aguarde...

31 de março de 2021

4 ataques comuns de WordPress (e como evitá-los)

4 ataques comuns de WordPress (e como evitá-los)

Uma vez que controla mais de 40% da web , o WordPress é um alvo popular para ataques. Se um hacker conseguir invadir um site WordPress, ele potencialmente terá a chave para milhões de outros – incluindo o seu.

Parte de manter seu site seguro é entender os riscos. Como proprietário de um site, isso pode parecer um assunto assustador. No entanto, depois de saber o que está enfrentando, você pode tomar as medidas necessárias para defender seu site.

Neste artigo, discutiremos a importância de proteger seu site WordPress e explorar quatro das maiores ameaças contra ele. Ao longo do caminho, compartilharemos plug-ins, práticas recomendadas e técnicas que podem ajudar a proteger seu site de cada perigo específico. Vamos começar!

A importância de proteger seu site WordPress

Ataques cibernéticos estão aumentando, com especialistas em prevenção de fraude Arkose Labs relatando um aumento de 20 por cento em ataques digitais em 2020. Durante este período, Arkose Labs também registrou o nível mais alto de ataques de bot, com 1,3 bilhão detectados no total. 

Os hackers estão sempre inventando novas estratégias. Há até evidências que sugerem que os cibercriminosos estão tentando usar a pandemia em seu benefício. O FBI relatou um aumento de 300% nos crimes cibernéticos desde o início do surto do COVID-19. 

O WordPress é mantido por uma equipe de desenvolvedores altamente experientes que trabalham duro para garantir que a plataforma seja segura. No entanto, é muito comum que os proprietários de sites usem uma variedade de plug – ins do WordPress e temas de terceiros . Isso adiciona código extra ao seu site, o que significa mais brechas em potencial que um hacker pode explorar.

Se um cibercriminoso conseguir acessar seu site, ele pode causar estragos. Eles podem desfigurá-lo com conteúdo impróprio, remover dados importantes ou fraudar seus clientes. Se você não criou um backup , pode descobrir que um hacker excluiu todo o seu site, deixando você sem esperança de recuperar seu conteúdo. 

Essa atividade maliciosa pode resultar em perda de confiança do cliente, conversões e receita. Também existe uma chance de seu site entrar na lista negra dos mecanismos de pesquisa.

Se isso acontecer, seu conteúdo desaparecerá das páginas de resultados do mecanismo de pesquisa (SERPs) e seu tráfego orgânico provavelmente despencará. Mesmo se você conseguir recuperar seu site, pode ser difícil reparar o status do mecanismo de pesquisa.

4 ataques comuns de WordPress (e como evitá-los)

Para ajudar a manter seu site e visitantes protegidos contra hackers, é vital que você se proteja contra ataques comuns de WordPress. Vamos dar uma olhada em quatro das ameaças mais populares. 

1. Ataques de força bruta

Um ataque de força bruta ocorre quando um hacker tenta forçar sua entrada no painel usando centenas ou até milhares de combinações conhecidas de senha e nome de usuário. Ataques de força bruta são um método popular de intrusão em todas as plataformas. No entanto, eles podem ser particularmente problemáticos para WordPress. 

Por padrão, todos os administradores do WordPress têm o mesmo nome de usuário (“admin”). Se você não alterar esse nome de usuário gerado automaticamente, os hackers de força bruta já sabem metade de suas credenciais de login – eles só precisam adivinhar sua senha.

Para ajudar a proteger seu site contra ataques de força bruta, é importante usar um nome de administrador exclusivo e seguir as práticas recomendadas de senha . Isso inclui o uso de no mínimo oito caracteres, além de uma combinação de letras maiúsculas e minúsculas, números e símbolos.

Também é recomendável evitar frases comuns, especialmente aquelas que são frequentemente associadas a senhas, como “letmein” ou “senha”. Também sugerimos evitar quaisquer palavras relacionadas ao seu site, empresa, localização ou detalhes pessoais. 

Para fortalecer sua senha, pode ser útil usar um gerador. Strong Random Password Generator e LastPass são duas opções populares: 

4 ataques comuns de WordPress (e como evitá-los)

Como alternativa, você pode criar uma senha no painel do WordPress. Em sua área de administração, simplesmente navegue até Usuários> Todos os usuários e selecione seu perfil.

Em seguida, em Gerenciamento de conta , você pode clicar em Definir nova senha para gerar uma senha aleatoriamente: 

4 ataques comuns de WordPress (e como evitá-los)

Também é uma boa ideia limitar o número de tentativas de login em seu site, usando um plug-in como Limit Login Attempts Reloaded . Isso pode impedir que os bots ataquem sua página de login com milhares de senhas em rápida sucessão. 

2. Ataques de injeção de SQL no WordPress

Ataques de injeção de SQL ocorrem quando um indivíduo tenta acessar seu painel do WordPress injetando consultas SQL maliciosas. O banco de dados MySQL do seu site executará esse código e o hacker pode obter acesso ao seu site. 

Os cibercriminosos podem lançar ataques de injeção de SQL por meio de qualquer seção do seu site que reúna a entrada do usuário. Isso significa que algo tão inócuo como um formulário de contato, seção de comentários ou caixa de pesquisa pode colocar seu banco de dados em risco. 

O ideal é que cada campo de entrada em seu site seja configurado para validar e higienizar com segurança todas as entradas do usuário antes de encaminhá-las para seu banco de dados. Este processo garante que seu site aceite apenas dados válidos. No entanto, se esses campos de entrada não estiverem configurados corretamente, os hackers podem usá-los para injetar código malicioso. 

O MySQL é vulnerável a ataques de injeção, por isso é importante manter seu software de banco de dados atualizado. Você também deve tratar suas credenciais de login do MySQL com o mesmo cuidado que sua senha do WordPress. 

Usar um nome de banco de dados exclusivo pode tornar mais difícil para os hackers identificarem seu banco de dados. Se estiver usando o cPanel, você pode alterar o nome do banco de dados do WordPress usando a ferramenta phpMyAdmin . 

Muitos ataques de injeção também têm como alvo temas e plug-ins que permitem a entrada do visitante. Esse é outro motivo para revisar cuidadosamente todos os temas e plug-ins antes de adicioná-los ao seu site e para atualizar regularmente o software de terceiros. 

3. Cross-Site Scripting (XSS)

Um ataque Cross-Site Scripting (XSS) ocorre quando um hacker carrega um código JavaScript malicioso para o seu site WordPress. Os ataques XSS são normalmente projetados para coletar dados de seus clientes, o que pode ser particularmente desastroso se seu site lida com informações confidenciais , como detalhes de pagamento. 

Um ataque XSS bem-sucedido também pode redirecionar seus visitantes para outro site da escolha do hacker, fazendo com que o tráfego da web diminua. Isso pode até mesmo afetar sua reputação, especialmente se o ataque direcionar seus clientes a um site malicioso ou com spam. 

Você pode proteger seu site contra ataques XSS usando um Web Application Firewall (WAF) , como o plug-in Wordfence . Este firewall no nível do aplicativo filtra solicitações maliciosas antes que elas tenham a chance de chegar ao seu site:

4 ataques comuns de WordPress (e como evitá-los)

Após ativar o Wordfence, você pode configurar seu firewall navegando até Wordfence> Firewall .

4. Ataques WordPress de negação de serviço distribuída (DDoS) 

Ataques de negação de serviço distribuído (DDoS) estão frequentemente nas manchetes, já que muitas organizações de alto perfil foram vítimas deles. Isso inclui pesos pesados ​​como Netflix e Amazon. 

Um ataque DDoS ocorre quando hackers bombardeiam um servidor com solicitações. Eventualmente, o servidor fica sobrecarregado e pode até travar. Um WAF pode identificar solicitações suspeitas e impedir que acessem seu site. 

A Interface de Programa de Aplicativo (API) Representational State Transfer (REST) oferece aos desenvolvedores a flexibilidade de usar o WordPress com outras tecnologias. No entanto, terceiros mal-intencionados podem usar a API REST como parte de seus ataques DDoS. Se o seu site não estiver usando ativamente a API REST, você pode desabilitá-lo usando um plugin como Disable WP Rest API .

Da mesma forma, embora o XML-RPC seja útil para habilitar pingbacks e trackbacks, os hackers podem usá-lo como parte de seus ataques DDoS. Se você não estiver usando XML-RPC, poderá desativá-lo usando um plug-in como Disable XML-RPC-API :

4 ataques comuns de WordPress (e como evitá-los)

Seu provedor de hospedagem também pode ajudar a proteger seu site contra ataques DDoS. Alguns provedores de hospedagem WordPress gerenciados , como o WP Engine, até fornecem ferramentas de mitigação de DDoS como padrão. 

Postado em Blog
Escreva um comentário