Por que os sites do WordPress são invadidos e como evitá-lo

Publicados: 2019-10-07

Última atualização - 8 de julho de 2021

O WordPress é um popular sistema de gerenciamento de conteúdo (CMS) , usado para criar sites ou blogs. Uma das coisas que tornam o WordPress tão popular é o quão simples ele é – os usuários podem usar o WordPress para criar, modificar e gerenciar facilmente o conteúdo em seus sites sem experiência em codificação. Isso leva muitas empresas e indivíduos a usar o WordPress para construir seu site.

Um relatório recente da W3techs diz que o WordPress é usado em 34,5% de todos os sites. Isso significa que todo terceiro site que você usa foi construído com o WordPress. Entre as soluções de CMS, a participação de mercado do WordPress é ainda maior, com mais de 60% de todos os sites rodando no WordPress. O Joomla fica em segundo lugar, mas por uma margem enorme - é usado por 5-10% do número de sites.

Por que os sites do WordPress são invadidos?

Mesmo que eles não sejam mais vulneráveis ​​a ataques do que qualquer outro site na internet, os sites do WordPress são mais propensos a serem invadidos porque são muito mais comuns. Dada a enorme popularidade do WordPress, os invasores têm mais incentivos para tentar encontrar maneiras de explorar as vulnerabilidades encontradas nesses sites.

Quando os invasores encontram uma vulnerabilidade no WordPress, eles têm muito mais alvos do que quase qualquer outro sistema na Internet. Além disso, como o WordPress atrai muitos usuários sem experiência em codificação, é muito menos provável que eles tomem as medidas necessárias para proteger seus sites contra vulnerabilidades que os invasores podem explorar. Outra razão pela qual os sites do WordPress são invadidos é por “esporte” e prática. Muitos iniciantes tentam encontrar sites com segurança mais fraca para praticar suas habilidades de hackers e encontrar maneiras de melhorar.

7 maneiras de sites do WordPress serem hackeados e como evitá-lo

Você precisa entender alguns dos motivos comuns para sites do WordPress serem invadidos e, portanto, tomar precauções.

Senhas fracas

Suas senhas atuam como as chaves do seu site WordPress, o que significa que você precisa garantir que elas sejam fortes o suficiente para protegê-lo. Estudos mostram que cerca de 80% de todas as violações de dados ocorrem por causa de senhas fracas.

Como corrigir : A correção desta vulnerabilidade é simples━use uma senha forte. Você também pode usar um gerenciador de senhas de terceiros, como o LastPass , por exemplo.

Não alterar seu nome de usuário do WordPress

Quando você abre sua conta do WordPress, seu nome de usuário é 'admin' e todos sabem disso. Por esse motivo, esse é o primeiro nome de usuário que os agentes de ameaças tentarão quando tentarem invadir seu site. Essa conta oferece privilégios de root e pode ser usada para destruir seu site, acessar redes conectadas e roubar, excluir ou resgatar dados.

Como corrigir : Se seu nome de usuário for admin, altere-o o mais rápido possível para um nome de usuário diferente.

Hospedagem de sites insegura

Os sites WordPress são hospedados em servidores como todos os outros sites. Escolher o provedor certo é fundamental para proteger seu site. Mesmo se você implementar todas as outras dicas mencionadas neste guia, se seu provedor oferecer proteção fraca, seu site ainda poderá ser invadido.

Como corrigir : Escolha o melhor provedor de hospedagem WordPress dentro do seu orçamento e garanta que seu site esteja hospedado em uma plataforma segura.

aprenda WordPress e WooCommerce
Kinsta oferece hospedagem WordPress gerenciada e um ótimo recurso para aprender WordPress e WooCommerce.

Permissões de arquivo incorretas

Permissões de arquivo são regras usadas pelo seu servidor de hospedagem para ajudar seu servidor web a controlar o acesso aos arquivos armazenados e usados ​​pelo seu site. Dar a esses arquivos permissões incorretas pode permitir que hackers acessem e modifiquem seus arquivos, o que pode levar a todos os tipos de problemas para seu site.

Como corrigir : Certifique-se de que todos os seus arquivos do WordPress estejam configurados com o valor de permissão de 644 e todas as suas pastas estejam definidas como 755.

Segurança fraca contra ameaças cibernéticas comuns

Mesmo se você tiver as senhas mais fortes e usar o host mais seguro, ainda estará vulnerável a ataques cibernéticos. As injeções de SQL, por exemplo, são um ataque comum usado para infectar sites com malware.

Como corrigir : Saiba mais sobre as ameaças mais comuns e como proteger seu site contra essas ameaças. Um bom lugar para começar é o OWASP (Open Web Application Security Project) top 10 ━uma lista que detalha as 10 vulnerabilidades mais urgentes. OWASP também fornece recursos educacionais, que você pode usar para melhorar suas práticas de segurança cibernética.

Usando versões desatualizadas do WordPress

Alguns usuários do WordPress têm medo de atualizar seus sites para a versão mais recente do WordPress, porque isso pode causar erros no site. No entanto, evitar atualizações é um problema sério, pois muitas dessas atualizações são lançadas para corrigir falhas de segurança.

Como corrigir : Você deve sempre atualizar para a versão mais recente para garantir as correções de bugs e patches de segurança mais recentes. Se você tem medo que a atualização possa atrapalhar seu site, criar um backup completo do WordPress é sempre uma boa prática, especialmente antes das atualizações de versão.

Usando temas ou plugins datados

Temas e plugins do WordPress não são tão diferentes do software principal que eles executam, e mantê-los atualizados é igualmente importante – versões desatualizadas podem ser expostas a vulnerabilidades.

Como corrigir : Certifique-se de ter as versões mais atualizadas de todos os seus temas e plugins.

Embrulhar

Sites WordPress são invadidos o tempo todo. Isso é um fato e precisa ser tratado como tal. Os sites de comércio eletrônico são especialmente vulneráveis ​​a ataques, porque oferecem mais recompensas do que um site comum. Uma plataforma de comércio eletrônico bem-sucedida que processa muitas transações geralmente armazena informações confidenciais.

Se um site for violado, os invasores podem roubar as informações. Isso colocará o site em uma situação ruim, especialmente se o site estiver atendendo usuários relacionados à União Europeia. Essas informações são protegidas pelo Regulamento Geral de Proteção de Dados (RGPD da UE), que protege as informações confidenciais de “todos os cidadãos individuais da União Europeia e do Espaço Econômico Europeu”. A não conformidade com o GDPR pode levar a perdas financeiras e de reputação.

Outra entidade de conformidade a ser lembrada é o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), que protege as informações confidenciais e financeiras dos titulares de cartões de crédito. O PCI se aplica a qualquer comerciante que processe, armazene, transmita e entre em contato com dados de cartão de crédito. Isso significa que as plataformas de comércio eletrônico devem estar em conformidade com o PCI. O PCI é mantido e regulamentado pelas principais operadoras de cartão de crédito, que fiscalizam o cumprimento por meio de multas.