O WordPress é um software extremamente popular e de código aberto. O melhor disso em termos de segurança é que há uma enorme comunidade que trabalha com ele, que é capaz de descobrir bugs e riscos de segurança mais rapidamente do que com uma solução CMS interna. (É difícil descobrir as fraquezas quando uma maneira de descobrir é realmente explorar a fraqueza, e ter uma enorme base de usuários torna a descoberta muito mais provável.)
A desvantagem é que hackers com más intenções sabem exatamente como seu site é construído. Eles já têm o ‘plano’ do seu site. E se houver alguma fraqueza no núcleo, temas ou plugins que você usa, isso é algo que eles poderão saber sem nunca obter acesso ao back-end do seu site.
Então, neste post, mostrarei como corrigir 5 ameaças de segurança que estão presentes em qualquer instalação completamente padrão do WordPress. (Se você já tomou algumas precauções, pode descobrir que já corrigiu um ou dois, mas é importante corrigir todos os cinco para minimizar o risco de ser hackeado.)
Seu site mostra que você está usando o WordPress, além da versão
A versão padrão do WordPress terá linhas de código que revelam que seu site foi construído usando o WordPress, até mesmo a versão para pessoas que sabem onde procurar. Dependendo do tema, ele pode até ser exibido visualmente em todas as páginas do seu site.
A razão pela qual isso pode ser um risco de segurança é que as pessoas podem segmentar seu site por nenhum outro motivo além de ser construído no WordPress. Se alguém encontrar uma falha de segurança no núcleo do WordPress, um tema ou plugin, poderá encontrar o caminho para o seu site para explorar isso. Considerando que, se você tivesse ocultado com sucesso que seu site foi construído com o WordPress, as pessoas que pesquisam sites do WordPress usando bots ou rastreadores seriam levadas a pensar que seu site não era um alvo viável.
Como corrigir:
Para corrigir isso, você pode usar o Plugin Hide My WP . Com este pequeno plug-in útil, você pode evitar tráfego desnecessário em seu servidor e, ao mesmo tempo, permanecer protegido contra ataques direcionados especificamente a sites WordPress.
Todo mundo sabe onde sua página de login/área de administração está localizada
Se você ainda estiver mostrando que usa o WordPress (ou seja, não o escondendo ativamente usando, por exemplo, um plugin como Hide My WP ), pessoas com más intenções já saberão onde tentar um ataque de força bruta em seu site.
Como corrigir:
Para corrigir essa ameaça e diminuir drasticamente as chances de ser hackeado e reduzir o estresse do servidor, precisamos impedir que pessoas mal-intencionadas e bots acessem nossa página de login.
Existem duas maneiras principais de fazer isso. Você pode alterar a localização física da sua página de login para outra coisa usando um plugin (ou algumas linhas de código), ou pode limitar o acesso à sua página de login e área de administração por endereços IP. Você pode fazer isso com um plugin dedicado a essa coisa em particular, ou com um plugin de segurança como Sucuri , Wordfence , iThemes Security Pro ou All In One WP Security & Firewall .
WordPress tem um prefixo de tabela padrão que todo mundo usa
Um prefixo de tabela é o que vem antes dos nomes das tabelas em seu banco de dados. Em vez de usuários, com o prefixo padrão do WordPress, seria wp_users. Se você usar o prefixo de tabela padrão, será mais fácil para as pessoas obterem acesso ao seu site, explorando possíveis pontos fracos de injeção de sql. Porque eles sabem exatamente onde injetar informações em seu banco de dados para obter acesso ao seu site.
Na verdade, um dos meus sites foi invadido por causa da injeção de sql, então essa é uma ameaça muito real que você precisa tomar contramedidas.
Como corrigir:
Felizmente, é muito fácil remover essa ameaça. Se você já instalou o WordPress usando o prefixo wp_ padrão, pode alterá-lo facilmente usando um plugin como o Sucuri . Primeiro, você precisa fazer backup de seu banco de dados antes de usar essa opção, pois há uma pequena chance de algo dar errado. Você pode fazer isso com o clique de um botão. Então você pode escolher um novo prefixo, ou simplesmente deixar a Sucuri gerar aleatoriamente o novo prefixo para você.
Nota: Se você está instalando o WordPress pela primeira vez, pode alterá-lo na interface de instalação.
Os arquivos de temas e plugins do WordPress são editáveis através do painel
O problema com isso é que, se um hacker obtiver acesso ao seu site, ele poderá causar muitos danos. Eles podem fazer com que seu site infeste outras pessoas com malware (o que pode terminar com seu site sendo colocado na lista negra do Google e desindexado dos mecanismos de pesquisa), desfigurar seu site ou abrir backdoors facilmente.
Como corrigir:
Você pode adicionar esta linha de código ao seu arquivo wp-config.php:
define( ‘DISALLOW_FILE_EDIT’, true );
Ou use um plug-in de segurança para fazer isso por você (que basicamente apenas inserirá essa linha de código para você). O único problema é que existem plug-ins que permitem que as pessoas ativem e desativem essa capacidade, portanto, um hacker muito dedicado pode instalar um plug-in, ativá-lo e obter acesso ao código de edição sem acesso ao FTP.
Se você quiser ser extremamente completo e se proteger contra isso, você pode desabilitar todas as atualizações/instalações de plugins e temas adicionando esta linha de código ao wp-config.php:
define( ‘DISALLOW_FILE_MODS’, true );
Mas obviamente isso significaria que você teria que alterar seu valor para false toda vez que quisesse atualizar ou instalar um plugin ou tema (não recomendamos essa opção, pois manter temas e plugins atualizados é uma das melhores maneiras para garantir que seu site seja menos vulnerável).
WordPress tem configurações de firewall muito abertas que podem permitir que até bots maliciosos conhecidos tentem ataques
As configurações de firewall padrão do WordPress são, na verdade, do lado liberal. Isso significa que alguns bots indesejáveis
Como corrigir:
você pode melhorar isso instalando as regras básicas de firewall de lista negra 5G, copiando-o manualmente em seu arquivo .htaccess (você pode encontrá-lo aqui) ou instalando este plug-in ou use um plug-in de segurança para melhorar otimize as regras em seu .htaccess.
Tentativas ilimitadas de login no WordPress
Embora a configuração padrão seja realmente tentativas de login ilimitadas, você pode ter escolhido limitar as tentativas de login quando instalou o WordPress em seu site. Se você não fez, no entanto, é uma correção incrivelmente fácil.
Como corrigir:
Basta instalar o plugin Limit Login Attempts . Ou, se você estiver usando a hospedagem WPEngine , esse é um recurso que eles já incorporaram para você – não é necessário nenhum plug-in! Se você já protege sua área de login permitindo apenas que seus próprios endereços IP acessem o painel, você não precisará fazer isso. Mas se você apenas escondeu o endereço da sua página de login, é uma boa proteção dupla contra possíveis ataques de força bruta.
Conclusão
O crime cibernético está crescendo rapidamente e a internet está a caminho de se tornar o lar de mais criminosos do que ‘o mundo real’. Em alguns países isso já aconteceu. E embora muito disso seja fraude de cartão de crédito e banco, há um número crescente de hackers por aí e, como proprietários de sites, temos que nos proteger e proteger nossos sites da melhor maneira possível.
Embora uma instalação padrão do WordPress tenha alguns pontos fracos, a beleza do WordPress está realmente na facilidade com que você pode resolver praticamente qualquer um dos seus problemas com seu site, incluindo as ameaças de segurança mencionadas neste post. Além de ter um nome de usuário exclusivo e uma senha forte, instalando um plugin de segurança, editando algumas configurações e talvez inserindo uma ou duas linhas de código, você já pode reduzir significativamente o risco de seu site ser invadido ou infestado de malware.
Você tomou alguma medida para melhorar a segurança do seu site WordPress? Que tipo? Adoraríamos ouvir algumas de suas dicas e truques! Por favor deixe nos saber nos comentarios.