Como não ser hackeado – um guia para desenvolvedores de sites WordPress (e seus clientes)

1/09/2023 | WordPress

Como-não-ser-hackeado-no-WordPress

Você construiu para seus clientes o site dos seus sonhos. Não permita que hackers tomem o controle e o transformem em um pesadelo. Nosso guia “como não ser hackeado” mostra como…

Quando os hackers começam a invadir as empresas de segurança que estão nos protegendo dos hackers , você sabe que é hora de levar a segurança a sério!

Especialmente quando você considera estatísticas como estas:

  • Há um ataque de hackers a cada 39 segundos.
  • 95% das violações de segurança cibernética são causadas por erro humano.
  • 64% das empresas sofreram ataques baseados na web.
  • 43% dos ataques cibernéticos visam pequenas empresas.

Fonte: Cybint

Sim, mas nem todos os hackers são feitos por meio de sites

É verdade, mas é o seguinte…

A maioria das ameaças de segurança são multidimensionais .

Isso significa que não importa quanto tempo, dinheiro e esforço você invista na construção e hospedagem de um site com segurança, há muitos fatores que podem ameaçar a segurança da Web e permitir que hackers causem estragos em seu site.

Dê uma olhada neste fluxograma para ver o que quero dizer…

Fatores de ameaça à segurança.
As ameaças à segurança são multidimensionais.

O acima é minha versão condensada do modelo de classificação de ameaças de segurança mostrado abaixo…

ScienceDirect.com - Modelo Multidimensional de Ameaças à Segurança.
As ameaças multidimensionais podem afetar a segurança do seu site. (Fonte: ScienceDirect.com,  Classificação de ameaças à segurança em sistemas de informação .)

Como você pode ver no diagrama acima, as ameaças à segurança da Web podem vir de:

  • Fontes externas (por exemplo, usuários não autorizados e desastres naturais) ou
  • Fontes internas (por exemplo, um funcionário com acesso de administrador ao site, servidor ou conta de rede).

Adicione agentes humanos , ambientais e tecnológicos com motivação maliciosa ou não maliciosa e intenção acidental ou não acidental , e as ameaças à segurança representadas por qualquer combinação desses fatores são ainda mais multiplicadas.

Para simplificar…

A segurança da Web é muito complexa!

Uma falha em qualquer parte do sistema pode ameaçar a segurança do todo.

Mesmo em situações em que os invasores cibernéticos não estejam diretamente envolvidos (por exemplo, desastres naturais), essas ameaças podem criar pontos cegos de segurança que podem prejudicar seu site e levar a:

  • Destruição de informações – por exemplo, exclusão de arquivos ou dados importantes.
  • Corrupção de informações – por exemplo, tabelas e arquivos de banco de dados corrompidos.
  • Divulgação de informações – por exemplo, expor dados confidenciais a usuários não autorizados ou ao público em geral.
  • Roubo de serviço – por exemplo, roubo ou uso indevido de dados, roubo de recursos do servidor, etc.
  • Negação de serviço – por exemplo, um ataque de negação de serviço distribuído (DDoS).
  • Elevação não autorizada de privilégio – por exemplo, explorar uma fraqueza no sistema para obter privilégios de administrador para o site ou rede,
  • Uso ilegal – por exemplo, usar o site para atacar outros sites, espalhar vírus, executar golpes, roubo de identidade, etc.

Para evitar que os sites sejam invadidos, danificados ou interrompidos, todos os fatores de ameaça nessa fera de segurança multidimensional precisam ser considerados.

DevMan vs Ameaças de Segurança Multidimensionais.
Manter as ameaças de segurança afastadas é difícil, especialmente quando você está lutando contra uma fera multidimensional!

Agora que entendemos a enormidade do que estamos lidando, vamos restringir como lidar com essa besta de segurança na web.

Vamos nos concentrar em como evitar que seus sites sejam invadidos abordando as seguintes áreas:

  1. Atenuando os riscos de segurança da Web
  2. A defesa é seu único plano de ataque
  3. Protegendo 95% das vulnerabilidades contra hackers

1. Atenuando os riscos de segurança da Web

Muitas coisas podem dar errado fora do seu site e criar uma oportunidade para os hackers entrarem no seu site.

Essas coisas incluem:

  • Serviços Externos – quem e onde você compra ou terceiriza serviços, incluindo hospedagem, plugins, temas, outros desenvolvedores de sites, etc.
  • Processos e métodos usados ​​para construir, proteger e gerenciar sites.
  • Vulnerabilidades humanas – conhecimento, compreensão, experiência e nível de habilidade inadequados de questões relacionadas à segurança.

Mitigação de Riscos de Serviços Externos

Como desenvolvedor do WordPress, seus principais provedores de serviços incluem o seguinte:

  • Sua empresa de hospedagem e data centers.
  • Desenvolvedores de plugins e temas de terceiros.
  • Plataformas e software integrados de terceiros.
  • Desenvolvedores terceirizados, empreiteiros, etc.

Centros de dados

As empresas de hospedagem na Web normalmente possuem ou alugam espaço para hospedar seus servidores em vários data centers localizados ao redor do mundo.

Todo o hardware, dados e processamento de informações da sua empresa de hospedagem ocorre dentro dos data centers, por isso é importante que os data centers levem a sério a segurança física e digital para mitigar todas as ameaças e riscos de ataques e danos e garantir a segurança e a proteção de os servidores que hospedam seus sites e dados.

A maioria dos desenvolvedores escolhe sua empresa de hospedagem e o host escolhe seu(s) data center(s). Tanto as empresas de hospedagem quanto os data centers, no entanto, têm a responsabilidade compartilhada de garantir a segurança do site.

As responsabilidades do Data Center para garantir a segurança incluem gerenciar coisas como:

  • Controles ambientais – o equipamento eletrônico gera calor que pode levar a falhas, por isso precisa operar em uma temperatura segura.
  • Fontes de alimentação de backup – os servidores precisam continuar funcionando mesmo se a rede elétrica principal cair inesperadamente.
  • Empregar métodos avançados de segurança – isso inclui sistemas e tecnologias de vigilância CCTV para garantir que hardware e pessoas não entrem ou saiam do centro sem aprovação, como o uso de salas de armadilhas com biometria e acesso de segurança limitado, portas de entrada única (apenas uma pessoa permitida de cada vez), compartimentos de servidores que encerram, protegem e segregam servidores com dados e equipamentos confidenciais, detectores de metal, etc.
  • Instalações de segurança – isso inclui o emprego de guardas e a instalação de medidas de proteção, como vidro à prova de balas, barreiras de alto impacto, proteção contra intempéries, sistemas de supressão de incêndio, etc.

Sua empresa de hospedagem

Concentrar-se em áreas como velocidade e confiabilidade do servidor ou recomendar empresas com base em preços de planos, comissões de afiliados e incentivos de revendedores sem priorizar a segurança pode colocar os sites de seus clientes em risco.

Fatores de desempenho e benefícios econômicos não devem ser descontados, mas também é importante avaliar o compromisso do seu host com a segurança.

95% dos registros violados em 2016 vieram de três setores e a tecnologia foi um deles (governo e varejo foram os outros). As empresas que armazenam um alto nível de informações de identificação pessoal (PII) em seus registros são alvos muito populares. Portanto, é importante saber como sua empresa de hospedagem armazena dados e quais medidas de segurança ativas e passivas estão em vigor para protegê-los.

Algumas opções de hospedagem são mais seguras que outras. Escrevemos um guia detalhado sobre diferentes tipos de hospedagem , incluindo quais tipos são mais seguros e como escolher o tipo certo de hospedagem para suas necessidades.

Compreender as redundâncias de rede na infraestrutura do seu host também é importante. O que acontece se um servidor de rede ou um roteador falhar ou um componente for violado e invadido? Como seus sites são isolados e protegidos contra incidentes de rede e interrupções de serviço causadas por violações de segurança?

Ao avaliar um host, descubra que tipo de medidas de segurança são incorporadas ao gerenciamento de hospedagem e aos servidores. Seu plano inclui firewalls do lado do servidor que impedem proativamente a entrada de códigos maliciosos na rede (por exemplo , WAF ), recursos de segurança para criptografar e transmitir dados como SSL , SFTP e CDN ?

E quanto à verificação de arquivos, IPs dedicados, autenticação de dois fatores (2FA), backups noturnos e restaurações com um clique e uma área de teste segura para desenvolver sites de clientes, realizar atualizações de manutenção e instalar ou testar novos aplicativos sem deixar seus sites vulneráveis ​​e exposto ao ataque?

Além disso, se apesar de todas as medidas de segurança, seu site acaba sendo comprometido, que tipo de garantias de segurança e suporte seu host oferece?

Aqui no WPMU DEV, por exemplo, não apenas oferecemos hospedagem WordPress gerenciada acessível, rápida e segura , mas também fornecemos aos membros um helpdesk dedicado 24 horas por dia, 7 dias por semana, para todos os problemas relacionados ao WordPress (incluindo segurança) e ajudaremos você limpa seus sites invadidos. Também fornecemos uma extensa documentação que abrange todos os nossos recursos de segurança de hospedagem .

Se você leva a sério a proteção de seus sites contra hackers, deve esperar nada menos do que um compromisso total com a segurança da Web do seu provedor de hospedagem.

Mitigação de riscos de fontes de terceiros

Embora o WordPress seja uma plataforma segura , é difícil evitar o uso de plugins, temas e integrações de terceiros com outras plataformas.

Qualquer vulnerabilidade em uma solução de terceiros pode abrir a porta para hackers e levar a um site comprometido.

Para minimizar o risco ao usar soluções de terceiros, baixe apenas plugins de fontes confiáveis (e temas ), use plataformas de terceiros respeitáveis ​​nas integrações do seu site e sempre mantenha seu site WordPress atualizado .

Um excelente recurso para verificar antes de instalar qualquer solução de terceiros é o National Vulnerability Database .

Por exemplo, enquanto escrevia este artigo, fiz uma pesquisa rápida no banco de dados em “WordPress” e mais de 3.000 resultados apareceram, muitos listando vulnerabilidades em plugins e temas do WordPress (também fiz uma pesquisa em “WordPress themes” que trouxe 180 + vulnerabilidades do tema).

Banco de dados nacional de vulnerabilidades
Pesquise no National Vulnerability Database por vulnerabilidades em plugins, temas e software de terceiros.

(Como um ponto de interesse, quando escrevemos um artigo sobre a busca de vulnerabilidades do WordPress há quase uma década, analisamos oito anos de dados anteriores e descobrimos que as vulnerabilidades de segurança relatadas para o núcleo do WordPress estavam tendendo para baixo, mas os problemas relatados para terceiros plugins estavam em alta. Planejamos revisitar isso em um futuro próximo e relataremos nossas descobertas aqui, então fique atento a este espaço!)

Mitigação de Riscos de Processos Internos

Para simplificar, vamos dividir todos em dois grupos:

  1. Pessoas para quem você terceiriza serviços (por exemplo, outros desenvolvedores da Web, trabalhadores remotos etc.)
  2. Pessoas para quem você presta serviços (por exemplo, seus clientes) – abordaremos esse grupo mais tarde.

Suponha que você possua uma agência de desenvolvimento web e contrate/terceirize outras pessoas. Cada pessoa em sua empresa é uma ameaça potencial à segurança. Seus parceiros, funcionários, contratados terceirizados, trabalhadores remotos… e – do ponto de vista do seu cliente – até você!

Por exemplo:

  • Você terceiriza o trabalho técnico para alguém com habilidades de alto nível que ninguém mais consegue entender ou descobrir o que está fazendo.
  • Alguém em sua equipe com acesso à rede foi descuidado com uma senha ou um anexo de e-mail.
  • Um trabalhador remoto com acesso aos seus sistemas e dados está trabalhando em um local de wi-fi não seguro.

Na seção de introdução, salientei que:

  • 64% das empresas sofreram ataques baseados na web.
  • 43% dos ataques cibernéticos visam pequenas empresas.

Faça as contas e você perceberá rapidamente que alguns de seus clientes provavelmente sofrerão um ataque cibernético.

Por exemplo, se você estiver cuidando de 10 sites de clientes de pequenas empresas, há uma boa chance de que 2 ou 3 desses sites sejam alvos de hackers (10 x 64% = 6,4 sites x 43% = 2,75 sites).

Para reduzir a probabilidade de sua empresa ser responsável pela queda de sites de clientes, é importante desenvolver e implementar políticas e diretrizes de segurança interna que abranjam áreas como:

  • Senhas e contas – Isso inclui especificar com que frequência as senhas devem ser alteradas, definir senhas e contas que expiram, revogar o acesso para funcionários que saem ou são demitidos, arquivar, armazenar e excluir dados obsoletos e informações confidenciais, etc.
  • Uso de equipamentos BYOD (Bring Your Own Device) – Você permite que funcionários, terceirizados ou funcionários remotos usem seus próprios telefones e laptops? Em caso afirmativo, quais medidas de segurança você pode implementar para armazenar e manipular dados proprietários e informações de clientes em seus dispositivos com segurança? O que acontece se eles excluirem dados importantes acidentalmente ou maliciosamente de seus sistemas ou servidor? Você tem uma política de gerenciamento de dispositivos móveis (MDM) que lhe dá o poder de limpar seus dispositivos remotamente se seus dispositivos forem roubados ou perdidos?
  • Treinamento – Se você emprega trabalhadores remotos, certifique-se de que eles saibam como fazer login com segurança e trabalhar remotamente. Além disso, considere a implementação de programas de treinamento para funcionários, especialmente aqueles em funções vulneráveis ​​a ataques cibernéticos, e dê a eles opções para desenvolver habilidades preventivas e defensivas e entender as práticas recomendadas de segurança.
  • Revisões e Avaliações Periódicas – Assim como o software, a segurança do seu negócio também precisa ser revisada, revisada e atualizada regularmente. Realize avaliações periódicas de suas práticas e políticas de segurança interna para identificar e corrigir quaisquer pontos fracos.

Para obter dicas adicionais sobre como implementar práticas de segurança em sua empresa ou ambiente de trabalho, confira esta ótima lista de dicas de segurança cibernética .

Agora que analisamos as ameaças que podem permitir a entrada de hackers em sua empresa, vamos nos proteger de ameaças que podem permitir a entrada de hackers em seu site.

2. A defesa é seu único plano de ataque

Você fez todo o possível para mitigar os riscos de segurança de ameaças externas. Você escolheu um host da Web que leva a segurança a sério e executa servidores de um data center mais seguro que Fort Knox. Você só instala plugins e temas de terceiros de fontes confiáveis ​​e confiáveis ​​e se integra a plataformas de terceiros estabelecidas. Seu local de trabalho implementou as melhores práticas de segurança.

Tudo o que resta agora é construir sites WordPress incríveis para seus clientes e garantir que eles sejam fortalezas inexpugnáveis ​​para hackers.

Considere esta citação da Sense of Security , uma empresa líder em segurança de TI sobre a escalada da corrida armamentista de segurança cibernética:

Assim como os avanços nas tecnologias ajudam os profissionais de segurança a identificar e neutralizar ameaças potenciais de forma mais eficaz, também fornece as ferramentas para os hackers realizarem ataques maiores e mais complexos. E esses ataques estão evoluindo mais rápido do que nossas defesas podem acompanhar.

A segurança da Web não é apenas um caso clássico de mocinhos contra bandidos , é também mocinhos treinando bandidos para se tornarem ainda mais bandidos!

Como um desenvolvedor da web focado na construção de sites e não em “armas de segurança cibernética”, o melhor que você pode fazer é tentar acompanhar e defender da melhor maneira possível.

Quanto mais você souber e entender sobre questões relacionadas à segurança, melhor poderá defender sites de ataques cibernéticos, hackers, bots maliciosos etc.

Para ajudá-lo com isso, escrevemos muitos artigos aprofundados e tutoriais passo a passo sobre segurança do WordPress e como proteger sites WordPress.

Portanto, nesta seção, fornecerei apenas uma lista de artigos e tutoriais que o transformarão em um profissional de segurança do WordPress.

Se você é um novo desenvolvedor do WordPress

Se você está começando como desenvolvedor web, recomendamos que confira alguns de nossos tutoriais de hospedagem relacionados à segurança, como entender as permissões de arquivo do servidor , SSL e WAF .

Além disso, certifique-se de entender por que os hackers desejam segmentar seu site WordPress e  como verificar um site WordPress em busca de malware .

Se o seu cliente tem um orçamento pequeno, confira como proteger um site WordPress gratuitamente .

Também recomendamos obter essas correções rápidas e fáceis de vulnerabilidades de segurança do WordPress em seu cinto de ferramentas.

Depois de ter o básico coberto, é hora de…

Torne-se um profissional de segurança do WordPress

Comece verificando nosso Ultimate Guide To WordPress Security .

Em seguida, veja nossa lista de verificação para proteger um site WordPress , lista de verificação para tornar seu site à prova de hackers (com um PDF para download para que você possa marcar as caixas) e nosso guia de recursos de segurança para WordPress .

Além disso, confira nossas entrevistas com especialistas em segurança do WordPress  para obter algumas ótimas dicas sobre o que os especialistas em segurança do WordPress fazem para manter os sites de seus clientes seguros e protegidos contra hackers e ameaças maliciosas.

Como parte do desenvolvimento de sua experiência em segurança, certifique-se de também se familiarizar com recursos como nosso guia de proteção contra DDos e como testar a segurança do seu site WordPress .

E se o seu site foi invadido, certifique-se de acessar este post e aprender como limpar um site WordPress invadido .

Use o Defender para segurança inteligente do WordPress

Como dito anteriormente,

“Há um ataque de hackers a cada 39 segundos.”

Se você não acredita nessas estatísticas, você mesmo pode confirmar isso instalando nosso plugin de segurança do WordPress, Defender .

O Defender envia uma notificação e registra toda vez que alguém tenta invadir seu site.

Notificação de bloqueio do defensor
Os hackers continuam batendo e o Defender continua bloqueando.

O Defender bloqueia hackers em todos os níveis e adiciona camadas de proteção ao seu site. Com apenas alguns cliques, seu site WordPress está protegido contra ataques de força bruta, injeções de SQL, scripts XSS entre sites e muitas outras vulnerabilidades e hacks do WordPress.

O Defender também executa verificações de malware e antivírus e fornece bloqueio de IP, firewall, logs de atividades, logs de segurança e segurança de login de autenticação de dois fatores.

E essa é apenas a versão gratuita do plugin.

Confira nossos tutoriais do plugin de segurança Defender WordPress para ver tudo o que este plugin faz e para aprender como configurá-lo facilmente nos sites de seus clientes ( dica: nosso console de gerenciamento WordPress The Hub torna ainda mais fácil e rápido instalar e configurar o Defender em vários Sites WordPress.)

3. Protegendo 95% das vulnerabilidades contra hackers

Como afirmei anteriormente,

“95% das violações de segurança cibernética são causadas por erro humano.”

Escolher um host super seguro não é um problema. (Você pode fazer isso com um clique aqui .)

A implementação de processos internos de segurança em sua empresa exige algum esforço, mas também não é um problema.

Reforçar a segurança do WordPress… também não é um problema. Você pode encontrar tudo o que precisa saber para tornar o WordPress impenetrável para hackers aqui mesmo neste site.

O principal desafio quando se trata de prevenir hackers é como garantir que as pessoas não cometam erros quando “errar é humano”.

Se você conseguir descobrir isso, terá protegido seus clientes de 95% de todas as vulnerabilidades de segurança na web e colocará os hackers permanentemente desempregados. 😉

Até que isso aconteça, no entanto, você só precisa ser paciente com as pessoas. Ajude-os a implementar boas práticas de segurança e desenvolver melhores hábitos de segurança online, começando com coisas básicas como segurança de senha, evitando golpes de phishing por e-mail etc.

Além disso, incentive seus clientes a implementar boas políticas de segurança em seus locais de trabalho e treine-os e eduque-os da melhor maneira possível sobre as formas de se tornarem mais conscientes das ameaças e como reduzir os riscos de segurança.

E-mail de golpe da Netflix
Todo o fortalecimento de segurança do WordPress no mundo não pode impedir os hackers se seus clientes estiverem caindo em golpes de phishing por e-mail.

Lembre-se de que, no final, não importa o que façamos, somos todos humanos e todos cometeremos erros em algum momento ou outro.

Além disso, todos no mundo têm problemas. Vícios, ressentimentos, insatisfação no trabalho, ganância, oportunismo e personalidades descontentes podem se manifestar a qualquer momento no ambiente de trabalho e também podem se tornar uma potencial ameaça à segurança.

Portanto, a menos que seus clientes sejam seres humanos perfeitos sem problemas, você ainda terá 95% das vulnerabilidades de segurança para lidar.

O melhor que você pode fazer para não ser hackeado

As ameaças à segurança da Web são multidimensionais e a segurança cibernética é uma corrida armamentista crescente, portanto, os hackers sempre terão novas oportunidades para identificar pontos fracos e vulnerabilidades em vários níveis.

O melhor que você pode fazer para não ser hackeado é fazer o seu melhor.

Reduza o máximo de riscos possível, implemente as melhores práticas de segurança em todos os níveis, continue aprendendo e aprimorando seu conhecimento sobre segurança na Web, fique atento e ajude seus clientes a fazer o mesmo.

Se você precisar de ajuda especializada com qualquer coisa relacionada ao WordPress, entre em contato com nossa equipe de suporte 24 horas por dia, 7 dias por semana . Nós somos os mocinhos lutando ao seu lado.

Desenvolvido por Daniel Peres

Profissional especialista em WordPress com 10 anos de experiência na área. Já atuei em diversas empresas na área de tecnologia e marketing a fim de consolidar negócios baseados em sites WordPress. Voluntário nos Meetups WordPress e Divi Rio de Janeiro.

Agora é a sua vez!

Compartilhe sua opinião e deixe seu comentário no post. Queremos ouvir o que você pensa!

0 comentários

Enviar um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *