Você trabalha duro para tornar seu site incrível, e com todo esse trabalho que você teve, a última coisa que você quer é perder o seu site para alguns hackers maliciosos não é mesmo?

Quando se trata de hackers e WordPress, as vulnerabilidades dos plugin é uma das maneiras mais fáceis para os maus entrarem.

Por causa de sua popularidade, WordPress é um ímã para hackers. De acordo com o Relatório de Tendências do Sucuri, 78% dos sites hackeados tratados por eles, utilizavam o WordPress. E com base em uma pesquisa da WordFence, 55,9% dos atacas a WordPress foram resultado de vulnerabilidades plugin já conhecidas. Isso faz com que os plugins sejam, de longe, o maior contribuidor conhecido para sites de WordPress que são hackeados.

Neste post, vou dar uma boa olhada desde algumas medidas pró-ativas que você pode tomar para evitar que seu site se torne vulnerável à explorações de plug-ins.

Por que os hackers querem acesso ao seu site WordPress?

Se você nunca foi hackeado, você pode se perguntar o que é que torna os hackers tão interessados ​​em seu site WordPress. Para mim, é pelo simples gostinho de conquista e quem sabe ganhar algum dinheiro com isso, com cliques em propagandas ou algo do tipo, mas essa não são as únicas razões pela qual eles podem querer.

Mas antes de chegar a essas outras razões, vamos começar com algo para fazer você se sentir um pouco melhor: Provavelmente não é pessoal.

A maioria dos hackers está simplesmente explorar as vulnerabilidades conhecidas. Estes são tipicamente crimes de oportunidade.

Uma vez que eles encontram um alvo vulnerável, eles atacam de algumas maneiras:

  • Injectando links para aumentar artificialmente o SEO de seus sites.
  • Redirecionando seus visitantes para sites diferentes. Os desagradáveis ​​redirecionamentos não o afetam – então você nunca saberá até ver suas estatísticas desaparecerem.
  • Instalando malwares nos computadores de seus visitantes.
  • Roubando seus recursos de servidor para e-mails de spam, ataques DDoS ou outros objetivos obscuros.

Você não tem que ser uma vítima. Algumas dicas básicas de segurança em WordPress, pode protegê-lo contra a maioria destes ataques.

Como Mitigar Problemas de Segurança com Plugins

Embora seja sempre possível que algo aconteça, seguir estas práticas recomendadas de segurança irá ajudar muito a manter seu site do WordPress seguro.

  • Usar um plug-in de segurança de qualidade.
  • Não a use como sua única linha de defesa. Mas como última linha de defesa. É uma necessidade absoluta.
  • Verifique se um plugin tem vulnerabilidades conhecidas.
  • Não utiliza plugins com poucos, ou apenas alguns milhares de instalações ativas. Você deve verificar se há alguma vulnerabilidade conhecida antes de deixá-lo funcionar em seu servidor.

Para procurar vulnerabilidades conhecidas, você pode usar um site chamado WPScan. Você pode filtrar os plugins em ordem alfabética ou procurar o plugin pelo nome:

O site lhe dará a falha e data em que foi descoberto. Ele também dará o número da versão para a versão vulnerável. Se o plugin já lançou patches, talvez você não precise mais se preocupar com a vulnerabilidade.

Certifique-se de manter seus plug-ins atualizados

WordPress tornou extremamente simples para atualizar plugins. Apesar disso, muitas pessoas deixam seus plugins e temas desatualizados. Na análise do Sucuri , 56% dos sites WordPress hackeados estavam executando plugins ou temas desatualizados.
Também em sua análise, eles descobriram que apenas três plugins desatualizados foram responsável por um enorme 25% de todos os sites WordPress comprometidos.

Não seja essa pessoa cujo site WordPress é derrubado por causa de plugins desatualizados. Literalmente, tudo o que você precisa fazer é procurar a notificação de atualização vermelha e clicar em um botão!

Certifique-se de que os Desenvolvedores estejam atualizando seus plugins

Se os desenvolvedores de um plugin não estão mantendo-o atualizado, você também não pode mantê-lo atualizado. Então, ao decidir quais plugins usar em seu site, tente procurar aqueles que recebem atualizações regulares dos desenvolvedores.

Mas isso não é a única coisa que você deve olhar. Se você for para a guia Changelog, poderá visualizar o histórico de atualizações completo (embora não com datas exatas). Se os desenvolvedores estão consistentemente empurrando atualizações para corrigir bugs, há uma chance muito maior de que eles estarão não vão corrigir qualquer potencial ameaça:

  • Fique em cima de novas vulnerabilidades.
    Tenho certeza que você é uma pessoa ocupada, então eu não estou tentando adicionar muito ao seu prato. Mas gastar um pouco de tempo a cada duas semanas apanhando a última vulnerabilidade do plugin pode ajudar a garantir que você não está executando um plug-in explorável.
  • Não é nem uma coisa demorada – o site que eu mencionei anteriormente, WPScan, também enumera todas as vulnerabilidades recém-descobertas:

WordPress.com também posta sobre as novas vulnerabilidades em plugins WordPress mais populares, o que o torna um bom recurso para manter-se atualizado.

Desconfie de plug-ins de terceiros não listados em diretórios

Ser listado no diretório de plugins do WordPress.org ou outro diretório principal como Code Canyon não é de forma alguma uma garantia de que um plugin é seguro. Mas é pelo menos uma marca que o plugin passou algumas verificações básicas.
Por exemplo, os humanos revisam todos os plugins que foram enviados para o WordPress.org. A grande maioria são rejeitados inicialmente, de acordo com Pippin Williamson em 2014 .
E embora seja sempre possível uma vulnerabilidade passar, este processo de revisão da uma chance muito maior de encontrar um plugin seguro.
Dito isto, existem plugins de terceiros respeitáveis. Se um plugin vem de um desenvolvedor de renome, Eu não quero te empurrar para longe de usa-los. Desconfie de plugins de desenvolvedores desconhecidos que não estão listados em diretórios populares.

O que fazer se você estiver usando um plug-in com uma vulnerabilidade

Se a situação infeliz ocorrer onde você se encontra usando um plugin com uma vulnerabilidade conhecida, aqui está o que fazer:

  • Em primeiro lugar , verificar se há atualizações. Os desenvolvedores irão rapidamente enviar uma correção se for um plugin bem suportado. Atualize o plug-in vulnerável assim que a correção for exibida. Nem um minuto depois.
  • Em segundo lugar, se não há atualizações e o desenvolvedor não parece não ligar pra isso, desative o plugin . Eu sei que não é fácil desativar um plugin que você gosta e confia, mas quando a alternativa é abrir o seu site para hackers, você realmente não tem escolha.
  • Alternativamente, às vezes, você pode usar uma conta do WordPress com permissões mais baixas (por exemplo, autor ou editor). Por exemplo, se a vulnerabilidade requer uma sessão admin, como por exemplo uma vulnerabilidade recente W3 Total Cache, usando uma conta com privilégios mais baixos, pode-se ignorar o problema. Mas esta abordagem não irá corrigir todas as vulnerabilidades.

Recapitulando

O pior pesadelo é ter um hackeado. Mas com a ajuda dessas medidas proativas de segurança, combinadas com backups regulares e boas práticas gerais de segurança, você pode fortalecer seu site e diminuir suas chances de ser explorado.

Apenas lembre-se de:

  • Ficar atualizado
  • Verificar vulnerabilidades conhecidas
  • Não instalar plugins obscuros

 

Já teve seu Site hackeado devido a um plug-in explorável? Que medidas você tomou para remediar a situação? Comente abaixo.