• contato@tecnocorp.com.br
  • 11 2809-5489

busca

Porque sites em Wordpress ainda são tão vulneráveis a invasões por hackers? E como evitar isso!

Hoje o Wordpress é o CMS mais utilizado para criação de sites em geral, seja blogs, landing pages, sites institucionais, lojas virtuais com (WooCommerce), alguns projetos mais complexos e ousados como Intranets e Extranets corporativas.

Para entender um pouco melhor, o Wordpress é um projeto derivado do b2/cafelog que surgiu em 2003, desenvolvido em PHP com banco de dados MySQL. Se tornou muito popular por sua facilidade de utilização, personalização e gerenciamento. No próprio site do Wordpress informam que 38% de todos os sites da web estão rodando Wordpress.

 

 

Ao longo destes quase 20 anos, ele sofreu diversas atualizações e reformulações em vários aspectos, inclusive de segurança. Mas ainda não é o suficiente para conter a enorme quantidade de invasões a que muitos sites em Wordpress são submetidos todos os anos no mundo inteiro.

 

E aí vem aquela pergunta: 

Porque sites em Wordpress são tão vulneráveis a invasões por hackers?

 

 

A equipe de desevolvimento do Wordpress mantido pela Automattic é muito grande, inclusive na parte de segurança com o projeto WPScan que é exclusivamente dedicado a mostrar falhas e vulnerabilidades expostas no Wordpress e que podem ser exploradas por hackers, inclusive esta base do WPScan é alimentada constantemente com tudo que é descoberto relativo a segurança da plataforma. Ou seja, não vem da equipe do Wordpress o grande vetor de onde muitas invasões acontecem.

Ao executar a ferramenta WPScan em um site Wordpress vulnerável, ele faz a varredura completa e sempre que são informadas as falhas no relatório, nota-se que são, má configuração da ferramenta, Wordpress desatualizado, plugins vulneráveis, plugins obsoletos com falhas de segurança conhecidas, arquivos de configuração expostos, backups expostos na pasta da hospedagem, formulários sem proteção de ataques do tipo XSS (Cross Site Scripting) e SQL Injection, falta de proteção da Admin, usuários admins com nomes comuns, senhas fracas, isso só para listar algumas das falhas que são cometidas por programadores, webdesigners e administradores de sites Wordpress.

São falhas administrativas e/ou de desenvolvimento que são exploradas diariamente, inclusive não precisa ser um hacker muito habilidoso para vasculhar por meia hora no GitHub e encontrar Payloads e Exploits destinados a executarem invasões automatizadas no Wordpress.

A maioria das invasões que acontecem no Wordpress, assim como em sites de outras plataformas ou mesmo sites que nem utilizam CMSs são para Phishing, SPAM, Roubo de dados, escalação de privilégios em servidores para outros acessos e em poucos casos para implantação de Ransomwares (ainda poucos no Wordpress atualmente, mas isso tenderá a aumentar muito no futuro).

Segundo as estatísticas do próprio site do WPScan sobre as vulnerabilidades mais exploradas, estão XSS, Upload e SQL Injection respondendo por mais da metade de todas as invasões. E estas invasões são diretamente no Wordpress como mostra ainda no mesmo gráfico em que o próprio Wordpress responde por mais de 3/4 de onde as vulnerabilidades são exploradas.

 

Fonte: WPScan

 

Agora vem a outra pergunta:

Como evitar isso?

Há uma série de ações que são simples, algumas um pouco mais trabalhosas que podem lhe ajudar a manter seu site atualizado e seguro, e evitar sérios problemas com indisponibilidade do site, exposição dos dados, roubo de informações, phishing, adequação a LGPD, etc.

 

Vou separar por tópicos as recomendações que podem tornar o seu Wordpress mais seguro e evitar problemas com invasões.

  1. Faça um backup regularmente do seu Wordpress, em um local seguro.

Existem diversos plugins ou maneiras de se manter um backup do Wordpress. Um plugin muito famoso e que é ótimo para backup dp Wordpress é o All-in-One WP Migration, ele faz um backup do seu site em poucos cliques de forma muito fácil, mas muito cuidado, ele vai fazer o backup em uma área do site em que um hacker pode por um processo chamado Fuzzing acabando por descobrir onde este backup está e baixar uma cópia do backup completo. Portanto, após executar o backup, mova para uma pasta segura na sua hospedagem, com proteção de senha por .htaccess ou para seu servidor ou uma nuvem privada.

Outra opção de backup para sites em que a hospedagem utiliza cPanel, é um backup completo da conta de hospedagem que pode ser feita diretamente pelo painel de controle em 3 cliques facilmente. Ainda assim, é necessário mover o backup para uma pasta protegida por senha ou .htaccess, para um servidor local ou uma nuvem, pois neste caso, uma descoberta do backup da sua conta pode ser mais perigoso ainda, pois um hacker pode ter acesso não somente ao site site por completo, como também seus emails, caso ele esteja no backup da sua conta.

  1. Mantenha seu Wordpress atualizado para a última versão, SEMPRE!

Ter um site na internet, é como ter uma casa, você precisa cuidar, manter limpo, organizado e seguro, e no caso do Wordpress, é fundamental que esta organização e segurança comece por suas atualizações. Na administração do seu próprio site ou do seu cliente é possível ver os avisos na Dashboard quando há atualizações disponíveis. Mas lembre-se, antes de atualizar, faça um backup!

  1. Tenha cuidado com os plugins que você instala, e os mantenha atualizados.

Quando você for instalar um plugin no seu Wordpress, dê preferência por plugins que estejam na lista de plugins do Wordpress, veja se é um plugin famoso, com muitas instalações ativas e as avaliações, pois há plugins com muitas vulnerabilidades conhecidas, alguns de origem duvidosa que até estão com exploits embutidos. Mas lembre-se, antes de atualizar, faça um backup!

  1. Instale um Firewall de Aplicação (WAF)

No próprio diretório de plugins do Wordpress há diversos firewalls de aplicação para proteger o seu site, eu recomendo o Wordfence Security – Firewall & Malware Scan e o All In One WP Security & Firewall, são os 2 melhores plugins de segurança para o Wordpress, caso não tenha experiência para instalar e configurar sozinho, seja você dono do site ou programador/webdesigner, converse com alguém com conhecimentos de infraestrutura de servidores Web ou um especialista em segurança de informação, pois eles podem ajudar.  Mas lembre-se, antes de atualizar suas configurações, faça um backup!

  1. Faça restrição de países ou localidades

Verifique com sua hospedagem se eles permitem filtragem de IPs, países e localidades, ou se há esta funcionalidade no seu painel de controle da sua hospedagem, se houver ative. Ou então instale um plugin que permita o bloqueio de países, IPs, ASNs ou regiões diretamente no seu Wordpress, pois ninguém precisa de acessos duvidosos vindo de bots da Rússia, China e outros lugares famosos por serem vetores de execução de payloads nos sites. Eu recomendo IP Geo Block que permite uma grande variedade de tipos de bloqueios e filtragens evitando estes problemas.

  1. Proteja sua Admin do Wordpress

O plugin que mencionei anteriormente de WAF, o All In One WP Security & Firewall, já possui nativamente uma proteção para a admin do Wordpress, e recomendo muito, pois com a admin oculta, uma série de tentativas de ataques como Brute Force por exemplo, podem ser evitados na admin do seu site. Nestes plugins já há diversas proteções embutidas para ataques de XSS, LFI, SQL Injection, entre outros muito utilizados por hackers.

  1. Renomeie seus usuários com permissão de Admin ou que possam instalar plugins.

Nem pense em manter no seu site usuários com o nome Admin, Adm, o nome do seu site, contato e etc, pois eles são os primeiros a sofrerem um ataque de Brute Force.

  1. Coloque um filtro de Captcha no seu site

Um filtro de Captcha como o Google Recaptcha pode evitar qe você sofra ataques de robôs de spam ou de tentativas de brute force no seu site, o All In One WP Security & Firewall já possui a funcionalidade nativamente, mas há outros plugins que fazem a mesma proteção.

  1. Desative o XML-RPC

Se você não tem o porque utilizar a função XML-RPM no seu Wordpress desative, pois há payloads que permitem ataques de Brute Force via XML-RPC.

  1. Usuários e Plugins, somente o necessário

Crie somente contas essenciais para acesso ao seu site, e uma vez que estas pessoas não irão mais utilizarem estes acessos, desative imediatamente ou exclua-os. Assim como os plugins, não instale plugins que não sejam extremamente necessários, e uma vez que eles não forem mais necessários, desative-os e exclua.

  1. Adeque-se a LGPD

Veja o nível de tratamento de dados que você faz dos usuários no seu site, nos seus leads, e clientes que possui no seu site. Faça o processo de adequação a LGPD, habilite os avisos de Cookies para evitar que haja problemas com solicitações de titulares de dados que queirão saber como os dados são tratados no seu site e que fique bem claro a todos que visitam como você faz o correto tratamento de dados pessoais.

 

Seguindo estas recomendações, você ou o seu cliente terão um site Wordpress muito mais seguro e poderão evitar diversos problemas que podem comprometer o seu projeto ou a credibilidade da sua empresa.

Caso você seja um programador ou tenha um site em Wordpress e não possua estes conhecimentos, fale com nossos especialistas, pois podemos ajudar facilmente a manter seu site Wordpress protegido.

 

 

 

O que Fazemos
Estamos voltados diretamente para a criação e desenvolvimento de soluções inovadoras, resultando em trabalhos sempre com muita qualidade, criatividade, originalidade e competência.
Suporte em TI
Possuímos profissionais especialistas em infraestrutura de rede, cabeamento, servidores, desktops e workstation.
Trabalhamos com atendimentos nas mais diversas plataformas.
Endereço
Tecnocorp Tecnologia
Rua Machado de Assis, 797 - Sala 714
Osasco - Centro - CEP 06018-025
Tel: (11) 2809-5489
Política de Privacidade e Uso de Cookies

Ao inserir seus dados neste formulário, você concorda com a Política de Privacidade e Uso de Cookies deste site e com o armazenamento de informações enviadas para uma melhor experiência do usuário.

DMC Firewall is a Joomla Security extension!