Recentemente, um de nossos leitores nos perguntou por que sites WordPress são hackeados.
É frustrante descobrir que seu site WordPress foi hackeado. Embora os hackers tenham como alvo todos os sites, você pode estar cometendo alguns erros que deixam seu site vulnerável a ataques.
Neste artigo, compartilharemos os principais motivos pelos quais sites WordPress são hackeados para que você possa evitar esses erros e proteger seu site.
- Por que o WordPress é alvo de hackers?
- 2. Usando senhas fracas
- 3. Acesso desprotegido ao administrador do WordPress (wp-admin)
- 4. Permissões de arquivo incorretas
- 5. Não manter o WordPress atualizado
- 6. Não atualizando plug-ins ou tema
- 7. Usando FTP simples em vez de SFTP/SSH
- 11. Não alterando o prefixo da tabela WordPress
Por que o WordPress é alvo de hackers?
Primeiro, não é apenas WordPress. Todos os sites da Internet são vulneráveis ​​a tentativas de hacking.
A razão pela qual os sites WordPress são um alvo comum é que o WordPress é o construtor de sites mais popular do mundo . Ele alimenta mais de 43% de todos os sites, o que significa centenas de milhões de sites em todo o mundo.
Essa imensa popularidade oferece aos hackers uma maneira fácil de encontrar sites menos seguros para que possam explorá-los.
Os hackers têm vários motivos para hackear um site. Alguns são iniciantes que estão aprendendo a explorar sites menos seguros. Outros têm intenções maliciosas, como distribuir malware, atacar outros sites e enviar spam.
Dito isso, vamos dar uma olhada em algumas das principais causas de hackers em sites WordPress para que você possa aprender como evitar que seu site seja hackeado.
1. Hospedagem insegura na web
Como todos os sites, os sites WordPress são hospedados em um servidor web. Algumas empresas de hospedagem não protegem adequadamente sua plataforma de hospedagem. Isso torna todos os sites hospedados em seus servidores vulneráveis ​​a tentativas de hackers.
Isso pode ser facilmente evitado escolhendo o melhor provedor de hospedagem WordPress para o seu site. Servidores devidamente seguros podem bloquear muitos dos ataques mais comuns em sites WordPress.
Se você quiser tomar precauções extras, recomendamos usar um provedor de hospedagem WordPress gerenciado .
2. Usando senhas fracas
As senhas são as chaves do seu site WordPress. Você precisa ter certeza de que está usando uma senha forte e exclusiva para cada uma das contas a seguir, pois todas elas podem fornecer a um hacker acesso completo ao seu site:
- Sua conta de administrador do WordPress
- Sua conta do painel de controle de hospedagem na web
- Suas contas FTP
- O banco de dados MySQL usado para o seu site WordPress
- Todas as contas de e-mail usadas para administração e hospedagem do WordPress
Todas essas contas são protegidas por senhas. O uso de senhas fracas torna mais fácil para os hackers quebrarem as senhas usando algumas ferramentas básicas de hacking.
Você pode evitar isso facilmente usando senhas exclusivas e fortes para cada conta. Consulte nosso guia sobre a melhor maneira de gerenciar senhas para iniciantes em WordPress para aprender como gerenciar todas essas senhas fortes.
3. Acesso desprotegido ao administrador do WordPress (wp-admin)
A área de administração do WordPress dá ao usuário acesso para realizar diferentes ações em seu site WordPress. É também a área mais atacada de um site WordPress.
Deixá-lo desprotegido permite que os hackers tentem diferentes abordagens para invadir seu site. Você pode dificultar isso adicionando camadas de autenticação ao seu diretório de administração.
Primeiro, você deve proteger com senha sua área de administração do WordPress . Isso adiciona uma camada extra de segurança, e qualquer pessoa que tentar acessar o administrador do WordPress terá que fornecer uma senha extra.
Se você administra um site WordPress com vários autores ou vários usuários, poderá impor senhas fortes para todos os usuários do seu site. Você também pode adicionar autenticação de dois fatores (2FA) para tornar ainda mais difícil a entrada de hackers na área de administração do WordPress.
4. Permissões de arquivo incorretas
As permissões de arquivo são um conjunto de regras usadas pelo seu servidor web. Essas permissões ajudam seu servidor web a controlar o acesso aos arquivos do seu site. Permissões de arquivo incorretas podem dar a um hacker acesso para gravar e alterar esses arquivos.
Todos os seus arquivos WordPress devem ter um valor 644 como permissão de arquivo. Todas as pastas do seu site WordPress devem ter 755 como permissão de arquivo.
Consulte nosso guia sobre como corrigir o problema de upload de imagens no WordPress para saber como aplicar essas permissões de arquivo.
5. Não manter o WordPress atualizado
Alguns usuários do WordPress têm medo de atualizar seus sites WordPress. Eles temem que isso danifique seu site.
Cada nova versão do WordPress corrige bugs e vulnerabilidades de segurança. Se você não estiver atualizando o WordPress, estará deixando seu site vulnerável intencionalmente.
Se você tem medo de que uma atualização interrompa seu site, você pode criar um backup completo do WordPress antes de executar uma atualização. Dessa forma, se algo não funcionar, você poderá facilmente voltar para a versão anterior.
Você pode aprender mais em nosso guia para iniciantes sobre como atualizar o WordPress com segurança .
6. Não atualizando plug-ins ou tema
Assim como o software WordPress principal, atualizar seu tema e plug-ins é igualmente importante. Usar um plugin ou tema desatualizado pode tornar seu site vulnerável.
Falhas e bugs de segurança são frequentemente descobertos em plug-ins e temas do WordPress. Normalmente, os autores de temas e plug-ins são rápidos em corrigi-los. No entanto, se um usuário não atualizar seu tema ou plugin, não há nada que ele possa fazer a respeito.
Certifique-se de manter seu tema e plug-ins do WordPress atualizados. Você pode aprender como em nosso guia sobre a ordem de atualização adequada para WordPress, plug-ins e temas .
7. Usando FTP simples em vez de SFTP/SSH
As contas FTP são usadas para fazer upload de arquivos para o seu servidor web usando um cliente FTP . A maioria dos provedores de hospedagem oferece suporte a conexões FTP usando protocolos diferentes. Você pode se conectar usando FTP, SFTP ou SSH simples.
Quando você se conecta ao seu site usando FTP simples, sua senha é enviada ao servidor sem criptografia. Isso significa que pode ser espionado e facilmente roubado. Em vez de usar FTP, você deve sempre usar SFTP ou SSH.
Você não precisa alterar seu cliente FTP. A maioria dos clientes FTP pode se conectar ao seu site por SFTP e também por SSH. Você só precisa alterar o protocolo para ‘SFTP – SSH’ ao se conectar ao seu site.
8. Usando Admin como nome de usuário do WordPress
Usar ‘admin’ como seu nome de usuário do WordPress não é recomendado. Se o seu nome de usuário de administrador for ‘admin’, você deverá alterá-lo imediatamente para um nome de usuário diferente.
Para obter instruções detalhadas, confira nosso tutorial sobre como alterar seu nome de usuário do WordPress.
9. Temas e plug-ins anulados
Existem muitos sites na Internet que distribuem plug-ins e temas WordPress pagos gratuitamente. Você pode se sentir tentado a usar esses plug-ins e temas anulados em seu site.
Baixar temas e plug-ins do WordPress de fontes não confiáveis é muito perigoso. Eles não só podem comprometer a segurança do seu site, mas também podem ser usados para roubar informações confidenciais.
Você deve sempre baixar plug-ins e temas do WordPress de fontes confiáveis, como o site do desenvolvedor ou repositórios oficiais do WordPress.
Se você não puder comprar um plugin ou tema premium, sempre haverá alternativas gratuitas disponíveis para esses produtos. Esses plug-ins gratuitos podem não ser tão bons quanto seus equivalentes pagos, mas farão o trabalho e, o mais importante, manterão seu site seguro.
Você também pode encontrar descontos para muitos dos produtos populares do WordPress na seção de ofertas do nosso site.
10. Não protegendo o arquivo de configuração do WordPress wp-config.php
O arquivo de configuração wp-config.php do WordPress contém suas credenciais de login do banco de dados WordPress. Se estiver comprometido, revelará informações que podem dar a um hacker acesso completo ao seu site.
Você pode adicionar uma camada extra de proteção negando acesso ao arquivo wp-config usando .htaccess. Basta adicionar este código ao seu arquivo .htaccess:
</span> <pre><files wp-config.php> order allow,deny deny from all </files>
11. Não alterando o prefixo da tabela WordPress
Muitos especialistas recomendam que você altere o prefixo padrão da tabela do WordPress. Por padrão, o WordPress usa wp_ como prefixo para as tabelas que cria em seu banco de dados. Você tem a opção de alterá-lo durante a instalação.
É recomendável usar um prefixo mais complexo. Isso tornará mais difícil para os hackers adivinharem os nomes das tabelas do seu banco de dados.
Para obter instruções detalhadas, consulte nosso guia sobre como alterar o prefixo do banco de dados WordPress para melhorar a segurança.
0 comentários