Pixel do facebook

Você tem um website WordPress e se preocupa com a segurança dele. Todavia, as notícias sobre sistemas de grandes empresas e instituições públicas do Brasil e ao redor do mundo que foram hackeados não param de chegar.

Pensando nessa situação, você pode pensar que seu site WordPress é indefeso por natureza e que não há o que fazer. Pare com essa ideia agora mesmo! Segurança também é sua responsabilidade e, sendo assim, é seu dever como dono de site fazer o possível para se defender e reagir quando necessário.

É claro que você não está só nessa empreitada e por isso estamos aqui: para compartilhar conhecimento. Então vamos começar te explicando as motivações mais básicas para comprometer a segurança de um website WordPress. Veja a seguir!

Por que comprometer a segurança de um site WordPress?

Um site WordPress, bem como outros sistemas, guardam algo muito precioso: dados. Dessa forma, o roubo de dados — em especial informações sigilosas — é uma grande motivação para os crackers (hackers mal-intencionados). Esses mesmos dados podem ser vendidos no mercado paralelo, ser usados para chantagear as vítimas, fazer compras fraudulentas

Roubar dados, apesar de ser um grande objetivo por si só, não é a única meta porque ainda há outras finalidades muito comuns que listamos abaixo.

Pôr em cheque a credibilidade de uma empresa ou instituição. Eventualmente pode ser muito interessante para determinado grupo desacreditar uma grande instituição. Concorrentes desleais, teóricos de conspiração e inimigos declarados por exemplo, são os que mais se beneficiariam ao ver o nome de uma marca desacreditado.

Finalidade política e eleitoral.  Juntamente com outras motivações, essa é muito comum. Prejudicar a campanha de um candidato, comprometer um sistema de eleitoral estrangeiro e até enfraquecer um governo são alguns exemplos de metas ambiciosas, porém factíveis.

Desafio pessoal. Sim, isso existe. A pessoa quer alimentar o próprio ego podendo dizer a si mesma e mostrar para sua comunidade obscura que ela é capaz de comprometer um sistema.

Agora que você já conhece as motivações mais comuns, está na hora de se proteger da maneira que  explicamos na próxima seção.

Comece pelo básico

Talvez soe repetitivo ou você já faça isso. Ainda assim vale lembrar que há medidas essenciais que você deve tomar e que estão listadas a seguir.

Nome de usuário e senha têm que ser fortes

Se a ideia é proteger seu site, primeiramente você deve ter um nome de usuário não óbvio e uma senha difícil para crackers e robôs adivinharem. Em poucas palavras: nada de usuário “admin” ou “administrator”. Sua data de nascimento e variações do seu nome também são péssimas escolhas de senha. Além disso, sequências alfanuméricas como a clássica Qwerty1234! não oferecem boa proteção.

Documentos, planilhas e apresentações devem ser compartilhadas com cuidado

Anteriormente a subir arquivos na biblioteca de mídia, reflita se as informações ali contidas não revelam detalhes de segurança sobre o funcionamento do seu site e até de sua empresa. Contatos pessoais — como o WhatsApp de um gestor — são valiosíssimos para serem usados em engenharia social. Subir planilhas de acesso e bancos de dados Access ou Libre Office Base em links públicos é (ou deveria ser) impensável.

WordPress atualizado significa site seguro

Considere habilitar atualizações automáticas de temas e plugins, ou pelo menos adquira o hábito de atualizá-los com frequência. Entretanto você deve sempre manter backup do seu site caso alguma atualização dê errado, e além disso existem os plugins de reversão (rollback) que te permitem voltar um tema ou plugin a seu estado ou versão anterior.

Utilize apenas fontes confiáveis

Por questões de segurança, antes de instalar qualquer tema ou complemento em seu website, verifique se esse item ou pelo menos o desenvolvedor está presente nos repositórios oficiais. Nesse sentido sempre prefira instalar softwares a partir do instalador do próprio WordPress e também do site oficial de plugins e temas.

Demo WordPress

Enfim você revisou as recomendações básicas e agora vamos te explicar contra o quê você está se protegendo, então continue lendo este texto para conhecer os tipos mais comuns de ataque.

Conheça os tipos comuns de ataques hacker

Muita gente negligencia a própria cibersegurança porque afinal, não entendem de quê estão se protegendo e por isso ler esta parte desse texto é importante para você. Em seguida falamos de quais são e basicamente como funcionam os ataques hacker.

Negação de serviço (DoS)

Este tipo de ataque tenta derrubar um sistema por sobrecarga de trabalho.

Analogamente quem declara imposto de renda ou se inscreve para o Enem, sabe que deixar para última hora é um risco porque o sistema fica congestionado e não consegue receber sua declaração.

Agora, imagine esse congestionamento criado de maneira intencional por um exército de computadores zumbis infectados por vírus que enviam milhões de pedidos incansavelmente para um servidor até que ele não aguente mais e saia do ar.

Violação do controle de acesso por força bruta

Ao passo que a negação de serviço tenta tirar um sistema do ar, um ataque de força bruta (brute force) visa testar várias credenciais — como nomes de usuário e senhas em um formulário de login por exemplo — até que uma hora acerte a combinação correta e invada o sistema.

Lembra daquela recomendação de usar senhas fortes e nomes de usuário fora do comum? Então! É por isso.

Falsificação de páginas e mensagens para coletar dados (phising)

Além de tentar derrubar ou invadir um site WordPress, crackers podem enviar links para páginas “clonadas” de um site. Depois que os os usuários mordem a isca do link, são induzidos a deixarem seus dados na página falsa acreditando que estão utilizando o site original.

Essa técnica funciona como uma pescaria de dados e é conhecida como phising. O link é a isca, a vítima é o peixe.

Variações podem ser usadas. Por exemplo:

  • E-mail: “Responda a este e-mail com o número de seu CPF e sua chave de acesso para liberarmos os benefícios da promoção”.
  • SMS: “SMS premiado! Clique no link, envie uma foto de frente e verso de seu RG para ganhar uma recarga grátis.”

Injeção de código malicioso (XSS)

Esse ataque é menos falado, no entanto é muito nocivo.

Para quê falsificar sendo que é possível usar o site original para executar código malicioso? Basicamente é isso que o ataque cross-site scripting (XSS) faz.

Aproveitando-se de falhas em formulários, urls e outras funcionalidades em plugins e temas desatualizados, é possível “injetar” código malicioso nas páginas do site.

Dessa forma, quando os usuários acessam as páginas, o código é executado automaticamente sem que a vítima tenha qualquer defesa.

Essa é uma das razões pelas quais recomendamos manter o site atualizado anteriormente.

Espionagem de tráfego

Técnica tão perigosa que pode dispensar ou habilitar todas as outras. Funciona basicamente assim:

  1. O usuário entra no site através de uma rede sem proteção ou maliciosa.
  2. Um computador malicioso começa a observar e até manipular tudo o que o usuário está mandando e recebendo de um site.
  3. O hacker ou robô que controla esse computador pode roubar dados de acesso, enviar códigos maliciosos tanto para o usuário quanto para o site e finalmente utilizar dados pessoais para cometer crimes.

Nada de pânico! Continue nessa leitura para ver soluções práticas de como resolver o problema.

Defenda-se com procedimentos, plugins e comportamentos

Primeiramente,  você faz o básico? Comece por seguir as recomendações que fizemos acima.

Logo depois comece a proteger os pontos de entrada de dados em seu site:

  1. Instale um plugin de CAPTCHA para que os robôs não consigam forçar seus formulários.
  2. Use um plugin antispam em seus formulários de comentários para que não seja possível enviar mensagens em massa. Alguns plugins de CAPTCHA já incluem essa funcionalidade.

Segurança WordPress usando Captcha.

Da mesma forma que protegeu os pontos de entrada, utilize um link seguro HTTPS. Para ter um link seguro, você deve contratar um certificado SSL junto à sua hospedagem.

Evite dispositivos e redes de terceiros para administrar seu site. Em poucas palavras, aquele Wi-fi gratuito da prefeitura não é a melhor rede para usar quando acessar o painel administrativo do seu site.

Certificado SSL garantindo seguraça em site wordpress guia-se.

Oculte informações. Antes de mais nada você deve saber que os hackers estudam muito uma plataforma antes de atacá-la.

Com um bom plugin de segurança você altera o link padrão de seu painel de administração (/wp-admin), esconde dados sobre eventuais erros de programação através de páginas personalizadas e também bloqueia eventuais ataques de negação de serviço.

Do mesmo modo que protege seu site, use uma comunicação consistente para proteger seus clientes e colaboradores.

Como assim?

Seja fiel à sua identidade em seu site, em suas campanhas de e-mail e nas mídias sociais ao usar sua logomarca e sua paleta de cores. Além disso, evite solicitar dados sensíveis como números cartão de crédito e documentos.

Quando você age de acordo com um padrão, o cliente desconfiará de eventuais fraudes que tentem usar o seu nome.

Depois de tantas dicas ficamos por aqui

Finalmente passamos para você um conhecimento de técnicas de segurança para você e seu site WordPress — uma plataforma robusta cheia de recursos incríveis.

Claro que há muito mais a tratar como por exemplo engenharia social que por si só dá um outro artigo completo.

Por agora deixe seu contato e o link de seu site que faremos uma avaliação de segurança para você.