Um site WordPress hackeado é tão prejudicial quanto ter sua casa roubada. Pode destruir completamente a sua paz de espírito e afetar negativamente o seu negócio online.
Por que os hackers têm como alvo sites WordPress? A resposta é relativamente simples: o WordPress é a maior plataforma para criação de sites atualmente, portanto, há uma base maior para atacar; isso atrai a atenção de criminosos online.
Então, como um hack pode afetar seu site?
Dependendo do tipo de ataque, seu site pode sofrer o seguinte:
- Ele poderia ser totalmente desfigurado;
- Ele pode carregar ou operar muito lentamente em qualquer dispositivo;
- Ele poderia falhar completamente e funcionar mal;
- Ele poderia exibir a terrível “Tela Branca da Morte”;
- Os visitantes que chegam podem ser redirecionados para outros sites suspeitos;
- Isso pode perder todos os seus valiosos dados de clientes.
Esta lista não é exaustiva, mas essa é a ideia.
Agora que sabemos como um hack de sucesso pode impactar seu site e negócios online, vamos examinar os 10 principais motivos por trás dos hacks de WP e evitá-los.
1. Um host inseguro
Como qualquer site, o WordPress é hospedado em um host ou servidor da web. Infelizmente, a maioria dos proprietários de sites não presta muita atenção ao host que seleciona e escolhe o mais barato que podem encontrar. Por exemplo, é mais acessível hospedar um site em um plano de hospedagem compartilhada – que compartilhe seus recursos de servidor com muitos outros sites como o seu.
Isso pode tornar seu site vulnerável a hackers como um hack bem-sucedido em qualquer site no servidor compartilhado. Um único site invadido pode consumir toda a largura de banda do servidor e afetar o desempenho de todos os outros sites.
A única maneira de resolver esse problema é optar por um host confiável e um servidor virtual ou dedicado.
Dica profissional: se você já estiver usando um plano de hospedagem compartilhada, verifique com seus anfitriões se eles oferecem hospedagem VPS e faça a troca.
2. Uso de senhas fracas
Senhas fracas são a principal razão por trás de ataques de força bruta bem-sucedidos que visam sua conta. Até hoje, os usuários continuam a usar senhas fracas e comuns como “senha” ou “123456”; se você for um deles, seu site pode causar problemas!
Adivinhar senhas fracas permite que hackers entrem nas contas de administrador, onde podem causar o máximo de dano.
Como você resolve esse problema? Simples, certifique-se de que todos os usuários de sua conta (incluindo usuários administradores) configurem senhas fortes para suas credenciais de login. Com pelo menos 8 caracteres, as senhas devem ser uma mistura de letras maiúsculas e minúsculas, números e símbolos.
Para maior segurança, instale uma ferramenta de gerenciamento de senha que pode gerar e armazenar automaticamente senhas fortes.
Dica profissional: você pode usar um plug-in para redefinir as senhas de todos os seus usuários.
3. Uma versão WP desatualizada
Softwares desatualizados estão entre os motivos mais comuns pelos quais sites são hackeados. Apesar de o download ser gratuito, a maioria dos usuários do site adia a atualização para a versão mais recente, por medo de que as atualizações travem.
Os hackers tiram proveito de qualquer vulnerabilidade ou bug em uma versão mais antiga e causam problemas como Injeções de SQL, Malware WP-VCD, spam de SEO e outros problemas importantes, como redirecionamento de site para outro site.
Como você resolve este problema? Quando você vir uma notificação sobre uma atualização em seu painel, atualize seu site o mais rápido possível.
Dica profissional:se você está preocupado com as atualizações travando seu site ativo, você pode primeiro testar as atualizações em um site de teste.
4. Plug-ins e temas WP desatualizados
Semelhante ao ponto anterior, os hackers também tiram proveito de plug-ins e temas desatualizados, não utilizados ou abandonados instalados em sites. Com mais de 55.000 plug-ins e temas disponíveis, é fácil instalar um plug-in ou tema, mesmo em sites inseguros ou não confiáveis.
Além disso, muitos usuários não atualizam seus plug-ins / temas instalados para a versão mais recente ou não encontram a versão atualizada. Isso torna mais fácil para os hackers fazerem seu trabalho e infectar sites.
Como você evita esse problema? Tal como acontece com a versão principal do WP, atualize cada um de seus plug-ins / temas instalados em seu site regularmente. Faça um balanço de todos os não utilizados e remova-os ou substitua-os por alternativas melhores.
Você pode atualizar seus plug-ins / temas de sua conta de hospedagem.
Dica profissional: sugerimos reservar um tempo todas as semanas para fazer atualizações. Teste-os em um site de teste e atualize seu site.
5. Nomes de usuários administrativos comuns
Além de senhas fracas, os usuários também criam nomes de usuário comuns que são fáceis de adivinhar.
Isso inclui nomes de usuário comuns para usuários admin como – “admin”, “admin1” ou “admin123”. Nomes de usuário de administrador comuns tornam mais fácil para hackers entrar em contas de administrador e controlar arquivos de back-end em sua instalação WP.
Como você evita esse problema? Se você estiver usando algum nome de usuário fácil de adivinhar, altere-o imediatamente para um nome de usuário exclusivo. A maneira mais fácil de fazer isso é por meio da ferramenta de gerenciamento de usuário da sua conta de hospedagem, excluindo o usuário administrador anterior e criando um novo usuário administrador com um nome de usuário exclusivo.
Como primeira etapa, altere o nome de usuário padrão de seu usuário administrador e limite os usuários que têm privilégios de administrador.
Dica profissional: o WordPress tem 6 funções de usuário diferentes com permissões limitadas. Conceda acesso de administrador apenas a usuários que realmente precisam dele.
6. Uso de plug-ins / temas anulados
Voltando à importância dos plug-ins / temas, os usuários têm acesso a muitos sites que vendem cópias anuladas ou pirateadas de plug-ins e temas populares e pagos. Embora sejam de uso gratuito, geralmente estão repletos de malware. Eles podem comprometer a segurança geral do seu site e torná-lo mais fácil para hackers explorarem.
Por ser uma cópia pirateada, os plug-ins / temas anulados não possuem atualizações disponíveis de sua equipe de desenvolvimento, portanto, não terão correções de segurança.
Como você resolve esse problema? Simples, para começar, apenas baixe plug-ins e temas originais de sites e mercados confiáveis.
Dica profissional: se você não deseja pagar por plug-ins e temas pagos ou premium, opte por uma versão gratuita das mesmas ferramentas que terão recursos limitados, mas ainda são mais seguros de usar do que a versão anulada.
7. Acesso desprotegido à pasta wp-admin
Para assumir o controle de seu site, os hackers frequentemente tentam invadir e controlar sua pasta wp-admin em sua instalação. Como proprietário do site, você deve tomar medidas para proteger seu diretório wp-admin.
Como você pode proteger sua pasta wp-admin? Primeiro, restrinja o número de usuários que têm acesso a essa pasta crítica. Além disso, solicite proteção por senha como uma camada adicional de segurança para acesso à pasta wp-admin. Você pode fazer isso usando o recurso “Diretórios de proteção de senha” do cPanel em sua conta de host da web.
Dica profissional: além dessas correções, você também pode implementar a proteção de autenticação de dois fatores (ou 2FA) para todas as suas contas de administrador.
8. Site não SSL
Você pode facilmente migrar seu site HTTP para HTTPS instalando um certificado SSL em seu site. SSL (ou Secure Socket Layer) é um modo seguro de criptografar qualquer transmissão de dados entre o servidor da web e o navegador do cliente.
Sem essa criptografia, os hackers podem interceptar os dados e roubá-los. Além disso, um site não seguro pode ter muitas implicações negativas para o seu negócio – classificação de SEO inferior, perda de confiança do cliente ou queda no tráfego de entrada.
Como você resolve esse problema? Você pode obter rapidamente um certificado SSL de sua empresa de hospedagem ou de provedores SSL. Ele criptografa todos os dados enviados e recebidos pelo seu site.
Dica profissional: você pode obter um certificado SSL gratuito de lugares como Let’s Encrypt , mas eles fornecem proteção de limite que só será suficiente para um site inicial ou pequeno.
9. Sem proteção de firewall
A falta de proteção de firewall é outro motivo comum pelo qual os hackers podem contornar as medidas de segurança do site e se infiltrar nos recursos de back-end. Os firewalls são a última linha de defesa contra hackers e funcionam como o alarme de segurança instalado em sua casa. Os firewalls monitoram solicitações da web provenientes de vários endereços IP, incluindo os suspeitos (ou ruins).
Eles podem identificar e bloquear solicitações que eram conhecidas como maliciosas no passado, evitando assim o acesso fácil de hackers ao domínio do seu site. Os firewalls de aplicativos da Web podem impedir vários ataques, incluindo ataques de força bruta, XSS e injeções de SQL.
Dica profissional: um firewall fornece a segurança necessária e é sua primeira linha de defesa. Mas é importante também ter um scanner de malware instalado.
10. Falta de medidas de endurecimento do WordPress
Normalmente, os hackers visam as áreas mais vulneráveis ou pontos fracos em uma instalação WP, para acessar ilegalmente ou danificar o site. A equipe do WordPress identificou essas áreas vulneráveis e elaborou uma lista de 12 medidas de proteção recomendadas para cada site.
Alguns deles incluem:
- Desativando o Editor de Arquivos;
- Prevenindo a execução do PHP em pastas não confiáveis;
- Alterar as chaves de segurança;
- Proibindo instalações de plugins;
- Logout automático de usuários inativos;
Como você implementa essas medidas de endurecimento? Embora algumas etapas sejam fáceis de entender, outras requerem o conhecimento técnico de como o WordPress funciona.