Recentemente, um de nossos leitores nos perguntou por que os sites do WordPress são invadidos? É frustrante descobrir que seu site WordPress foi invadido. Neste artigo, compartilharemos as principais razões pelas quais o site WordPress é invadido, para que você possa evitar esses erros e proteger seu site.
Por que o WordPress é alvo de hackers?
Primeiro, não é apenas o WordPress. Todos os sites na internet são vulneráveis
A razão pela qual os sites WordPress são um alvo comum é porque o WordPress é o construtor de sites mais popular do mundo . Ele alimenta mais de 31% de todos os sites, o que significa centenas de milhões de sites em todo o mundo.
Essa imensa popularidade oferece aos hackers uma maneira fácil de encontrar sites menos seguros, para que possam explorá-los.
Os hackers têm diferentes tipos de motivos para invadir um site. Alguns são iniciantes que estão apenas aprendendo a explorar sites menos seguros.
Alguns hackers têm intenções maliciosas, como distribuir malware, usar um site para atacar outros sites ou enviar spam para a Internet.
Com isso dito, vamos dar uma olhada em algumas das principais causas dos sites do WordPress serem invadidos e como evitar que seu site seja invadido.
1. Hospedagem de sites insegura
Como todos os sites, os sites do WordPress são hospedados em um servidor web. Algumas empresas de hospedagem não protegem adequadamente sua plataforma de hospedagem. Isso torna todos os sites hospedados em seus servidores vulneráveis
Isso pode ser facilmente evitado escolhendo o melhor provedor de hospedagem WordPress para o seu site. Ele garante que seu site seja hospedado em uma plataforma segura. Servidores devidamente seguros podem bloquear muitos dos ataques mais comuns em sites WordPress.
Se você quiser tomar precauções extras, recomendamos o uso de um provedor de hospedagem WordPress gerenciado .
2. Usando senhas fracas
As senhas são as chaves do seu site WordPress. Você precisa ter certeza de que está usando uma senha forte e exclusiva para cada uma das contas a seguir, pois todas elas podem fornecer a um hacker acesso completo ao seu site.
- Sua conta de administrador do WordPress
- Conta do painel de controle de hospedagem na web
- Contas de FTP
- Banco de dados MySQL usado para seu site WordPress
- Contas de e-mail usadas para administrador do WordPress ou conta de hospedagem
Todas essas contas são protegidas por senhas. O uso de senhas fracas torna mais fácil para os hackers decifrar as senhas usando algumas ferramentas básicas de hackers.
Você pode evitar isso facilmente usando senhas exclusivas e fortes para cada conta. Veja nosso guia sobre a melhor maneira de gerenciar senhas para iniciantes do WordPress para aprender como gerenciar todas essas senhas fortes.
3. Acesso desprotegido ao administrador do WordPress (diretório wp-admin)
A área de administração do WordPress dá ao usuário acesso para realizar diferentes ações em seu site WordPress. É também a área mais comumente atacada de um site WordPress.
Deixá-lo desprotegido permite que os hackers tentem diferentes abordagens para invadir seu site. Você pode dificultar para eles adicionando camadas de autenticação ao seu diretório de administração do WordPress.
Primeiro você deve proteger com senha sua área de administração do WordPress . Isso adiciona uma camada extra de segurança e qualquer pessoa que tente acessar o administrador do WordPress terá que fornecer uma senha extra.
Se você executar um site WordPress multiautor ou multiusuário, poderá aplicar senhas fortes para todos os usuários em seu site. Você também pode adicionar autenticação de dois fatores para dificultar ainda mais a entrada de hackers na sua área de administração do WordPress.
4. Permissões de arquivo incorretas
As permissões de arquivo são um conjunto de regras usadas pelo seu servidor web. Essas permissões ajudam seu servidor web a controlar o acesso aos arquivos em seu site. Permissões de arquivo incorretas podem dar a um hacker acesso para gravar e alterar esses arquivos.
Todos os seus arquivos do WordPress devem ter o valor 644 como permissão de arquivo. Todas as pastas do seu site WordPress devem ter 755 como permissão de arquivo.
Consulte nosso guia sobre como corrigir o problema de upload de imagens no WordPress para saber como aplicar essas permissões de arquivo.
5. Não atualizar o WordPress
Alguns usuários do WordPress têm medo de atualizar seus sites WordPress. Eles temem que isso quebraria seu site.
Cada nova versão do WordPress corrige bugs e vulnerabilidades de segurança. Se você não está atualizando o WordPress, está intencionalmente deixando seu site vulnerável.
Se você tem medo de que uma atualização quebre seu site, você pode criar um backup completo do WordPress antes de executar uma atualização. Dessa forma, se algo não funcionar, você poderá reverter facilmente para a versão anterior.
6. Não atualizar plugins ou temas
Assim como o software principal do WordPress, atualizar seu tema e plugins é igualmente importante. Usar um plugin ou tema desatualizado pode tornar seu site vulnerável.
Falhas e bugs de segurança são frequentemente descobertos em plugins e temas do WordPress. Normalmente, os autores de temas e plugins são rápidos em corrigi-los. No entanto, se um usuário não atualizar seu tema ou plugin, não há nada que ele possa fazer a respeito.
Certifique-se de manter seu tema e plugins do WordPress atualizados.
7. Usando FTP simples em vez de SFTP/SSH
As contas FTP são usadas para fazer upload de arquivos para seu servidor web usando um cliente FTP . A maioria dos provedores de hospedagem suporta conexões FTP usando protocolos diferentes. Você pode se conectar usando FTP simples, SFTP ou SSH.
Quando você se conecta ao seu site usando FTP simples, sua senha é enviada ao servidor sem criptografia. Pode ser espionado e facilmente roubado. Em vez de usar FTP, você deve sempre usar SFTP ou SSH.
Você não precisaria alterar seu cliente FTP. A maioria dos clientes FTP pode se conectar ao seu site em SFTP e SSH. Você só precisa alterar o protocolo para ‘SFTP – SSH’ ao se conectar ao seu site.
8. Usando Admin como nome de usuário do WordPress
Usar ‘admin’ como seu nome de usuário do WordPress não é recomendado. Se seu nome de usuário de administrador for admin, você deverá alterá-lo imediatamente para um nome de usuário diferente.
Para obter instruções detalhadas, confira nosso tutorial sobre como alterar seu nome de usuário do WordPress .
9. Temas e plugins anulados
Existem muitos sites na internet que distribuem plugins e temas WordPress pagos gratuitamente. Às vezes é fácil ficar tentado a usar esses plugins e temas nulos em seu site.
Baixar temas e plugins do WordPress de fontes não confiáveis
Você deve sempre baixar plugins e temas do WordPress de fontes confiáveis, como o site de desenvolvedores de plugins/temas ou repositórios oficiais do WordPress.
Se você não pode pagar ou não quer comprar um plugin ou tema premium, sempre há alternativas gratuitas disponíveis para esses produtos. Esses plugins gratuitos podem não ser tão bons quanto os pagos, mas farão o trabalho e, o mais importante, manterão seu site seguro.
Você também pode encontrar descontos para muitos dos produtos populares do WordPress na seção de ofertas em nosso site.
10. Não protegendo o arquivo wp-config.php de configuração do WordPress
O arquivo de configuração do WordPress wp-config.php contém suas credenciais de login do banco de dados do WordPress. Se estiver comprometido, revelará informações que podem dar a um hacker acesso completo ao seu site.
Você pode adicionar uma camada extra de proteção negando acesso ao arquivo wp-config usando .htaccess . Simplesmente adicione este pequeno código ao seu arquivo .htaccess.
1234 | <files wp-config.php>order allow,denydeny from all</files> |
11. Não alterar o prefixo da tabela do WordPress
Muitos especialistas recomendam que você altere o prefixo de tabela padrão do WordPress. Por padrão, o WordPress usa wp_ como prefixo para as tabelas que ele cria em seu banco de dados. Você tem a opção de alterá-lo durante a instalação.
É recomendável usar um prefixo um pouco mais complicado. Isso tornará mais difícil para os hackers adivinharem os nomes das tabelas do banco de dados.
Para obter instruções detalhadas, consulte nosso guia sobre como alterar o prefixo do banco de dados do WordPress para melhorar a segurança.
Limpando um site WordPress hackeado
Limpar um site WordPress hackeado pode ser muito doloroso. Entretanto, isso pode ser feito.
Aqui estão alguns recursos para você começar a limpar um site WordPress hackeado:
- Guia para iniciantes para consertar seu site WordPress hackeado
- Como verificar seu site WordPress em busca de código potencialmente malicioso
- como encontrar um backdoor em um site WordPress hackeado e corrigi-lo
- O que fazer quando você está bloqueado no administrador do WordPress (wp-admin)
- Guia para iniciantes: como restaurar o WordPress a partir do backup
Dica de bônus
Para segurança sólida, usamos Sucuri em todos os nossos sites WordPress. A Sucuri fornece serviços de detecção e remoção de malware, bem como um firewall de site que protegerá seu site contra as ameaças mais comuns.
Veja como a Sucuri nos ajudou a bloquear 450.000 ataques do WordPress em 3 meses
Esperamos que este artigo tenha ajudado você a aprender as principais razões pelas quais o site WordPress é invadido. Você também pode querer ver nosso melhor guia de segurança do WordPress para proteger seu site WordPress.
Se você gostou deste artigo, assine nosso canal do YouTube para tutoriais em vídeo do WordPress. Você também pode nos encontrar no Twitter e no Facebook .