9 problemas comuns de vulnerabilidade do WordPress (e como corrigi-los)

Uma das melhores maneiras de manter seu site WordPress seguro é verificar se há código potencialmente malicioso em seu site. Sempre que encontrar qualquer vulnerabilidade, você pode tomar ações corretivas imediatas antes de permitir que alguém a explore e supostamente entre em seu painel de administração do WordPress.

Não é de se admirar que os hackers tenham como alvo sites WordPress enormemente porque é o CMS mais popular do mercado. Pronto para usar, há várias maneiras de tornar a instalação do WordPress mais segura. No entanto, a dura realidade é que apenas uma fração dos sites os segue. Isso torna o WordPress um dos alvos mais fáceis para hackers.

 

Leitura recomendada: 17 maneiras de prevenir o hacking do WordPress

9 problemas de vulnerabilidade do WordPress

1. Hospedagem WordPress barata

Se você optar pela hospedagem do WordPress exclusivamente com base na hospedagem, é mais do que provável que encontre uma série de vulnerabilidades do WordPress. Isso ocorre porque a hospedagem barata é mais do que provável de ser configurada incorretamente e não segregada uns dos outros corretamente.

Isso significa que sites que foram explorados em uma instalação podem se espalhar para sites não relacionados que estão hospedados no mesmo servidor. Esse problema também pode ocorrer se você hospedar vários sites para vários de seus clientes na mesma conta de hospedagem.

Nesse caso, mais uma vez, se algum dos seus sites for comprometido, a infecção pode se espalhar para TODOS os sites da sua conta. Você precisa ter cuidado para garantir que está usando uma configuração como um VPS, que permite criar separação entre os diferentes sites hospedados.

Outro problema com hospedagem barata é a questão dos "vizinhos duvidosos". A hospedagem barata tende a atrair clientes com spam ou suspeitos - isso pode significar que o servidor real onde o site está hospedado é colocado na lista negra ou na lista de spam.

CONSERTAR: Em primeiro lugar, certifique-se de não optar pela hospedagem mais barata que puder encontrar. Em vez disso, opte por uma hospedagem que faça da segurança uma prioridade. Em segundo lugar, se você hospedar sites para seus clientes, certifique-se de compartimentar os diferentes clientes criando usuários diferentes para cada cliente.  

IMH

Você quer um site rápido?

Quem eu estou enganando? Não todos nós?

Então, por que tantos de nós lutamos?

O maior desafio geralmente é encontrar uma empresa de hospedagem rápida e confiável.

Todos nós já passamos por pesadelos - suporte demora uma eternidade ou não resolve nosso problema sempre culpando algo do seu lado... 

Mas a maior chatice é que o site sempre parece lento.

At CollectiveRay nós hospedamos com hospedagem InMotion e nosso site é estúpido rápido. Executamos em uma pilha personalizada de configuração de servidor LightSpeed ​​em MariaDB com um mecanismo PHP7.4 e gerenciado por Cloudflare. 

Combinado com nossas otimizações de front-end, atendemos de forma confiável 6000 usuários todos os dias, com picos de mais de 50 usuários simultâneos. 

Quer obter uma configuração rápida como a nossa? Transfira seu site gratuitamente para a hospedagem InMotion e ganhe nosso desconto de 50% sobre os preços atuais.

Experimente o InMotion Hosting com 50% OFF para CollectiveRay visitantes SOMENTE em dezembro de 2024!

Hospedagem InMotion com 50% de desconto para CollectiveRay visitantes

2. Fracos logins e senhas do WordPress

O endereço de login do WordPress é de conhecimento comum e existem scripts de hacking cujo único propósito é forçar bruta combinações de senhas comuns ou tentar uma lista de senhas que vazaram de outros sites.

Isso significa que se você usar uma senha fraca, como admin / admin ou admin / senha ou outras combinações de senha estupidamente simples, você está introduzindo uma vulnerabilidade grave de WordPress em seu site.

senhas fracas

CONSERTAR: É fundamental que as senhas de login do WordPress usem senhas fortes, sejam armazenadas com segurança e nunca compartilhadas com outras instalações ou plataformas. E não use "admin" como nome de usuário, escolha algo que seja mais difícil de adivinhar.

Versões mais antigas do WordPress costumavam criar um usuário padrão com o nome de usuário 'admin', muitos hackers assumem que as pessoas ainda usam o mesmo nome de usuário.

Se você ainda estiver usando admin como nome de usuário da conta de administrador, crie uma nova conta em seu site WordPress e transfira a propriedade de todas as postagens para a nova conta. Certifique-se de que a função do novo usuário seja um administrador.

Uma vez feito isso, você pode excluir a conta do usuário com o nome de usuário admin ou alterar sua função para assinante.

Se o seu site é um site de comunidade com vários autores, é melhor instalar https://wordpress.org/plugins/force-strong-passwords/ plugin em seu site WordPress. Este plugin força os usuários a usar uma senha forte ao criar um novo usuário.  

3. WordPress principal desatualizado, temas ou plug-ins

Como a maioria dos softwares, o WordPress normalmente descobre problemas que podem ser usados ​​para invadir um site. Normalmente, esses problemas são corrigidos sempre que uma atualização é lançada. Mas essas atualizações também liberam a vulnerabilidade real do WordPress para o público.

Isso significa que, assim que uma atualização for lançada, um exploit será criado para atacar sites que não foram atualizados para a versão mais recente.

A mesma lógica se aplica aos plug-ins e temas do WordPress que podem apresentar o mesmo problema. Isso também pode acontecer com software PHP, software MySQL, software de servidor e qualquer outro software que não tenha sido atualizado e exista no servidor do seu site.

Essencialmente, se algum software não foi atualizado, é um alvo fácil - uma vulnerabilidade do WordPress esperando para ser explorada.

CONSERTAR: Mantenha todas as assinaturas de fornecedores ativas e certifique-se de manter todos os componentes atualizados com suas versões mais recentes.

4. Exploits PHP

Além de exploits que existem no próprio WordPress, é bem possível que exista um exploit de PHP em uma biblioteca de PHP que também pode não ter sido atualizada. O problema com isso é que, na maioria das vezes, você pode nem estar ciente de que essa biblioteca está sendo usada em seu site.

CONSERTAR: Por este motivo, você deve optar por uma hospedagem WordPress avançada, como VPS ou hospedagem WordPress gerenciada, onde você pode personalizar e / ou remover bibliotecas PHP em seu servidor que você não está usando e não precisa.

5. Instalação de software de fontes duvidosas

Às vezes, por vários motivos míopes (possivelmente monetários), você pode considerar o download de produtos premium de sites "duvidosos". Em outras palavras, baixe versões piratas de plug-ins ou temas premium.

Esta é uma maneira segura de introduzir vulnerabilidades do WordPress em seus sites. A razão é que o "preço" de usar esse tipo de software pirata é oculto e nefasto. Esses plug-ins geralmente são ajustados com o que é conhecido como backdoor. Os backdoors fornecem aos usuários controle remoto para sites onde esses plug-ins foram instalados e os hackers terão controle total sobre o seu site e o usarão à vontade para suas próprias práticas.

backdoors de software pirateado

Isso pode incluir o uso do seu site como parte de uma rede zumbi (rede de computadores que participam de um ataque de botnet ou DDoS), o uso do seu site como parte de uma rede de sites usada para infectar mais usuários com vulnerabilidades, o envio de SPAM, phishing ou outros atos nocivos práticas.

CONSERTAR: Evite essas fontes e certifique-se de baixar e usar software apenas de fontes oficiais confiáveis. Caso contrário, você certamente terá vulnerabilidades ocultas do WordPress introduzidas.

6. Sites que não usam certificados seguros

Os sites que não possuem um certificado SSL / TLS não criptografam as informações enviadas entre o navegador e o servidor. Isso significa que essas informações, incluindo senhas ou outros dados confidenciais, como informações pessoais ou de pagamento, podem ser detectadas ao serem transmitidas pela Internet.

O software existe para ler esses dados criptografados e armazenar qualquer informação potencialmente valiosa para ser usada e explorada posteriormente.

CORRECÇÃO: Ao instalar e configurar um certificado seguro, as informações são criptografadas antes de serem de ou para o servidor

7. Explorações de inclusão de arquivo

Exploração de inclusão de arquivos são algumas das vulnerabilidades mais comuns do WordPress exploradas por meio de código PHP. Isso ocorre quando uma vulnerabilidade do WordPress em que um problema no código permite "elevação de privilégios" ou "desvio de segurança" de forma que um invasor seja capaz de carregar arquivos remotamente para obter acesso a um site. Essas explorações podem assumir completamente o controle de um site ou roubar informações privadas, acessando informações que normalmente não estão disponíveis ao público. 

CONSERTAR: Mantenha todo o seu software atualizado com as versões mais recentes e certifique-se de ter um plugin de segurança do WordPress instalado 

8. Injeções de SQL

As injeções de SQL são uma forma diferente de exploração, mas esse tipo de vulnerabilidade do WordPress também abusa de bugs no código para realizar ações não intencionais. Essencialmente, uma injeção de SQL ocorre quando um invasor ignora as proteções normais para acessar o banco de dados do WordPress e os dados privados do site.

Ao acessar o banco de dados do WordPress, eles podem realizar alterações abusivas, como a criação de usuários de nível de administrador que podem eventualmente ser usados ​​para obter acesso total ao site. Esses ataques também podem ser usados ​​para adicionar dados maliciosos ao banco de dados, como links para sites maliciosos ou com spam.

SELECIONE * A PARTIR DE Utilizadores ONDE Nome ="" or ""="" E Passar ="" or ""=""

CONSERTAR: Certifique-se de ter as versões mais recentes do software configuradas em seu site e que sejam mantidas atualizadas 

9. XSS ou Cross-site Scripting

Esta é outra forma de ataque muito comum. Na verdade, eles são provavelmente os exploits mais comuns.

O script entre sites funciona quando um invasor encontra maneiras de enganar a vítima para que carregue sites que contenham código Javascript específico. Esses scripts são carregados sem o conhecimento do usuário e, em seguida, são carregados para poderem ler informações às quais eles normalmente não teriam acesso. Por exemplo, esse código pode ser usado para farejar dados inseridos em um formulário.

No restante deste post, vamos dar uma olhada em algumas estratégias para encontrar vulnerabilidades em seu site WordPress. Também veremos vários métodos para corrigir vulnerabilidades do WordPress.

Encontrar vulnerabilidades do WordPress por meio de varredura

Como dissemos como parte de nossa lista acima, se você está procurando temas gratuitos do WordPress (ou quaisquer temas ou plug-ins em geral) para instalar no seu site do WordPress, é sempre recomendável selecioná-los no diretório oficial de temas do WordPress porque o O diretório oficial garante a segurança de seus temas WordPress.

Com isso dito, alguns desenvolvedores de temas legítimos e agências preferem não listar seus temas gratuitos de qualidade no diretório oficial porque as diretrizes do diretório oficial os restringem para incluir muitas funcionalidades em seu tema.

Isso significa que, quando se trata de escolher um tema WordPress gratuito, o diretório oficial de temas WordPress não é o único show na cidade. Dito isso, ao escolher um tema fora do diretório oficial, você precisa ter uma dose extra de responsabilidade em termos de avaliação do tema.

Abaixo estão alguns métodos para verificar a autenticidade do seu tema WordPress e garantir que ele esteja protegido contra códigos potencialmente maliciosos e vulnerabilidades do WordPress.

Os seguintes serviços podem ser usados ​​para verificar vulnerabilidades do WordPress: 

  • Geek Flare
  • Sucuri
  • Alvo de hacker
  • Detecte
  • WPSEC
  • Ninja segurança
  • Ferramentas de Pentest
  • Neurônio WP
  • Quttera

 

Encontrando vulnerabilidades do WordPress após a instalação

Você já deve ter instalado muitos temas em seu site WordPress. Se for esse o caso, como você verificaria a autenticidade dos temas instalados? Alguns métodos estão listados abaixo.

Vários desses plugins não foram atualizados nos últimos anos e nas principais versões do WordPress. Isso significa que eles provavelmente estão abandonados e seus resultados não são confiáveis. A menos que você veja uma versão recente, sugerimos que você opte por usar Sucuri ou outro produto de nossos plug-ins de segurança do WordPress lista aqui.

1. Verificador de autenticidade do tema

Verificador de autenticidade do tema

O Theme Authenticity Checker é um plugin gratuito que permite que você verifique os arquivos do tema para descobrir se há algum problema de vulnerabilidade do WordPress que você precisa estar ciente. Se um código potencialmente malicioso for encontrado em um tema instalado, o plug-in informará o patch, o número da linha e exibirá o código suspeito. Isso o ajudará a tomar medidas preventivas - ou a se livrar do tema.

Este plugin é ótimo para verificar se o tema instalado teve algum script malicioso codificado inserido nele sem o seu conhecimento.

Infelizmente, este plugin não foi atualizado nos últimos 3 anos, então até ver uma atualização mais recente, você pode querer pular esta.

2. Verificador de Autenticidade WP

Em uma linha semelhante está o Verificador de Autenticidade WP. Além de verificar problemas com temas, este plug-in também analisa problemas com o núcleo do WordPress ou plug-ins de terceira parte para identificar qualquer vulnerabilidade do WordPress.

Infelizmente, este plugin hcomo não foi atualizado nos últimos 2 anos também, então você pode não querer confiar totalmente nos resultados deste plugin.

verificador de autenticidade wp

Simplesmente baixe, instale e execute para descobrir quaisquer problemas com quaisquer temas ou plug-ins.

3. Explorar Scanner

O Exploit scanner também era um produto que operava de forma similar, mas infelizmente, esse plugin também caiu em abandono. Por esse motivo, não é recomendado que você o use a menos que veja uma atualização relativamente recente.

explorar scanner

Exploit Scanner é outro plugin gratuito, que oferece recursos mais robustos do que o TAC. A melhor coisa é que o plugin exploit scanner ajuda você a verificar o banco de dados de sua instalação do WordPress, além dos arquivos de tema.

Observe que esses plug-ins apenas mostrarão a vulnerabilidade e cabe a você decidir quais medidas preventivas você deve tomar para erradicar a vulnerabilidade do WordPress.

Correções adicionais para proteger contra vulnerabilidades do WordPress

1. Defina um URL de login personalizado para WordPress

Durante a instalação do WordPress, o WordPress cria dois URLs de login por padrão. Eles são

  • wp-login.php
  • wp-admin.php

O problema de usar o URL de login padrão é que qualquer pessoa pode fazer login no painel do WordPress assim que encontrar (ou adivinhar corretamente) o nome de usuário e a senha. Ao personalizar o URL da sua página de login, você está avançando em direção a uma segurança melhor para o seu site WordPress e tornando mais difícil para os bandidos quebrá-lo.

Como você alteraria o URL de login do seu site WordPress?

Basta instalar o Login furtivo plugin e personalizar a parte Stealth do Plug-in de login personalizado para ocultar o login.

login personalizado configurações de login furtivo

 

2. Limite o número de tentativas de login

Então, você personalizou a URL de login do seu site WordPress para maior segurança. Mas e se os bandidos descobrissem o URL de login real? Então, como você pode evitar tentativas de entradas em seu site?

Nesse caso, um dos melhores métodos é limitar o número de tentativas de login. Por padrão, os hackers podem tentar quantas senhas quiserem para entrar em seu site; ao limitar as tentativas de login, você está bloqueando a possibilidade de ataques de força bruta ao seu site.

Instale iThemes Security (um plugin de segurança completo) ou Entrar LockDown plugar. Ambos os plug-ins permitem que você restrinja as tentativas que um usuário pode fazer para entrar no painel. 

proteção de força bruta wordpress

3. Desative a navegação no diretório

Por padrão, quando o visitante navega para uma página e o servidor da web não consegue encontrar um arquivo de índice para ela, ele exibe automaticamente uma página e mostra o conteúdo do diretório. O problema com isso é que qualquer pessoa pode navegar por esses diretórios, que podem ser vulneráveis ​​para o seu site e um hacker pode explorá-los facilmente para derrubar o seu site.

índice de diretório wp

Por exemplo, alguns diretórios do WordPress contêm dados confidenciais, como wp-content ou wp-includes. Ao permitir que os hackers naveguem por essas pastas, os hackers podem encontrar exploits em potencial.

Portanto, é importante para a segurança do seu site desativar a navegação no diretório.

Como você desabilitaria a navegação no diretório do seu site WordPress?

A única coisa que você precisa fazer é adicionar o código abaixo na parte inferior do arquivo .htaccess do seu site WordPress.

Options -Indexes

Note: Certifique-se de fazer um backup do seu site antes de fazer qualquer alteração nele. .htaccess é um arquivo oculto e, se você não conseguir encontrá-lo em seu servidor, certifique-se de que habilitou seu cliente FTP para mostrar arquivos ocultos.

Leitura recomendada: Native vs. Plugin - Fazer backups do WordPress com métodos diferentes

Depois de desativar a navegação no diretório, todos os diretórios que estavam visíveis anteriormente começarão a mostrar uma página '404 não encontrado' ou a mensagem '403 Acesso proibido'.

Baixe a lista de 101 truques do WordPress que todo blogueiro deve saber

101 truques do WordPress

Clique aqui para baixar agora

Conclusão

Nenhum software é perfeito quando se trata de segurança. Isso é verdade até mesmo para o WordPress, então certifique-se de atualizar o software principal do WordPress ou quaisquer temas e plug-ins sempre que houver lançamentos de novas versões para impedir qualquer vulnerabilidade corrigida do WordPress. Certifique-se de habilitar a atualização automática do WordPress ou de ter um processo em vigor para mantê-lo atualizado.

Precisa de ajuda para consertar e limpar seu WordPress? Experimente esses shows acessíveis com melhor classificação no Fiverr!

logotipo da fiverr

 

Clique aqui para encontrar especialistas em Otimização de velocidade do WordPress.

Clique aqui para criar um site WordPress completo.

Se você tiver alguma dúvida, pergunte abaixo na seção de comentários, e faremos nosso melhor para ajudá-lo.

Sobre o autor
Shahzad Saeed
Shahzaad Saaed apareceu em um grande número de sites de autoridade, incluindo EasyDigitalDownloads, OptinMonster e WPBeginner, onde atualmente trabalha como redator de conteúdo sênior. Shahzad é especialista em WordPress, web designer e especialista em tecnologia e design em geral. Ele é especialista em marketing de conteúdo para ajudar as empresas a aumentar seu tráfego por meio de artigos, blogs e guias especializados acionáveis ​​e baseados em experiência, todos extraídos de seus mais de 10 anos de experiência na área.

Mais uma coisa... Você sabia que as pessoas que compartilham coisas úteis como esta postagem também parecem FANTÁSTICAS? ;-)
. deixe um útil comente com suas ideias, depois compartilhe com seu (s) grupo (s) do Facebook, que considerariam isso útil e vamos colher os benefícios juntos. Obrigado por compartilhar e ser legal!

Divulgação: Esta página pode conter links para sites externos de produtos que amamos e recomendamos de todo o coração. Se você comprar produtos que sugerimos, podemos receber uma taxa de referência. Essas taxas não influenciam nossas recomendações e não aceitamos pagamentos por análises positivas.

Autor (es) em destaque em:  Logotipo da revista Inc   Logotipo do Sitepoint   Logotipo do CSS Tricks    logotipo do webdesignerdepot   Logotipo WPMU DEV   e muitos mais ...