E como resolvê-los
WordPress é, de longe, o CMS mais popular do mundo. Também está entre os mais seguros.
Isso pode não ser óbvio, considerando quantos artigos você lê sobre ataques de segurança contra sites WordPress.
A verdade é que, quando você alimenta mais de 40% dos sites do mundo, você é obrigado a ser um alvo.
Dada essa exposição, o WordPress tem uma impressionante gama de proteções potenciais.
No entanto, as muitas partes móveis que se unem para criar um site ainda podem criar falhas de segurança.
Então, sim, wordpress pode ser seguro.
Mas o quão protegidos seu site e dados de backend realmente depende de quão ativamente você gerencia suas configurações de segurança e o plano que você tem em vigor para prevenir e mitigar ataques.
Inevitavelmente, algumas vulnerabilidades de segurança do WordPress aparecerão ao longo do tempo.
Em um mundo onde 30.000 sites são hackeados todos os dias, isso é quase inevitável.
A chave para o gerenciamento bem-sucedido do site, então, é garantir que você entenda possíveis falhas e coloque os planos em prática para protegê-los.
No WordPress, esse processo é relativamente simples — desde que você saiba onde procurar e como corrigir os problemas mais comuns.
E isso é exatamente o que vamos cobrir neste guia.
Vulnerabilidade 1: Segurança de login
Você, e qualquer pessoa com acesso para editar o back-backend (o painel administrativo) do seu site, tem logins.
A segurança desses logins desempenha um papel importante em manter seu site seguro e seguro.
O que é?
A segurança de seus logins administrativos é talvez o problema de segurança mais simples com o WordPress.
Como este CMS é tão amplamente utilizado, a tela de login do administrador (que é idêntica para todos os sites da plataforma) é um alvo fácil para usuários mal-intencionados.
Mais comumente, sua segurança de login é comprometida por causa dos chamados ataques de “força bruta”.
Veja como a empresa de segurança cibernética Kaspersky descreve este método de hacking antigo, mas comprovado:
Um ataque de força bruta consiste em uma tentativa de violar uma senha ou um nome de usuário, encontrar uma página da Web oculta ou descobrir uma chave usada para criptografar uma mensagem, usando uma abordagem de tentativa e erro e esperando que, em algum momento, seja possível adivinhá-la. Esse é um método de ataque antigo, mas ainda é popular e eficiente entre os hackers.
De acordo com o comprimento e complexidade da senha, isso pode levar de alguns segundos até muitos anos. Na verdade, a que alguns hackers visam os mesmos sistemas todos os dias por meses e até anos.
Em outras palavras, os hackers constroem um script que passa por milhões de combinações potenciais de nome de usuário e senha na fração de segundo. Uma vez que eles têm sorte, o script anota os códigos que os levaram lá, proporcionando fácil acesso pela porta da frente.
Sua segurança de login nem sempre é comprometida através da força bruta, no entanto.
Senhas de administração fáceis de adivinhar (aqui está uma lista) podem permitir o acesso a qualquer um que esteja disposto a tentar. Uma vez dentro, eles serão capazes de ver e editar qualquer coisa que você puder.
Como você conserta isso?
Felizmente, a solução para essa falha de segurança é bastante simples: melhore suas senhas.
Mesmo ataques de força bruta sofisticados terão problemas para adivinhar senhas imprevisíveis que são feitas de vários tipos de caracteres.
Senhas fortes com combinações de letras, números e caracteres especiais tornam mais difícil para os hackers invadirem seu site.
Este guia da própria Kaspersky é um ótimo recurso para começar.
Faça direito, e levará até anos para quebrar um algoritmo de força bruta.
E se tudo isso ficar muito complexo para o seu próprio bem, usar um gerenciador de senhas pode ajudá-lo a manter o controle e permanecer forte.
Você pode dar alguns outros passos, também.
A autenticação em duas etapas torna suas senhas de administração impossíveis de quebrar.
Você também pode se livrar da conta padrão “administrador”, que tende a ser a primeira na fila para um ataque administrativo.
Com uma autenticação de dois fatores, ajuda a garantir que apenas pessoas autorizadas sejam capazes de ter acesso ao seu site.
Outra sugestão é limitar quem tem acesso ao seu site em primeiro lugar.
Isso reduz o número de contas que os hackers podem assumir para ter acesso.
Para proteção extra, através do uso de um plugin WordPress, você pode limitar as tentativas de login e aumentar a segurança do WordPress (basta ter cuidado com os plugins usados como observado em nossa próxima seção.)
Isso, em última análise, pode manter seu site WordPress mais seguro contra hackers usando ataques de força bruta para adivinhar sua senha.
Também limite as tentativas de login para funções/cargos administrativos específicos dentro do site – quanto maior a função/posição, mais segurança necessária!
Vulnerabilidade 2: Software ou Plugins desatualizados
Não esqueçamos que os plugins podem ser ótimos no uso certo, mas eles precisam ser gerenciados para evitar riscos de segurança.
O que é?
O WordPress é atualizado com frequência. De um modo geral, recomendamos verificar atualizações pelo menos uma vez por mês.
Se você parar de atualizar seu software principal, você corre o risco de abrir seu site para falhas de segurança e vulnerabilidades de segurança que as atualizações são especificamente projetadas para resolver.
O mesmo vale para plugins, que são um backdoor conveniente para hackers se o software principal estiver bem protegido.
Se você não verificar atualizações com frequência, você pode se abrir para vulnerabilidades do WordPress e problemas comuns de segurança.
Ignore essas atualizações e seu site fica vulnerável.
Os usuários mal-intencionados agora têm acesso ao código backend, que eles podem usar para instalar malware ou rastreadores que, em última análise, comprometem seus dados.
Como você conserta isso?
A resposta fácil é garantir que tanto o software principal do WordPress quanto os plugins e temas estejam sempre atualizados. É assim que você pode conseguir isso.
Dentro do seu sistema WordPress, navegue até a guia Atualizações, o que lhe dá uma visão geral fácil do que precisa ser atualizado e do que já está na versão mais recente.
Você também pode verificar se há atualizações com o clique de um botão, e ver a última vez que você realizou essa verificação.
As atualizações para seus Plugins aparecerão na guia Plugins no mesmo sistema.
Você precisará atualizá-los individualmente, o que pode levar algum tempo.
Verifique as duas guias com frequência.
Uma vez por mês é uma boa cadência, mas não há penalidades para verificações mais regulares.
Reserve algum tempo para executar as atualizações.
Vulnerabilidade 3: Malware
Você provavelmente já ouviu o termo como uma coisa a evitar.
Mas o que é, e como você pode evitá-lo?
Vamos investigar o malware como uma vulnerabilidade comum de segurança do WordPress.
O que é?
Malware, abreviação em inglês de malicious software – software malicioso.
Existe como uma ameaça em qualquer coisa relacionada à codificação e tecnologia.
Em sites especificamente, é mais comumente algumas linhas de códigos que são contrabandeadas em seu site especificamente para rastrear e enviar relatórios sobre dados confidenciais que você prefere manter para si mesmo.
O malware pode roubar informações de cartão de crédito em seu site de comércio eletrônico.
Ele pode verificar se há logins do cliente ou começar a seguir os usuários do seu site para outros destinos.
Ele pode até ser usado para spam de conteúdo do seu site.
Em outras palavras, não é necessariamente o tipo de parasita que você quer deixar entrar.
Como você conserta isso?
A razão mais comum pela qual o malware encontra seu caminho para sites wordpress são plugins e temas desatualizados, e nós já falamos disso acima.
Mas também devemos mencionar que alguns plugins vêm com malware embutido.
Naturalmente, você quer evitar isso.
Isso significa que você precisa ser criterioso com qualquer plugin que se queira instalar no seu site.
Em seu diretório de plugin, o WordPress lista informações básicas sobre cada uma de suas mais de 58.000 opções, incluindo informações básicas de segurança. É um ótimo começo.
Também ajuda a trabalhar com um parceiro de desenvolvimento que pode vetar plugins mais detalhadamente em seu nome.
De um modo geral, é melhor pagar um pouco mais por um plugin bem avaliado do que obter um de graça que vem com uma adição de malware oculto e inútil.
Mas não basta estar atento no começo. Ele também ajuda a executar regularmente um dos muitos scanners de segurança do WordPress disponíveis que podem ajudá-lo a encontrar e remover malwares.
Vulnerabilidade 4: Phishing
Um ataque de phishing inclui hackers “pescando” informações pessoais de seus clientes, usando as vulnerabilidades do seu site.
O que é?
Veja como o phishing tende a funcionar: através de uma vulnerabilidade no código do seu site, um usuário mal-intencionado ganha acesso ao seu banco de dados de contatos de visitantes do site.
Eles usam essas informações de contato para enviar inúmeros e-mails fingindo ser outra coisa.
A mensagem em si conterá um link prometendo uma resolução ou recompensa de algum tipo.
Uma vez que o usuário clica nele, o malware se instala em seu computador ou navegador, e suas informações (incluindo informações de cartão de crédito) são expostas a roubo.
Você já se deparou, ou pelo menos ouviu falar sobre isso.
De acordo com empresa de segurança digital Malwarebytes:
Phishing é o tipo mais simples de ciberataque e, ao mesmo tempo, o mais perigoso e eficiente.
Eis o problema: quando o phishing acontece através do seu site e/ou da conta administrativa WordPress, os invasores se apresentam como representando você ou seu negócio.
Os usuários que forem lesados por isso, provavelmente nunca mais confiarão em você.
Mas mesmo para aqueles que o reconhecem como inválido, sua credibilidade pode estar severamente comprometida.
Como você conserta isso?
Como o phishing depende de codificação e malware dentro do seu sistema, a correção aqui é semelhante a algumas das etapas que mencionamos acima.
Use senhas seguras, atualize regularmente sua plataforma e plugins e execute verificações de segurança periódicas.
Você também pode fazer mais.
Por exemplo, considere usar tecnologia como o ReCAPTCHA como outra solução de segurança, que pode impedir que os bots postem mensagens de phishing em seus comentários.
Se você for exposto a um ataque de phishing, uma reação rápida para proteger seu site e deixar seus usuários saberem que não clicar em links específicos, pode mitigar alguns danos.
Vulnerabilidade 5: Ataques DDoS
De certa forma, é um pouco como força bruta.
Quando os hackers atacam seu site através de um Ataque de Negação de Serviço (DDoS), eles tentam sobrecarregá-lo com grande volume.
Os resultados podem ser devastadores.
O que é?
Hackers que se envolvem em um ataque DDoS enviam tanto tráfego de bot para o seu site que seu servidor não pode lidar com isso.
O site falha, impedindo que você e seu público acessem até que o problema seja resolvido.
Ao contrário das outras vulnerabilidades de segurança mencionadas até agora, o foco do ataque DDoS não está no seu site, mas no servidor em que ele se encontra.
Nenhum servidor pode lidar com uma quantidade infinita de tráfego, e o objetivo é quebrá-lo para que o site não tenha nenhuma base para ficar.
Como resultado, os ataques DDoS não prejudicam o código do seu site ou dados confidenciais.
Eles simplesmente fazem sua infraestrutura ficar de joelhos.
Claro, você perderá receita e credibilidade no processo, especialmente porque seus usuários não saberão o que aconteceu e simplesmente pensarão que seu site não existe mais até que seja corrigido.
Como você conserta isso?
Como os ataques DDoS visam o servidor do seu site, encontrar o host certo é a chave para preveni-los.
Esse servidor, idealmente, deve ter algumas medidas básicas (como um firewall forte) para evitar ataques simples.
Além da credibilidade e segurança do próprio host, também ajuda a planejar com mais largura de banda do que você acha que vai precisar.
Se o seu site puder suportar uma quantidade inesperada de tráfego, você estará preparado não apenas para um aumento de clientes ao longo do tempo, mas também para o aumento repentino que vem com ataques simples.
Mesmo ambos os passos podem não protegê-lo completamente contra ataques DDoS.
É por isso que o passo final é construir um plano de resposta DDoS.
Aprenda a detectar sinais de alerta precoces, como conectividade irregular ou lentidão aleatória da carga de página.
Ele também ajuda a ter um plano de backup em vigor para responder a um ataque, que pode incluir qualquer coisa, desde notificações para seus públicos internos e externos, e a mudança potencial para um novo servidor caso o subsistisse de ataque DDoS.
Vulnerabilidade 6: SPAM SEO
Finalmente, vamos falar sobre o lado negro do SEO.
Por mais que adoremos otimizar sites para classificar em alto nível em mecanismos de busca, a estratégia pode ser explorada por pessoas mal-intencionadas através de spam SEO.
O que é?
Você conhece as estratégias típicas de Black Hat SEO, como spam de link e recheio de palavras-chave?
Primeiramente vamos ao conceito: o que é Black Hat SEO?
Conhecido também como SEO Negativo, o Black Hat SEO é um conjunto de práticas anti-éticas e altamente contestadas que podem prejudicar o ranking geral das páginas do seu site.
O Google os encontra e os pune de forma eficaz nos dias de hoje.
Claro, isso não é útil se estiver sendo feito especificamente para prejudicar os esforços de SEO do seu site.
Spammers SEO fazem exatamente isso.
Eles usam um malware para alterar código e conteúdo em seu site para levar o Google a puni-lo.
Isso pode incluir preencher o site com palavras-chave ruins, vincular sites de baixa credibilidade e até mesmo criar pop-ups que pioram a experiência do usuário e ocultam conteúdo valioso.
E pode piorar. Spammers avançados de SEO podem usar seus rankings suados para vender suas próprias mercadorias questionáveis.
Assim que o Google notar, seu site (não o deles) receberá a punição.
Com o tempo, os resultados podem ser devastadores.
De acordo com um estudo da BrightEdge, mais 50% do tráfego vem dos resultados orgânicos dos mecanismos de busca.
Imagine a devastação do seu pipeline online se o Google começar a empurrar sua página para rankings e páginas mais baixas em suas páginas de resultados.
Como você conserta isso?
Os spammers do SEO operam em grande parte através de malware, então software atualizado e verificações regulares de segurança podem ajudar aqui também.
Esse é o começo básico.
Além disso, também ajuda a monitorar de perto seus resultados de pesquisa e esforços de SEO.
Se sua estratégia não está mudando, mas de repente você está vendo quedas no tráfego de pesquisa, talvez seja a hora de você verificar.
Finalmente, proteja-se contra a forma mais básica de spam SEO: links para o seu site a partir de páginas questionáveis.
Negar regularmente backlinks ruins pode ajudá-lo a manter essa biblioteca limpa e ficar do lado bom do Google.
Conclusão
De um modo geral, o WordPress é tão seguro quanto se poderia esperar da maior plataforma CMS do mundo.
Ainda assim, como em qualquer plataforma, existem algumas vulnerabilidades de segurança que você vai querer ficar à frente.
Simplificando, não existe tanta segurança.
Nunca custa acabar com ameaças potenciais muito antes de se tornarem problemas reais que afetam sua receita.
Felizmente, tomar os passos certos é relativamente simples.
As soluções descritas ao longo deste guia não se aplicam apenas a esses tipos específicos de ataques.
Criar senhas complexas, manter seu software e plugins atualizados e executar verificações de segurança regulares nunca é uma má ideia.
Também é ter certeza de que você usa um host seguro para o seu site.
Afinal, você quer essa paz de espírito.
Você quer manter sua credibilidade e aumentar sua receita.
Ao tornar a segurança uma parte regular da administração do seu site, você pode realizar exatamente isso.
Você tem alguma experiência com vulnerabilidades de segurança do WordPress?
Como você os resolveu, e o que aprendeu?
Conte para nós a sua opinião nos comentários.
O que achou?
Tem feedback? Talvez algumas perguntas? Seja o que for, adoraríamos ouvir de você.
Leia também
Quanto custa um site WordPress?
5 itens essenciais para manter seu site WordPress seguro
