O WordPress é um CMS (Content Management System) muito seguro e praticamente à prova de falhas. No entanto, algumas ações que tomamos podem provocar vulnerabilidades no sistema. Por isso, precisamos falar sobre os problemas de segurança do WordPress e principalmente como evitá-las.
Boa parte delas ocorre por ações indevidas dos usuários. Deixamos elas bem especificadas nesse conteúdo para evitar que as faça na sua instalação (até mesmo sem querer). Afinal de contas, segurança é primordial, pois em 2020, a Wordfence, empresa de segurança digital, relatou mais de 2800 ataques por segundo direcionados ao WordPress. Muito, não é mesmo? Para o seu site não fazer parte dessa estatística, siga todas as recomendações desse conteúdo.
O que é uma problema de segurança?
Os problemas de segurança são vulnerabilidades encontradas em sistemas computacionais. Em resumo, são pontos que podem ser explorados por invasores para comprometer a saúde de determinado sistema, como o WordPress, o fazendo ter acesso não autorizado, permitindo o roubo de dados, execução de códigos maliciosos ou até mesmo danos físicos, a depender do vínculo entre software e hardware.
Os principais problemas de segurança do WordPress
Conheça os principais problemas de segurança do WordPress que você precisa resolver imediatamente:
1. Cross-site Request Forgery - (CSRF)
A Cross-site Request Forgery (CSRF) ou “falsificação de solicitação entre sites” é uma vulnerabilidade que possibilita possíveis invasores influenciarem os usuários a tomarem decisões contra a própria vontade.
Em um ataque desses, por exemplo, os criminosos podem induzir os visitantes a alterarem suas configurações padrão, como e-mail, transferir fundos, alterar senhas, etc.
Dependendo de que ação os hackers decidirem, o usuário pode acabar “passando a senha” dele, fazendo com que tenham acesso ao conteúdo do painel de administração do WordPress.
Caso esse usuário seja um administrador, o estrago pode ser ainda maior, porque assim o invasor teria controle total do site.
Por que o CRSF é uma vulnerabilidade no WordPress?
Alguns plugins do WordPress podem utilizar a função check_url(), que se não implementada corretamente pode acarretar nessa vulnerabilidade, diminuindo a segurança do usuário. Um dos exemplos de plugins que utilizam essa função (e que não significa que o plugin é inseguro) é o WP Fastest cache.
Caso queira saber em detalhes como essa falha de segurança funciona, recomendamos a explicação do site Plugin Vulnerabilities. Detalhe: o conteúdo indicado é em inglês e em um nível técnico relativamente elevado.
O que fazer para evitar que o CRSF ocorra
A recomendação é de verificar e atualizar com frequência os plugins utilizados e não confiar totalmente em qualquer extensão que encontrar. Priorize as que possuem uma boa reputação na comunidade, bem como avaliações consistentes.
Outra forma de se proteger contra CSRF é instalando plugins de segurança, principalmente aqueles que te possibilitam gerar autenticação de dois fatores, como os listados abaixo.
2. Temas e plugins nulled
Temas e plugins nulled são versões de plugins profissionais disponibilizados gratuitamente. Também chamados de temas e plugins piratas, beiram a ilegalidade, se aproveitando da licença do WordPress para justificar seu compartilhamento.
Porém, o problema não é apenas ser ilegal, mas também ser inseguro. Como há uma demanda muito grande por plugins pagos, com certeza existe um número elevado de pessoas querendo ter acesso a isso gratuitamente. Nesse caso, muito criminosos aproveitam para inserir códigos que geram brechas de segurança na instalação de quem utiliza esse tipo de tema ou plugin.
Sem falar que, por serem desvinculadas ao criador original e a uma licença válida, você ficaria sem as atualizações constantes de segurança feitas por essas extensões, tendo que manter sua instalação desatualizada, para evitar erros de compatibilidade, prática essa que compromete mais ainda sua segurança.
Outro ponto a atestar contra o uso de temas e plugins nulled é o fato de muitos códigos maliciosos permanecem inativos por um tempo, dando a ilusão de que o usuário está seguro. No entanto, quando se menos espera, há a chance de perder anos de investimento em produção de conteúdo e ranqueamento nas buscas.
Afinal de contas, o Google evita redirecionar seus visitantes para sites com erros ou vírus, afetando a reputação daquelas páginas de maneira difícil de reverter. Por isso, fica o lembrete de comprar apenas plugins e temas com o criador original. São investimentos muitas vezes caros, mas que justificados pela qualidade do serviço e potencial de escalabilidade do WordPress.
Significa que todo plugin e tema nulled está infectado? Não. Há muitos deles seguros, mas além da questão ética, como saber qual é seguro e qual gerará falhas de segurança? É uma aposta em que, se perder, colocará em risco a reputação do seu site, algo extremamente valioso para quem trabalha com produção de conteúdo.
3. Denial-of-service attacks (ataques de negação de serviço)
Um ataque de negação de serviço, conhecido também como denial-of-service attack (DDoS), é um tipo de artimanha utilizada por criminosos virtuais para impedir que administradores e visitantes acessem determinado site. Isso é feito enviando tanto tráfego para o servidor, ao ponto dele travar, derrubando assim qualquer página hospedada nele.
Claro que, uma hora ou outra, o site voltará ao normal, mas a reputação dele para o Google será prejudicada, uma vez que o buscador evita, a todo custo, enviar seus visitantes para páginas perigosas.
O que isso significa? Que um site, ao receber esse ataque, perde consideravelmente os acessos que estava acostumado e pode nunca mais voltar ao normal.
Esse tipo de ataque é efetuado por máquinas agindo simultaneamente, formando o que chamam de botnet (rede de robôs), ocultando a fonte do tráfego e aumenta massivamente o volume do SPAM. Nesse caso, se forma um ataque DDoS (ataque distribuído de negação de serviço) e, com toda a certeza, causa bem mais estrago.
Por que o denial-of-service attack é uma vulnerabilidade no WordPress?
Como todo site precisa de uma empresa de hospedagem, os que utilizam o WordPress como CMS também precisam. Logo, como o foco do ataque é próprio servidor, isso gera pode gerar uma vulnerabilidade.
O que fazer para evitar o denial-of-service attack
Nesse caso, há apenas uma única solução real: contratar uma empresa de hospedagem segura que garanta um ótimo desempenho aliado à extrema segurança. De todas as empresas atuais do mercado, a que mais vemos investir nessa área é a Hostinger.
A Hostinger atua em diversos países, conta com preços acessíveis e dispõe de diversas opções para os mais diferentes tipos de site. Recomendamos fortemente que você confira os planos disponíveis e considere a segurança deles, tanto para evitar vulnerabilidades do WordPress, quanto para ficar tranquilo, sabendo que seu site estará em pleno funcionamento 24 horas por dia e 7 dias por semana.
Caso deseje, a Hostinger possui um plano veloz e seguro por R$13 e ainda vem com 2 meses grátis.
4. Phishing
Phishing é um tipo de ataque que visa adquirir informações confidenciais (como senhas, nomes de usuários e outros dados sensíveis) normalmente realizados via e-mails fraudulentos, mas que também podem ocorrer no WordPress, até mesmo sem os administradores do sistema perceberem.
Por meio de plugins infectados ou fraudulentos, como plugins nulled, os criminosos cibernéticos conseguem inserir links no seu site que redirecionam o usuário para páginas falsas. Resultado? Seus visitantes podem ter os dados roubados, o Google limita o alcance do seu site e pode puni-lo severamente.
Porque phishing é uma dos problemas de segurança no WordPress?
Porque como necessitamos de plugins para diversas funções ou queremos plugins pagos de forma ilícita, nos tornarmos alvos fáceis para plugins ou temas infectados que podem agir como um emissor de phishing para nossos visitantes.
Até percebermos essa alteração, podemos já estarmos sendo punidos pelo Google, perdendo visitas, alcance e talvez nunca os recuperando, dependendo do nível de phishing gerado.
É interessante lembrarmos que os servidores de e-mails, embora não sejam vinculados diretamente ao WordPress, também sofrem com phishing, sendo dever do servidor (e do serviço de e-mail) te proteger desse tipo de ataque.
O que fazer para evitar o Phishing
Para evitar o phishing é necessário seguir uma rotina de proteção usual de sites, como atualizações regulares, monitoramento das atividades do site e uso de senhas seguras.
Também é recomendado usar medidas extras de segurança como ReCaptcha para proteger bots de phishing com SPAM.
5. WordPress desatualizado
Dentre as principais vulnerabilidades, temos o fato de boa parte das instalações do WordPress não estarem devidamente atualizadas. Com o CMS, temos atualizações relevantes a cada três meses (ou menos) e atualizações mínimas constantes para garantir cada vez mais segurança aos usuários.
Seja devido ao uso de plugins específicos ou por falta de uma rotina de segurança, muitos proprietários de site esquecem de atualizar o sistema e colocam seus dados, e os de seus visitantes, em risco.
Além do mais, o próprio WordPress possui o recurso de atualizações automáticas. Conforme o banco de dados da Sucuri, empresa renomada de segurança digital, 50,3% dos sites WordPress com infecção ou ataques estavam desatualizados.
Por que ter o WordPress desatualizado é uma vulnerabilidade
Porque todos os dias surgem novas maneiras de encontrar brechas de seguranças em serviços como o WordPress. Em contrapartida, a Automattic, empresa que gerencia as distribuições do CMS, também luta diariamente para promover a devida segurança.
Se você não atualiza seu sistema com a frequência necessária, novos métodos de invasão podem atingir suas páginas, sem você estar preparado para eles.
O que fazer para evitar que o WordPress fique desatualizado
Ative as atualizações automáticas. Esse pequeno passo coopera muito para que sua instalação esteja totalmente segura.
6. Temas e plugins desatualizados
Ainda considerando desatualizações, além do core principal do WordPress, é necessário atualizar constantemente os temas e plugins utilizados.
Os temas possuem normalmente poucas atualizações, mas plugins são atualizados frequentemente. Ignorar essas melhorias faz com que seu site esteja desprotegido, gerando novas falhas de segurança constantemente.
Isso é ainda mais preocupante se considerarmos sites com muitos plugins. Como cada um deles é essencial para o processo de manter um site, infelizmente também se tornam alvos de exploração por criminosos.
De acordo com o WPScan, cerca de 97% das vulnerabilidades são devido a plugins e temas, sendo apenas 4% do core do WordPress.
Por que temas e plugins desatualizados são uma vulnerabilidade no WordPress
Porque eles são códigos de extensão do core do WordPress. Devido a isso, eles podem ser verdadeiras portas para ataques e invasões. Claro que há atualizações constantes que garantem a segurança, mas se elas não forem realizadas, há um risco real de perder dados sensíveis.
Como evitar que temas e plugins fiquem desatualizados?
Similar à solução anterior, permitir que as atualizações automáticas estejam ativadas é a melhor recomendação para esse caso. Além disso, instale apenas plugins e temas que tenham sido no último mês. Mais do que isso, pode ser que existam vulnerabilidades que ainda não foram neutralizadas por atualizações de segurança.
7. Malware
Malware é qualquer software malicioso (por isso o nome “mal” de malicioso e “ware” de software). Hackers não éticos pode inserir arquivos de malware em servidores de sites. Esses arquivos conseguem escrever códigos que possibilitam vulnerabilidades focadas em roubar dados de sites e de seus visitantes. É comum que eles também tentem gerar logins não autorizados por meios de “backdoors”.
Em 2021, 61,65% dos sites no banco de dados da Sucuri, empresa já citada nesse conteúdo, estavam infectados com malware. O que isso significa? Significa que vários sites podem estar com vírus sem saber, uma vez que boa parte deles está com essa vulnerabilidade.
Por que malwares são vulnerabilidades no WordPress?
Porque hackers se aproveitam de problemas de segurança encontrados em temas e plugins desatualizados para inserir códigos maliciosos. O preocupante é que esse tipo de vulnerabilidade consegue gerar muitas outras.
Como evitar malwares no seu WordPress
Usando ferramentas de scanner de vírus tanto no WordPress, quanto no servidor. Existem diversas delas e citamos elas nos próximos tópicos.
Caso tenha o WordPress hackeado, nós temos um artigo que ensinamos passo a passo como remover vírus do WordPress.
8. Senhas inseguras
Senhas inseguras são uma das principais formas de deixar seu site disponível para criminosos virtuais, ao haver recursos capazes de testar diversas combinações até encontrar a palavra-passe correta, algo muito utilizado em ataques de força-bruta.
Hackers possuem ferramentas para testar diversas senhas aleatórias em combinações sequenciais para entrar no seu painel do WordPress. Se a sua senha for fraca, ela é descoberta em poucos minutos. Diferente de uma senha mais forte, que demoraria dias ou meses até ser encontrada.
Para proteger a sua instalação do WordPress é essencial utilizar senhas extremamente seguras. Portanto, siga as dicas abaixo:
- Use uma combinação entre letras maiúsculas e minúsculas, com caracteres especiais.
- Em hipótese nenhuma use informações pessoais como nomes, data de nascimento, telefone ou hobbies.
- Quanto mais longa for a senha, mais demorará a ser quebrada. O ideal seria a partir de 12 caracteres.
- Não utilize no WordPress a mesma senha que utiliza em outros sites. Se eles tiverem o banco de dados invadidos, sua instalação estará insegura.
- Utilize um gerador de senhas confiável, como o LastPass.
Uma recomendação extremamente válida para proteger sua instalação e sua senha, é instalar plugins de limitação de tentativas de login. Um dos mais atualizados e utilizados é o Limit Login Attempts Reloaded.
O passo a passo para proteger sua instalação do WordPress
Existem algumas recomendações básicas proteger o seu site WordPress, são elas:
- Mantenha o core do WordPress, os temas e os plugins devidamente atualizados, de preferência com atualizações automáticas ativadas.
- Use senhas realmente fortes e as altere com certa regularidade. De preferência, utilize autenticação em dois fatores.
- Limite o número de tentativas de login.
- Use um plugin de segurança, como o WordFence.
- Utilize um certificado SSL válido e atualizado.
- Remova plugins e temas não utilizados.
- Implemente backups regulares.
- Configure corretamente as permissões de arquivos e pasta.
- Atualizar o jQuery.
- Tenha uma hospedagem de altíssima qualidade, como a Hostinger.
E caso seu WordPress seja hackeado, já dissemos o que fazer. Recomendamos também a leitura do artigo 20 atitudes para proteger seu site contra qualquer tipo de ataque.
Conclusão — problemas de segurança no WordPress
Nesse artigo, enumeramos as principais problemas de segurança no WordPress, como evitá-las e como proteger ainda mais a sua instalação. Esperamos que o conteúdo tenha te ajudado e cooperado para que sua instalação esteja ainda mais segura.
Se houverem dúvidas, utilize a seção de comentários para falar conosco. Queremos ter a certeza de seu site WordPress está com toda a segurança possível.
Obrigado por ler o artigo por completo. Nos vemos no próximo conteúdo.
