Não é pequena surpresa que a segurança se tenha tornado uma preocupação significativa para os desenvolvedores web e proprietários de sites. Como a internet explodiu em popularidade e se tornou o novo método de comunicação, pesquisa e compras, as verificações de segurança do site são fundamentais para impedir a propagação de malware e spam.

Quer você tenha um pequeno blog pessoal ou uma enorme loja on-line multinacional, a ameaça de ser hackeado está sempre presente. Algumas pessoas irão desfigurar o seu site e incorporar malware nele, tentar roubar os seus dados ou os dos seus clientes, e apagar conteúdos importantes no seu servidor. Você precisa se proteger e proteger suas informações confidenciais.

Vamos descobrir exatamente o quão seguro o seu site é neste momento. Também vamos oferecer algumas dicas sobre como remover os autores de malwares. O WordPress é seguro, mas é preciso um pouco de trabalho para corrigi-lo completamente.

Confira nosso guia em vídeo para realizar uma verificação de segurança do site

Verificação de segurança do site: Porque isso importa?

Vous pourriez penser que votre site web est si petit et sans importance que personne ne prendrait la peine de le cibler. Ou peut-être n’avez-vous jamais pensé à la sécurité auparavant et pensez-vous que cela n’a pas assez d’importance pour vous en préoccuper.

Pensando assim é que, em 2013, mais de 70% dos sites WordPress eram vulneráveis a ataques. Muitos destes ataques foram devido a software ultrapassado – porque a maioria das pessoas ou não sabe o suficiente ou não se importa o suficiente para proteger seus sites, o que levou a uma onda maciça de hackers visando os sites do WordPress.

CMS desactualizado vs CMS actualizado em 2019.
CMS desatualizado vs CMS atualizado em 2019.

Então o que pode acontecer se o seu site sofrer uma invasão indesejada? Não é apenas um simples inconveniente facilmente resolvido alterando sua senha.

  • O seu site pode ter um código injetado que faz com que os visitantes se infectem com malware, o que pode ser extremamente difícil de localizar e remover.
  • Suas páginas críticas podem estar deformadas, apagadas ou recheadas de links para sites ilegais.
  • Pode resultar na eliminação de conteúdos como posts em blogs e páginas.
  • Informações sensíveis, como login ou informações de cartão de crédito pertencentes a você, seus usuários ou seus clientes podem ser roubados e vendidos on-line.
  • Ataques podem se espalhar para outros sites no seu servidor.
  • Se o Google detectar qualquer malware no seu site, irá bloquear o seu acesso e removê-lo dos resultados de pesquisa, destruindo os seus esforços de optimização para o mecanismo de pesquisa (SEO).
  • O nome de usuário e a senha da conta de administrador podem ser alterados, impedindo que você acesse seu back-end.

Sites hackeados podem ser um grande negócio se você administra uma loja de comércio eletrônico.

E embora você possa dizer que o seu site não importa o suficiente, nem todos os ataques são alvos. Muitos ataques do WordPress são automatizados – um bot sonda seu site por vulnerabilidades e inicia um ataque sem intervenção humana.

É por isso que você precisa tomar medidas para proteger seu site, não importa o que aconteça.

Por que o WordPress é hackeado?

A hacking é generalizada, mas quais são as vulnerabilidades mais comuns usadas pelos hackers para invadir seu site?

Você pode imaginar que entrar em um site é um processo desafiador que requer dias ou semanas de trabalho e um vasto conhecimento sobre computadores, codificação e servidores. Esta situação pode ser verdadeira para tentativas direcionadas de quebrar as defesas de um site grande e bem protegido, mas a história é muito diferente quando se trata de pequenos domínios WordPress.

A grande maioria dos ataques ao WordPress são bem sucedidos devido às pessoas usarem senhas fáceis de adivinhar e não atualizarem seus temas e plugins. Os hackers invadem a maioria desses sites usando programas automatizados.

A quebra de senha é a forma mais simples de hacking possível, mas é tão comum porque funciona. Muitas pessoas deixam seu login no WordPress no “admin” padrão, tirando metade da adivinhação, e depois usam uma senha simples e adivinhável.

Quando isso falhar, os hackers irão aproveitar vulnerabilidades comuns em plugins populares ou versões desatualizadas do WordPress. É por isso que é tão importante manter tudo atualizado.

Há muitas formas mais complicadas e complexas de entrar em um site. Ainda assim, a maioria dos ataques WordPress fazem uso do fruto de uma senha insegura e de um software ultrapassado que torna extremamente fácil entrar em um site.

Como realizar uma verificação de segurança do site

O primeiro passo para proteger o seu site: determinar o quão seguro o seu site já está. Existem vulnerabilidades gritantes em seu back-end que você precisa corrigir imediatamente, ou alguma correção fácil que você pode fazer agora?

Use uma ferramenta on-line

Uma maneira rápida e fácil de verificar o seu site quanto a malware e vulnerabilidades é usar um scanner on-line. Estes verificam remotamente o seu site e identificam problemas comuns. É super conveniente, pois não requer nenhum software ou plugins e leva apenas alguns segundos.

Há dezenas de scanners para escolher on-line, e listaremos alguns outros em nossa seção de ferramentas abaixo, mas por enquanto, vamos escolher um popular que seja fácil de usar: Sucuri SiteCheck.

Sucuri SiteCheck
Sucuri SiteCheck.

Esta ferramenta é uma boa escolha, uma vez que pode instalar o plugin Sucuri e corrigir quaisquer problemas que ele detecte.

Depois de verificar o seu site, a Sucuri irá verificá-lo contra listas de bloqueio, procurar problemas óbvios como spam injectado ou software desatualizado, e verificar brevemente qualquer código a que possa aceder em busca de malware. Ele também oferece algumas sugestões para endurecer o seu site contra ataques.

Digitalização de um site com o plugin Sucuri.
Digitalização de um site com o plugin Sucuri.

Ferramentas como esta são um ótimo ponto de partida para detectar malware oculto e outros problemas.

Escaneie seu site com um plugin WordPress

Enquanto os scanners on-line funcionam bem o suficiente, é ainda melhor instalar um plugin capaz de penetrar profundamente na raiz do seu código e pescar vulnerabilidades ou malwares difíceis de detectar.

Já mencionámos Sucuri como uma opção. Há também dois plugins de segurança ainda mais populares: All in One WP Security & Firewall, e o mais baixado no repositório, Wordfence Security.

Uma vez instalado o plugin de sua escolha, ele provavelmente instruirá você a executar uma varredura imediatamente. O lado positivo desses plugins sobre os scanners remotos é que eles podem remover o malware e fazer alterações automaticamente.

Procure por mudanças estranhas

Se você suspeitar ou souber que seu site foi infectado por malware, a identificação da fonte pode, às vezes, ser um desafio. Aqui estão algumas mudanças inexplicáveis que você pode notar, assim como os hackers de arquivos são normalmente atraídos:

  • Links repentinos para sites estranhos que você mesmo não adicionou
  • Novos artigos e páginas que você não criou, ou o conteúdo de páginas existentes mudando repentinamente
  • Mudanças nas configurações que você não fez
  • Um novo usuário, especialmente um com privilégios de alto nível, você não adicionou
  • Plugins ou temas que você não instalou
  • O malware pode muitas vezes injetar código malicioso em seus arquivos. Verifique os arquivos de plugin e tema, a pasta wp-content/uploads, os arquivos centrais do WordPress localizados em um diretório incorreto, wp-config.php e . htaccess. Você deve fazer backup do seu site e ter uma compreensão do código antes de fazer qualquer alteração sensível.

Se você se conectar ao seu site com FTP, você pode ordenar por arquivos modificados recentemente para códigos que não deveriam estar lá.

Se o seu site for infectado periodicamente com malware e você não encontrar nenhuma causa nos arquivos, o problema pode ser com o seu servidor ou outro site no seu servidor.

Certifique-se de que tudo está em dia

Como já mencionámos, software desatualizado é de longe o fator de infecção mais comum no WordPress. Se há apenas uma coisa que você pode fazer para manter seu site seguro, é manter o WordPress atualizado.

A maneira mais fácil de verificar o estado de todo o software do seu site é indo ao Painel > Atualizações, que o alertará se seu núcleo, tema ou plugins estiverem desatualizados.

Actualizações WordPress
Actualizações WordPress

Como o WordPress agora realiza atualizações automáticas desde a versão 5.5, nada deve estar desatualizado, a menos que você tenha uma versão desatualizada do WordPress. Se você não tiver, você pode atualizar tudo a partir desta tela.

Se você sabe que há uma nova versão do WordPress, mas ela não está aparecendo, clique no botão Verificar novamente abaixo Versão atual.

Você também pode verificar seus Plugins > Installed Plugins or Appearance > Themes para atualizações.

Contas e senhas seguras

Uma senha fraca na sua conta principal facilita a entrada de qualquer pessoa no seu site com programas de força bruta, dando-lhes acesso de administrador e a capacidade de alterar qualquer coisa.

Embora uma senha complicada possa ser difícil de lembrar, tornando o login menos conveniente, é ainda mais inconveniente ter que recuperar seu site de um hack. Vale definitivamente a pena usar uma senha mais segura, mesmo que você tenha que mantê-la anotada.

Sua senha deve usar uma mistura de letras maiúsculas e minúsculas, números e símbolos. Seria melhor se você não a baseasse em palavras de dicionário ou informações pessoais adivinháveis, como seu endereço ou o nome de um membro da família.

Na melhor das hipóteses, sua senha seria uma seqüência longa e confusa de caracteres aleatórios. Recomendamos fortemente que você use um gerenciador de senhas. Use um site como 1Password ou LastPass para gerar uma palavra-passe segura e inequívoca.

Gerar uma senha segura com o LastPass.
Gerar uma senha segura com o LastPass.

Você pode atualizar sua senha e e-mail no WordPress, indo para Usuários > Todos os usuários ou diretamente para Usuários > Perfil. Role para baixo e encontre o e-mail em Informações de contato, e Nova senha em Gerenciamento de conta.

Definir uma nova senha no WordPress
Definir uma nova senha no WordPress

Enquanto você estiver na página Usuários, dê uma olhada em todos os seus usuários e verifique se não há ninguém lá que você não reconheça ou tenha permissões inadequadas. Você deve remover imediatamente qualquer usuário não identificado com permissões administrativas.

Também o encorajamos a rever este guia sobre restrição de permissões de conta para que somente sua conta possa editar arquivos sensíveis em seu site.

Verifique o seu certificado SSL

Se o seu certificado SSL estiver desatualizado, normalmente saberá imediatamente; navegadores como o Google Chrome bloquearão o acesso ao seu site com um enorme aviso sobre o certificado expirado. Se não tiver a certeza ou já estiver a receber este erro, verifique o seu certificado SSL para ver se está atualizado e se está a utilizar a versão mais recente do SSL/TLS.

Quando você visita um site, você verá um ícone de cadeado na barra de endereços na maioria dos navegadores. Se o seu certificado estiver expirado, este cadeado pode estar vermelho ou ter uma barra cortada através dele.

Clique no ícone de bloqueio, depois clique novamente para ver as informações do certificado, incluindo a data de validade.

Verificar o certificado SSL de um website.
Verificar o certificado SSL de um site.

Você também pode usar um verificador de certificados SSL para verificar o seu site para ter certeza de que o seu certificado não está expirado, e não há vulnerabilidades presentes no seu protocolo SSL.

Vulnerabilidades comuns

Muitos sites WordPress estão cheios de pequenos vetores para ataques que podem parecer inócuos, mas que podem fornecer mais informações do que você quer compartilhar.

Ter uma versão visível do WordPress no seu front-end diz aos hackers exatamente quais vulnerabilidades estão presentes no seu site. Especialmente se você estiver usando uma versão desatualizada do WordPress, você pode querer ocultar esta informação.

Você vai notar os editores de arquivos em Aparência > Editor de Tema e Plugins > Editor de Plugins no seu back-end.

Adicionando código ao Editor Temático
Adicionando código ao Editor Temático

Embora estas ferramentas sejam muito convenientes, também as torna adequadas para quem hackeia o seu site para quebrar algo, por isso você pode querer desligá-las. Você pode fazê-lo adicionando esta função ao wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

Injeções SQL são uma forma comum de invasão de um site. Se você tiver algum formulário ou outra entrada de usuário, restrinja o uso de caracteres especiais e permita apenas que sejam carregados tipos de arquivos seguros e comuns.

Finalmente, para uma camada extra de proteção, você pode proteger diretórios de arquivos com senha.

Como proteger o seu site: Dicas e ferramentas

Se o seu site tem malware, um bom plugin de segurança deve fazer o truque de removê-lo. E nós já cobrimos acima algumas vulnerabilidades que você vai querer verificar.

Confira nosso guia de vídeo para proteger seu site

Temos outras dicas rápidas para proteger o seu site e prevenir infecções antes que elas aconteçam. Você pode aplicar a maioria dessas dicas em minutos, portanto devem ser fáceis de configurar, mesmo que você não esteja familiarizado com WordPress e segurança da web.

Escolha uma hospedagem de sites seguro

Quando os hackers estão à procura de uma forma de entrar no seu site, eles muitas vezes se voltam para o servidor para procurar explorações. Há muita hospedagem barata por aí, mas eles nem sempre investem nos servidores mais seguros.

O alojamento partilhado pode ser um vector de infecção. Se um site estiver infectado com malware, ele pode potencialmente se espalhar para todos os sites do servidor. Então você pode acabar com um site cheio de vírus e spam SEO, e não seria culpa sua.

É por isso que é vital fazer a sua pesquisa e escolher uma hospedagem que se preocupe com a segurança e invista em servidores seguros. Você ainda precisará colocar o trabalho para proteger seu site, mas no nível do servidor, seus dados estão seguros.

Ative a autenticação de dois fatores (2FA)

Autenticação de dois fatores (também conhecida como autenticação em duas etapas ou 2FA) adiciona outra etapa de login. Além do nome de usuário e senha, você ou qualquer pessoa que finja ser você também precisará de outra informação: um código adicional único.

Pode ser um código numérico enviado para o seu telefone, o que pode tornar a sua conta WordPress quase desvinculável através da força bruta. Alternativamente, pode exigir verificação por e-mail ou um pedaço de informação que só você conhece.

Embora não haja uma forma integrada de permitir autenticação de dois fatores, muitos plugins adicionam a funcionalidade ao WordPress.

Kinsta oferece autenticação de dois fatores a todos os clientes. Se você não é um usuário Kinsta, no entanto, o plugin de segurança Wordfence que mencionamos anteriormente vem com 2FA embutido. Você também pode tentar outras ferramentas de segurança do site, como o plugin de dois fatores para códigos de email ou o Duo para configurar a autenticação de telefone de dois fatores através de um aplicativo.

Duo Plugin de Autenticação de Dois Fatores
Duo Plugin de Autenticação de Dois Fatores

Faça backup todos os dias

Fazer backup do seu site não pode salvá-lo de pessoas que tentam invadi-lo, mas se algo acontecer, ter um backup será de valor inestimável. Isso pode significar a diferença entre perder semanas ou até mesmo anos de trabalho e simplesmente restaurar para um backup de antes do hack.

Se você estiver com Kinsta, nós o cobriremos com backups automatizados diários que são armazenados por duas semanas (30 dias para aqueles com Programa de Agência Parceira da Kinsta). Além disso, você pode criar cinco backups manuais e um backup descarregável por semana, e há complementos opcionais para fazer o backup de hora em hora ou exportar para a nuvem.

Plugins como o UpdraftPlus também podem ajudar. É melhor escolher um serviço que faça backup diariamente, no mínimo, para minimizar a perda de dados.

Use um Firewall de Aplicativo Web

Um firewall de aplicativo  web, ou WAF, usa regras rígidas para filtrar o tráfego de entrada, IPs de lista de bloqueio conhecidos por estarem associados a hacking ou ataques DDoS. Ele impede que muitos ataques cheguem ao seu servidor.

Enquanto você pode aplicar WAFs no nível de servidor, é mais fácil comprar um serviço baseado em nuvem, como um fornecido pela Cloudflare ou Sucuri.

Conecte através de SSH ou SFTP

Às vezes você precisa se conectar ao seu site com FTP para adicionar ou modificar arquivos lá. É sempre melhor usar SFTP sobre FTP; a diferença é simples: SFTP é seguro, e FTP não é.

Com FTP, seus dados não são criptografados. Se alguém conseguir interceptar a ligação entre si e o seu servidor, poderá ver tudo, desde as suas credenciais de início de sessão por FTP a quaisquer arquivos que carregue. Conecte-se sempre com SFTP.

Você também pode considerar o uso do acesso SSH, que lhe permite conectar-se a um prompt de comando e gerenciar seu site mais diretamente. É seguro, seguro, e pode lidar remotamente com tarefas simples. Nosso guia para o SSH pode ajudar se você estiver preso.

Evite ataques DDoS

Os ataques DDoS atrasam o seu site para um crawl, enviando spam para o seu servidor com milhares de pedidos falsos, impedindo que potenciais leitores ou clientes acedam ao mesmo. Aqui estão algumas dicas para pará-los antes que eles aconteçam:

  • Tenha um plano para quando for atingido por um ataque DDoS. Você não quer entrar em pânico quando precisar alertar seu web host e parar o ataque.
  • Use um firewall de aplicativo web que pode ser capaz de detectar tráfego falso.
  • Use um software anti-DDoS especificamente adaptado.
  • Desabilite o xmlrpc.php para evitar que aplicativos de terceiros utilizem o seu servidor.
  • Desativaro REST API para usuários em geral.

Evite ataques de força bruta

Os ataques de força bruta podem ser similares aos ataques DDoS, mas o objetivo é adivinhar sua senha de administrador e invadir o site ao invés de derrubar seu servidor. Dito isto, estes também podem diminuir a velocidade do seu site.

Ferramentas de segurança do site que você precisa conhecer

Além daqueles que já mencionamos, aqui estão mais algumas ferramentas de segurança on-line que o ajudarão a proteger o seu site:

  • Intruder.io: Procura as últimas vulnerabilidades.
  • SSL Server Test: Ferramenta do desenvolvedor que analisa seu certificado SSL e identifica os pontos fracos.
  • HTML Purifier: Filtra código malicioso/XSS, ótimo se você tem código infectado que você precisa limpar.
  • Mozilla Observatory: Conselhos úteis para purgar o seu código de vulnerabilidades comuns.
  • sqlmap: Uma ferramenta de teste de penetração para identificar exploits no seu código SQL.
  • Detectify: Digitalize as suas aplicações web com a ajuda de hackers éticos.
  • WPScan: Um scanner WordPress baseado em CLI.
  • SonarQube: Escreva um código em conformidade com as normas sem lacunas de segurança.

Checklist de segurança do site

O seu site está a salvo de ataques? Certifique-se de ter assinalado quase tudo nesta checklist:

  • Você está usando um ambiente de hospedagem seguro e de alta qualidade?
  • Você escaneou seu site com um plugin ou verificador on-line para verificar a existência de vírus?
  • Você já instalou um registro de atividades e está monitorando as mudanças não usuais?
  • Você e qualquer usuário com privilégios de alto nível usam senhas seguras e autenticação de dois fatores? Todos os e-mails estão corretos?
  • O WordPress, seus temas e plugins, e sistemas subjacentes como o PHP estão atualizados?
  • O seu certificado SSL está seguro e atualizado?
  • Já verificou alterações inexplicáveis, eliminação ou adição de conteúdo, ou links que não adicionou nas suas páginas web, definições ou arquivos?
  • A sua página de login está protegida por uma senha e por tentativas limitadas de login?
  • Já verificou se há novos utilizadores que não tenha adicionado?
  • Os formulários, caixas de comentários e outras fontes de entrada do usuário estão protegidos? (Proibir caracteres especiais e restringir o upload de arquivos a tipos de arquivos conhecidos).
  • Você desabilitou o xmlrpc.php e o REST API para prevenir ataques DDoS?
  • Você desativou a edição de temas e plugins no painel de controle?
  • Você tem um serviço diário de backup?
  • Você tem uma firewall de aplicativo web configurada?

Resumo

A segurança do site não é um negócio menor, então se você ainda não está em cima dele, o momento é agora para torná-lo uma prioridade. Ser hackeado não só incomoda – pode acabar em SEO danificado, perda de dados devastadora, perda de confiança do usuário e malware que volta sempre.

Você não precisa ser um desenvolvedor experiente para tomar algumas medidas extras para proteger o seu site. E isso começa com uma verificação de segurança adequada do site. Mesmo algo tão simples como escolher uma senha melhor ou mudar para um host mais seguro poderia fazer toda a diferença.

Precisa de mais dicas de segurança? Saiba mais sobre mais 19 maneiras de proteger o seu site. E sinta-se à vontade para compartilhar suas sugestões nos comentários abaixo!

Salman Ravoof

Salman Ravoof é um desenvolvedor web autodidata, escritor, criador e grande admirador de Software Livre e de Código Aberto (FOSS). Além de tecnologia, ele se entusiasma com ciência, filosofia, fotografia, artes, gatos e comida. Saiba mais sobre ele em seu site e conecte-se com Salman no X.