como permissão de arquivo. Todas as pastas do seu site WordPress devem ter 755 como sua permissão de arquivo.
Veja nosso guia sobre como corrigir o problema de upload de imagem no WordPress para aprender como aplicar essas permissões de arquivo.
5. Não Manter o WordPress Atualizado
Alguns usuários do WordPress têm medo de atualizar seus sites WordPress. Eles temem que isso possa quebrar o site.
Cada nova versão do WordPress corrige bugs e vulnerabilidades de segurança. Se você não está atualizando o WordPress, então você está intencionalmente deixando seu site vulnerável.
Se você tem medo de que uma atualização possa quebrar seu site, então você pode criar um backup completo do WordPress antes de executar uma atualização. Dessa forma, se algo não funcionar, você poderá reverter facilmente para a versão anterior.
Você pode aprender mais em nosso guia para iniciantes sobre como atualizar o WordPress com segurança.
6. Não Atualizar Plugins ou Tema
Assim como o software principal do WordPress, atualizar seu tema e plugins é igualmente importante. Usar um plugin ou tema desatualizado pode tornar seu site vulnerável.
Falhas de segurança e bugs são frequentemente descobertos em plugins e temas do WordPress. Geralmente, os autores de temas e plugins são rápidos em corrigi-los. No entanto, se um usuário não atualizar seu tema ou plugin, não há nada que ele possa fazer a respeito.
Certifique-se de manter seu tema e plugins do WordPress atualizados. Você pode aprender como em nosso guia sobre a ordem correta de atualização para WordPress, plugins e temas.
7. Usando FTP Simples em vez de SFTP/SSH
Contas FTP são usadas para fazer upload de arquivos para o seu servidor web usando um cliente FTP. A maioria dos provedores de hospedagem suporta conexões FTP usando diferentes protocolos. Você pode se conectar usando FTP simples, SFTP ou SSH.
Quando você se conecta ao seu site usando FTP simples, sua senha é enviada para o servidor sem criptografia. Isso significa que ela pode ser espionada e facilmente roubada. Em vez de usar FTP, você deve sempre usar SFTP ou SSH.
Você não precisa mudar seu cliente FTP. A maioria dos clientes FTP pode se conectar ao seu site via SFTP, bem como SSH. Você só precisa mudar o protocolo para 'SFTP – SSH' ao se conectar ao seu site.
8. Usando Admin como Nome de Usuário do WordPress
Usar 'admin' como seu nome de usuário do WordPress não é recomendado. Se o nome de usuário do seu administrador for 'admin', você deve imediatamente alterá-lo para um nome de usuário diferente.
Para instruções detalhadas, confira nosso tutorial sobre como mudar seu nome de usuário do WordPress.
9. Temas e Plugins Nulled
Existem muitos sites na internet que distribuem plugins e temas pagos do WordPress gratuitamente. Você pode se sentir tentado a usar esses plugins e temas nulled em seu site.
Baixar temas e plugins do WordPress de fontes não confiáveis é muito perigoso. Eles não só podem comprometer a segurança do seu site, mas também podem ser usados para roubar informações confidenciais.
Você deve sempre baixar plugins e temas do WordPress de fontes confiáveis, como o site do desenvolvedor ou os repositórios oficiais do WordPress.
Se você não pode pagar por um plugin ou tema premium, existem sempre alternativas gratuitas disponíveis para esses produtos. Esses plugins gratuitos podem não ser tão bons quanto suas contrapartes pagas, mas eles farão o trabalho e, o mais importante, manterão seu site seguro.
Você também pode encontrar descontos para muitos dos produtos populares do WordPress na seção de ofertas em nosso site.
10. Não proteger o arquivo de configuração do WordPress wp-config.php
O arquivo de configuração do WordPress wp-config.php contém as credenciais de login do seu banco de dados WordPress. Se ele for comprometido, revelará informações que podem dar a um hacker acesso completo ao seu site.
Você pode adicionar uma camada extra de proteção negando o acesso ao arquivo wp-config usando .htaccess. Simplesmente adicione este código ao seu arquivo .htaccess:
<files wp-config.php>
order allow,deny
deny from all
</files>
11. Não Alterar o Prefixo das Tabelas do WordPress
Muitos especialistas recomendam que você altere o prefixo padrão das tabelas do WordPress. Por padrão, o WordPress usa wp_ como prefixo para as tabelas que ele cria em seu banco de dados. Você tem a opção de alterá-lo durante a instalação.
É recomendado que você use um prefixo mais complexo. Isso tornará mais difícil para os hackers adivinharem os nomes das tabelas do seu banco de dados.
Para instruções detalhadas, veja nosso guia sobre como alterar o prefixo do banco de dados do WordPress para melhorar a segurança.
Limpando um Site WordPress Hackeado
Limpar um site WordPress hackeado pode ser doloroso. No entanto, pode ser feito.
Aqui estão alguns recursos para você começar a limpar um site WordPress hackeado:
- Sinais de que seu site WordPress foi hackeado (e como consertar)
- Como escanear seu site WordPress em busca de código potencialmente malicioso
- Como encontrar um backdoor em um site WordPress hackeado e consertá-lo
- O que fazer quando você é bloqueado do administrador do WordPress (wp-admin)
- Guia para iniciantes sobre como restaurar o WordPress a partir de um backup
Dica Bônus
Para uma segurança sólida como rocha, Sucuri oferece serviços de detecção e remoção de malware, bem como um firewall de site que protegerá seu site contra as ameaças mais comuns.
Leia a história de como a Sucuri nos ajudou a bloquear 450.000 ataques do WordPress em 3 meses.
Esperamos que este artigo tenha ajudado você a aprender os principais motivos pelos quais um site WordPress é invadido. Você também pode querer ver nosso guia sobre como proteger seu site WordPress contra ataques de força bruta e nossa seleção especializada dos melhores plugins de segurança do WordPress para proteger seu site.
Se você gostou deste artigo, por favor, inscreva-se em nosso Canal do YouTube para tutoriais em vídeo do WordPress. Você também pode nos encontrar no Twitter e no Facebook.
Dennis Muthomi
ÓTIMA análise das vulnerabilidades de segurança do WordPress.
Após gerenciar atualizações em dezenas de sites de clientes, descobri que implementar um ambiente de staging para testar atualizações é absolutamente crucial. I
sto aborda a preocupação mencionada nos pontos 5 e 6 sobre atualizações que potencialmente quebram sites. Eu crio uma cópia de staging, executo as atualizações lá primeiro, testo minuciosamente e só então atualizo o site principal. Essa abordagem salvou meus clientes de inúmeros problemas potenciais, mantendo seus sites seguros e atualizados. É um passo extra, mas que vale muito a pena pela tranquilidade.
Jiří Vaněk
O que exatamente fazem as diretivas para proteger o arquivo wp-config.php usando o arquivo .htaccess? Elas negam acesso a qualquer pessoa de fora, permitindo acesso apenas ao arquivo por aplicativos específicos? Estou entendendo corretamente?
Isso não causará algum outro problema de não conseguir acessar o arquivo?
WPBeginner Support
Isso impediria o acesso de alguém tentando abrir o arquivo diretamente e, na maioria dos casos, não deveria causar um problema ao limitar o acesso dessa forma.
Admin
Jiří Vaněk
Obrigado pela resposta. Eu só queria ter certeza de que poderia haver uma situação em que eu quebraria alguma comunicação interna do WordPress. Eu definitivamente aplico segurança.
SaifZiya
Obrigado por essas dicas incríveis. Vou adicionar o código ao arquivo .htaccess agora.
Amit Khandelwal
Olá, eu protegi minha pasta wp-admin através da privacidade de pastas, mas como posso fazer o mesmo para o URL wp-login?
Dragos
Você também pode não instalar no local padrão do seu site WordPress, então você pode realmente instalar o wp em uma pasta chamada “secure” e, em seguida, com alguns truques, seus visitantes entrarão em seu site.com e não site.com/secure para ver seu site.