O senhor deseja evitar ataques de injeção de SQL no WordPress?
A injeção de SQL é uma vulnerabilidade de segurança que os hackers podem usar para atacar o banco de dados do seu site. Depois de fazer isso, o invasor pode ler seus dados confidenciais, modificá-los e assumir o controle de todo o banco de dados.
Neste artigo, compartilharemos algumas dicas práticas para evitar ataques de injeção de SQL no WordPress, passo a passo.
Por que evitar ataques de injeção de SQL no WordPress?
SQL significa Structured Query Language (Linguagem de Consulta Estruturada), que é uma linguagem de programação que se comunica com o seu site do WordPress. do site WordPress. Sem esse recurso, seu site não pode gerar nenhum conteúdo dinâmico.
No entanto, a entrada não autorizada do usuário, o software desatualizado ou a revelação de informações confidenciais podem causar vulnerabilidade de segurança e facilitar a execução de ataques de injeção de SQL pelos hackers.
Esse ataque tem como alvo o servidor de banco de dados e adiciona código ou instruções maliciosas ao SQL. Ao fazer isso, os hackers podem usar informações confidenciais armazenadas em seu banco de dados, como dados de usuários, para roubo de identidade, aquisição de contas, fraude financeira e muito mais.
Eles também podem alterar as entradas do banco de dados ou a permissão da conta e executar ataques DDOSdificultando a visita dos usuários reais ao seu site.
Isso pode prejudicar a confiança do cliente, afetar negativamente a experiência do usuário e diminuir o tráfego do seu site, o que será ruim para a sua empresa. pequena empresa crescimento.
Dito isso, vamos dar uma olhada em algumas dicas práticas que podem evitar ataques de injeção de SQL no WordPress.
Observação: Antes de fazer qualquer alteração em seu banco de dados para medidas preventivas, recomendamos que o senhor crie um backup dele. Dessa forma, se algo der errado, o senhor poderá usar o backup para corrigir o problema. Para obter detalhes, consulte nosso tutorial sobre Como fazer um backup do banco de dados do WordPress manualmente.
1. Faça atualizações do site regularmente e use um firewall
Uma maneira eficaz de evitar ataques de injeção de SQL é atualizar regularmente seu site WordPress para a versão mais recente. Essas atualizações geralmente corrigem as vulnerabilidades de segurança, inclusive problemas de software de banco de dados, dificultando o ataque dos hackers ao seu site.
Se o senhor estiver usando uma versão desatualizada do WordPress, recomendamos ativar as atualizações automáticas para obter a versão mais recente, visitando o site Painel de controle ” Atualizações página.
Aqui, basta clicar no link ‘Enable automatic updates for all new versions of WordPress’ (Ativar atualizações automáticas para todas as novas versões do WordPress). Agora, todas as principais atualizações serão instaladas em seu site assim que forem lançadas.
Para obter mais informações, talvez o senhor queira consultar nosso guia para iniciantes sobre Como atualizar o WordPress com segurança.
Depois de fazer isso, o senhor também pode adicionar um firewall para aumentar a segurança. Esse recurso funciona como um escudo entre o seu site e o tráfego de entrada e bloqueia ameaças comuns à segurança, inclusive ataques de SQL, antes que elas cheguem ao seu site.
Para essa função, recomendamos que o senhor Sucuri, que é o melhor software de firewall para WordPress do mercado. Ele oferece um firewall em nível de aplicativo, prevenção contra força bruta, bem como serviços de remoção de malware e de listas negras, o que o torna uma excelente opção.
Além disso, a ferramenta nos ajudou a bloquear cerca de 450.000 ataques ao WordPress em nosso site no passado.
Para obter mais detalhes, consulte nosso Guia de segurança do WordPress.
2. Ocultar sua versão do WordPress
Por padrão, o WordPress exibe o número da versão atual do software que o senhor usa em seu site. Por exemplo, se o senhor estiver usando o WordPress 6.4essa versão será exibida em seu site para rastreamento.
No entanto, a visibilidade pública do número de sua versão pode causar ameaças à segurança e facilitar aos hackers a realização de ataques de injeção de SQL no WordPress.
Isso ocorre porque cada versão do WordPress tem suas próprias vulnerabilidades exclusivas que os invasores podem explorar após descobrirem sua versão. Isso permitirá que eles adicionem trechos de código malicioso ao seu site por meio de campos de entrada vulneráveis.
O senhor pode remover facilmente o número da versão do seu site adicionando o seguinte trecho de código ao seu functions.php arquivo.
add_filter('the_generator', '__return_empty_string');
Quando o senhor fizer isso, os hackers não conseguirão encontrar o número da versão do WordPress por meio de scanners automáticos ou de qualquer outra forma.
Observação: Lembre-se de que um pequeno erro ao adicionar código pode tornar seu site inacessível. Por isso, recomendamos que o WPCode. É o melhor plugin de snippets de código que torna a adição de código personalizado ao seu site super segura e fácil.
Para obter mais detalhes, consulte nosso tutorial sobre o maneira correta de remover o número da versão do WordPress.
3. Alterar o prefixo do banco de dados do WordPress
Por padrão, o WordPress adiciona o prefixo wp_ para todos os seus arquivos de banco de dados, o que torna mais fácil para os hackers planejarem um ataque visando o prefixo.
A maneira mais fácil de evitar ataques de injeção de SQL é alterar o prefixo padrão do banco de dados com algo exclusivo que os hackers não consigam adivinhar.
O senhor pode fazer isso facilmente conectando seu site usando FTP. Depois disso, abra o arquivo wp-config.php e encontre a alteração $table_prefix . Em seguida, o senhor pode alterá-la de simplesmente o padrão wp_ para outra coisa como esta: wp_a123456_.
$table_prefix = 'wp_a123456_';
Em seguida, o senhor deve acessar o cPanel da sua conta de hospedagem na Web. Para este tutorial, usaremos o BluehostNo entanto, seu cPanel pode ter uma aparência um pouco diferente, dependendo da empresa de hospedagem na Web.
Aqui, vá para a guia “Advanced” (Avançado) e clique no botão “Manage” (Gerenciar) ao lado da seção “PHPMyAdmin”.
Isso abrirá uma nova página na qual o senhor deve selecionar o nome do banco de dados na coluna da esquerda e alternar para a guia “SQL” na parte superior.
Depois disso, o senhor pode adicionar a seguinte consulta SQL na caixa de texto.
Lembre-se apenas de alterar o prefixo do banco de dados para o prefixo que o senhor escolheu ao editar o arquivo wp-config.php.
RENAME table `wp_comments` TO `wp_a123456_comments`;
RENAME table `wp_links` TO `wp_a123456_links`;
RENAME table `wp_options` TO `wp_a123456_options`;
RENAME table `wp_postmeta` TO `wp_a123456_postmeta`;
RENAME table `wp_RENAME table `wp_commentmeta` TO `wp_a123456_commentmeta`;
posts` TO `wp_a123456_posts`;
RENAME table `wp_terms` TO `wp_a123456_terms`;
RENAME table `wp_termmeta` TO `wp_a123456_termmeta`;
RENAME table `wp_term_relationships` TO `wp_a123456_term_relationships`;
RENAME table `wp_term_taxonomy` TO `wp_a123456_term_taxonomy`;
RENAME table `wp_usermeta` TO `wp_a123456_usermeta`;
RENAME table `wp_users` TO `wp_a123456_users`;
Para obter mais instruções, o senhor pode ver nosso tutorial sobre Como alterar o prefixo do banco de dados do WordPress para aumentar a segurança.
4. Validar dados do usuário
Os hackers geralmente injetam ataques SQL em seu site usando campos que são usados para inserir dados do usuário, como seções de comentários ou campos de formulário em formulários de contato.
É por isso que é importante validar todos os dados que estão sendo enviados em seu blog do WordPress. Isso significa que os dados do usuário não serão enviados para o seu site se não seguirem um formato específico.
Por exemplo, um usuário não poderá enviar seu formulário se o campo de endereço de e-mail não tiver o símbolo “@”. Ao adicionar essa validação à maioria dos seus campos de formulário, o senhor pode evitar ataques de injeção de SQL.
Para fazer isso, o senhor precisará de Formidable Formsque é um plugin avançado de criação de formulários. Ele vem com a opção “Input Mask Format” (Formato da máscara de entrada), na qual o senhor pode adicionar o formato que os usuários devem seguir para enviar os dados do campo do formulário.
O senhor pode adicionar um formato específico para números de telefone ou campos de texto simples.
Se o senhor não quiser validar seus campos de formulário, recomendamos WPForms porque é o melhor plugin de formulário de contato que vem com proteção completa contra spam e suporte ao Google reCAPTCHA.
Com ele, o senhor também pode adicionar menus suspensos e caixas de seleção em seus formulários. Isso dificultará a adição de dados maliciosos pelos hackers.
Para obter mais detalhes, consulte nosso tutorial sobre Como criar um formulário de contato seguro no WordPress.
5. Limitar o acesso e as permissões da função do usuário
Outra dica para evitar ataques de injeção de SQL no WordPress é limitar o acesso do usuário ao seu site.
Por exemplo, se o senhor tiver um blog com vários autores, o senhor terá vários autores, além de assinantes e administradores. Nesse caso, o senhor pode aumentar a segurança do site limitando o acesso total ao administrador somente ao administrador.
O senhor pode restringir todas as outras funções de usuário a funções específicas necessárias para o desempenho do trabalho. Isso reduzirá o acesso do usuário ao seu banco de dados e evitará ataques de injeção de SQL.
O senhor pode fazer isso com o aplicativo gratuito Remover acesso ao painel plugin. Após a ativação, basta visitar a seção Configurações ” Acesso ao painel de controle página onde o senhor pode decidir quais funções de usuário têm acesso ao painel de controle.
Se quiser limitar os usuários de acordo com sua capacidade, consulte nosso tutorial sobre Como adicionar ou remover recursos das funções de usuário no WordPress.
Da mesma forma, o senhor também pode limitar os autores a suas próprias postagens em sua área de administração para obter mais segurança.
6. Criar mensagens de erro personalizadas para o banco de dados
Às vezes, seus usuários podem se deparar com um erro de banco de dados em seu site, que pode exibir informações importantes sobre seu banco de dados, tornando-o vulnerável a ataques de injeção de SQL.
Nesse caso, recomendamos a criação de uma mensagem de erro de banco de dados personalizada que será exibida aos usuários quando eles se depararem com isso erro comum. Para fazer isso, o senhor precisará copiar e colar o conteúdo a seguir em um aplicativo de bloco de notas e salvar o arquivo como “db-error.php”.
<?php // custom WordPress database error page
header('HTTP/1.1 503 Service Temporarily Unavailable');
header('Status: 503 Service Temporarily Unavailable');
header('Retry-After: 600'); // 1 hour = 3600 seconds
// If you wish to email yourself upon an error
// mail("your@email.com", "Database Error", "There is a problem with the database!", "From: Db Error Watching");
?>
<!DOCTYPE HTML>
<html>
<head>
<title>Database Error</title>
<style>
body { padding: 20px; background: red; color: white; font-size: 60px; }
</style>
</head>
<body>
You got problems.
</body>
Depois disso, conecte seu site a um programa de FTP e carregue o arquivo que o senhor acabou de criar no diretório /wp-content/ do seu site.
Agora, quando os usuários se depararem com um erro de banco de dados no seu site, eles verão apenas uma mensagem de erro informando-os sobre o problema sem revelar nenhuma informação confidencial.
Além disso, o título “Database Error” será exibido na guia do navegador da Web.
Para obter mais detalhes, consulte nosso tutorial sobre Como adicionar uma página de erro de banco de dados personalizada no WordPress.
7. Remover funcionalidades desnecessárias do banco de dados
Para evitar ataques de injeção de SQL, o senhor também deve tentar remover todas as funcionalidades e arquivos de banco de dados que não são necessários em seu site.
Por exemplo, o senhor pode excluir tabelas desnecessárias, lixo ou comentários não aprovados que podem tornar seu banco de dados suscetível a hackers.
Para remover funcionalidades desnecessárias do banco de dados, recomendamos WP-Optimize. É um plug-in incrível que remove tabelas desnecessárias, revisões de postagens, rascunhos, comentários descartados, postagens excluídas, pingbacks, metadados de postagens e muito mais.
Ele remove todos os arquivos desnecessários e otimiza o banco de dados para torná-lo mais seguro e mais rápido. Para obter detalhes, consulte nosso guia para iniciantes sobre Como otimizar o banco de dados do WordPress.
Bônus: Use o WPBeginner Pro Services para criar um site seguro
Depois de tomar todas as medidas preventivas contra ataques de injeção de SQL, o senhor também pode optar por Serviços WPBeginner Pro.
Podemos ajudá-lo a identificar e corrigir quaisquer outras vulnerabilidades de segurança que o senhor desconheça. Além disso, se o senhor já sofreu um ataque de injeção de SQL, nossos especialistas podem ajudá-lo a conter os danos e a recuperar seus sistemas.
O senhor também pode nos contratar para melhorar a otimização da velocidade do seu site, o design, o SEO ou até mesmo reconstruir completamente o seu site WordPress existente, quer ele tenha sido hackeado ou não.
Para obter mais informações, confira todos os nossos Serviços profissionais do WPBeginner.
Esperamos que este artigo tenha ajudado o senhor a aprender como evitar ataques de injeção de SQL no WordPress. Talvez o senhor também goste de ver nosso guia para iniciantes sobre Gerenciamento de banco de dados do WordPress e nossas principais escolhas para o melhores plug-ins de banco de dados do WordPress.
Se o senhor gostou deste artigo, por favor, assine o nosso Canal do YouTube para ver tutoriais em vídeo sobre o WordPress. O senhor também pode nos encontrar em Twitter e Facebook.
