Recentemente, um de nossos leitores nos perguntou por que os sites WordPress são hackeados.
É frustrante descobrir que seu site WordPress foi invadido. Embora os hackers visem todos os sites, o senhor pode estar cometendo alguns erros que deixam seu site vulnerável a ataques.
Neste artigo, compartilharemos os principais motivos pelos quais os sites WordPress são hackeados, para que o senhor possa evitar esses erros e proteger seu site.
Por que o WordPress é alvo de hackers?
Primeiro, não se trata apenas do WordPress. Todos os sites na Internet são vulneráveis a tentativas de hacking.
O motivo pelo qual o Sites WordPress são um alvo comum é o fato de o WordPress ser o site mais construtor de sites mais popular do mundo. Ele alimenta mais de 43% de todos os sites, o que significa centenas de milhões de sites em todo o mundo.
Essa imensa popularidade oferece aos hackers uma maneira fácil de encontrar sites menos seguros para que possam explorá-los.
Os hackers têm vários motivos para invadir um site. Alguns são iniciantes que estão apenas aprendendo a explorar sites menos seguros. Outros têm intenções mal-intencionadas, como distribuir malware, atacar outros sites e enviar spam.
Dito isso, vamos analisar algumas das principais causas de invasão de sites WordPress para que o senhor possa saber como evitar que seu site seja invadido.
1. Hospedagem Web insegura
Como todos os sites, os sites WordPress são hospedados em um servidor da Web. Algumas empresas de hospedagem não protegem adequadamente sua plataforma de hospedagem. Isso torna todos os sites hospedados em seus servidores vulneráveis a tentativas de invasão.
Isso pode ser facilmente evitado escolhendo-se a melhor hospedagem WordPress para seu site. Servidores adequadamente seguros podem bloquear muitos dos ataques mais comuns a sites WordPress.
Se o senhor quiser tomar precauções extras, recomendamos usar um hospedagem gerenciada do WordPress provedor.
2. Uso de senhas fracas
As senhas são as chaves do seu site WordPress. O senhor precisa se certificar de que está usando uma senha forte e exclusiva para cada uma das contas a seguir, pois todas elas podem fornecer a um hacker acesso completo ao seu site:
- Sua conta de administrador do WordPress
- Sua conta do painel de controle de hospedagem na Web
- Suas contas de FTP
- O banco de dados MySQL usado para seu site WordPress
- Todas as contas de e-mail usadas para administração e hospedagem do WordPress
Todas essas contas são protegidas por senhas. O uso de senhas fracas torna mais fácil para os hackers decifrarem as senhas usando algumas ferramentas básicas de hacking.
O senhor pode evitar isso facilmente usando senhas exclusivas e fortes para cada conta. Consulte nosso guia sobre melhor maneira de gerenciar senhas para que os iniciantes em WordPress aprendam a gerenciar todas essas senhas fortes.
3. Acesso desprotegido ao administrador do WordPress (wp-admin)
A área de administração do WordPress dá ao usuário acesso para executar diferentes ações no seu site WordPress. É também a área mais comumente atacada de um site WordPress.
Deixá-la desprotegida permite que os hackers tentem diferentes abordagens para invadir seu site. O senhor pode dificultar as coisas para eles adicionando camadas de autenticação ao seu diretório de administração.
Primeiro, o senhor deve proteger sua área de administração do WordPress com senha. Isso adiciona uma camada extra de segurança, e qualquer pessoa que tentar acessar a área de administração do WordPress terá que fornecer uma senha extra.
Se o senhor tiver um site WordPress com vários autores ou usuários, poderá impor senhas fortes para todos os usuários do seu site. O senhor também pode adicionar autenticação de dois fatores (2FA) para dificultar ainda mais a entrada de hackers em sua área de administração do WordPress.
4. Permissões incorretas de arquivos
As permissões de arquivo são um conjunto de regras usadas pelo seu servidor da Web. Essas permissões ajudam o servidor da Web a controlar o acesso aos arquivos do seu site. Permissões incorretas de arquivos podem dar a um hacker acesso para gravar e alterar esses arquivos.
Todos os seus arquivos do WordPress devem ter o valor 644 como permissão de arquivo. Todas as pastas em seu site WordPress devem ter 755 como permissão de arquivo.
Consulte nosso guia sobre Como corrigir o problema de upload de imagens no WordPress para saber como aplicar essas permissões de arquivo.
5. Não manter o WordPress atualizado
Alguns usuários do WordPress têm medo de atualizar seus sites WordPress. Eles temem que isso possa danificar o site.
Cada nova versão do WordPress corrige bugs e vulnerabilidades de segurança. Se o senhor não estiver atualizando o WordPress, estará intencionalmente deixando seu site vulnerável.
Se o senhor tem medo de que uma atualização interrompa seu site, pode criar um backup completo do WordPress antes de executar uma atualização. Dessa forma, se algo não funcionar, o senhor poderá reverter facilmente para a versão anterior.
O senhor pode saber mais em nosso guia para iniciantes sobre Como atualizar o WordPress com segurança.
6. Não atualizar os plug-ins ou o tema
Assim como o software principal do WordPress, a atualização do tema e dos plug-ins é igualmente importante. O uso de um plugin ou tema desatualizado pode tornar seu site vulnerável.
Falhas e bugs de segurança são frequentemente descobertos em plug-ins e temas do WordPress. Normalmente, os autores de temas e plugins são rápidos em corrigi-los. No entanto, se um usuário não atualizar seu tema ou plugin, não há nada que possa fazer.
Certifique-se de manter o tema e os plugins do WordPress atualizados. O senhor pode aprender como fazer isso em nosso guia sobre A ordem correta de atualização para WordPress, plug-ins e temas.
7. Uso de FTP simples em vez de SFTP/SSH
As contas de FTP são usadas para fazer upload de arquivos para seu servidor da Web usando um cliente FTP. A maioria dos provedores de hospedagem oferece suporte a conexões FTP usando diferentes protocolos. O senhor pode se conectar usando FTP simples, SFTP ou SSH.
Quando o senhor se conecta ao seu site usando FTP simples, sua senha é enviada ao servidor sem criptografia. Isso significa que ela pode ser espionada e facilmente roubada. Em vez de usar FTP, o senhor deve sempre usar SFTP ou SSH.
O senhor não precisa mudar seu cliente FTP. A maioria dos clientes de FTP pode se conectar ao seu site em SFTP e também em SSH. O senhor só precisa alterar o protocolo para “SFTP – SSH” ao se conectar ao seu site.
8. Usar Admin como nome de usuário do WordPress
Não é recomendável usar “admin” como seu nome de usuário do WordPress. Se o seu administrador é “admin”, então o senhor deve mudar imediatamente para um nome de usuário diferente.
Para obter instruções detalhadas, consulte nosso tutorial sobre Como alterar seu nome de usuário do WordPress.
9. Temas e plug-ins nulos
Há muitos sites na Internet que distribuem plug-ins e temas pagos do WordPress gratuitamente. O senhor pode se sentir tentado a usar esses plug-ins e temas não licenciados em seu site.
O download de temas e plug-ins do WordPress de fontes não confiáveis é muito perigoso. Eles não só podem comprometer a segurança de seu site, como também podem ser usados para roubar informações confidenciais.
O senhor deve sempre baixar plug-ins e temas do WordPress de fontes confiáveis, como o site do desenvolvedor ou os repositórios oficiais do WordPress.
Se o senhor não puder comprar um plugin ou tema premium, sempre haverá alternativas gratuitas disponíveis para esses produtos. Esses plug-ins gratuitos podem não ser tão bons quanto seus equivalentes pagos, mas darão conta do recado e, o mais importante, manterão seu site seguro.
O senhor também pode encontrar descontos para muitos dos produtos populares do WordPress na seção seção de ofertas em nosso site.
10. Não proteger o arquivo de configuração do WordPress wp-config.php
O wp-config.php O arquivo de configuração do WordPress contém as credenciais de login do banco de dados do WordPress. Se ele for comprometido, revelará informações que podem dar a um hacker acesso completo ao seu site.
O senhor pode adicionar uma camada extra de proteção negando o acesso ao arquivo wp-config usando .htaccess. Basta adicionar esse código ao seu arquivo .htaccess:
<files wp-config.php>
order allow,deny
deny from all
</files>
11. Não alterar o prefixo da tabela do WordPress
Muitos especialistas recomendam que o senhor altere o prefixo de tabela padrão do WordPress. Por padrão, o WordPress usa wp_ como prefixo para as tabelas que ele cria em seu banco de dados. O senhor tem a opção de alterá-lo durante a instalação.
É recomendável que o senhor use um prefixo mais complexo. Isso tornará mais difícil para os hackers adivinharem os nomes das tabelas do banco de dados.
Para obter instruções detalhadas, consulte nosso guia sobre como Alterar o prefixo do banco de dados do WordPress para aumentar a segurança.
Limpeza de um site WordPress invadido
A limpeza de um site WordPress invadido pode ser dolorosa. No entanto, isso pode ser feito.
Aqui estão alguns recursos para que o senhor possa começar a limpar um site WordPress invadido:
Dica bônus
Para uma segurança sólida, usamos Sucuri em todos os nossos sites WordPress. A Sucuri fornece serviços de detecção e remoção de malware, bem como um firewall de site que protegerá seu site contra as ameaças mais comuns.
Leia a história de Como a Sucuri nos ajudou a bloquear 450.000 ataques ao WordPress em 3 meses.
Esperamos que este artigo tenha ajudado o senhor a conhecer os principais motivos pelos quais um site WordPress é hackeado. Talvez o senhor também queira ver nosso guia sobre como aumentar o tráfego de seu blog ou nosso especialista dicas para acelerar o desempenho do WordPress.
Se o senhor gostou deste artigo, por favor, assine o nosso Canal do YouTube para ver tutoriais em vídeo sobre o WordPress. O senhor também pode nos encontrar em Twitter e Facebook.
