Vídeo: 🔴 Aula #07 - Como proteger o seu site de invasores e não perder seu conteúdo - Wordpress (Outubro 2024)
Como plataforma de gerenciamento de conteúdo, o WordPress é tremendamente popular entre os usuários, pois é muito fácil de usar. O problema é que também é um alvo popular para criminosos e atacantes. Se você possui um site WordPress, precisa executar algumas etapas básicas para proteger seu site.
DDoS com WordPress
Embora sempre exista a preocupação de que seu site WordPress possa ser hackeado para fornecer malware aos visitantes do site ou redirecioná-los para um site desonesto em outro lugar da Web, você também não deseja descobrir que seu site está sendo usado para lançar ataques contra outros sites. No início desta semana, a empresa de segurança Sucuri informou que mais de 162.000 sites WordPress foram enganados para participar de um ataque distribuído de negação de serviço contra outro site.
O fato é que os sites não foram invadidos ou infectados para formar uma botnet. Os atacantes abusaram do Pingbacks, um recurso perfeitamente legítimo no WordPress, para inundar o site alvo com tráfego indesejado. Pingbacks são usados por um site WordPress para notificar outros sites quando uma postagem é vinculada a eles. No ataque observado pela Sucuri, o invasor enganou os sites para enviar uma solicitação de Pingback para o mesmo URL de destino, o que foi fácil, pois o Pingback é ativado por padrão no WordPress. O site de destino foi repentinamente bombardeado com solicitações de Pingback, que basicamente foram montadas em um ataque DdoS.
Se você estiver executando o WordPress, considere desativar Pingbacks para garantir que seu site não possa ser usado para atacar outros sites. O recurso o notifica quando alguém está falando sobre você, o que é um bom impulsionador do ego, mas vale a pena mantê-lo por perto para ser abusado? A Sucuri tem sugestões sobre como bloquear pingbacks em seu site.
Leaky WordPress
Dave Lewis, advogado sênior de segurança da Akamai Technologies, usou o Google para encontrar mais de 111.000 sites WordPress cujos backups de bancos de dados estavam acessíveis na Internet. A lista incluía "todos os tipos de sites, de sites independentes de música a consultórios médicos e até alguns sites do governo", escreveu Lewis em seu blog de CSO. O despejo continha informações detalhadas sobre o banco de dados, que os invasores poderiam usar para iniciar outros ataques, mas também um possível vazamento de seus dados.
Obviamente, os backups não devem estar acessíveis na Internet. Se os backups estiverem sendo executados localmente no mesmo servidor em que o WordPress estiver instalado, os plugins do Wordfence ou Sucuri poderão bloquear o acesso não autorizado, disse Lewis.
WordPress desatualizado
A tarefa mais importante para os administradores do WordPress é manter-se atualizado sobre as atualizações de software, não apenas para a plataforma principal, mas para cada um dos plugins em execução no site. Versões desatualizadas do WordPress estão constantemente sob ataque, especialmente os plugins. "Os hackers mal-intencionados estão sempre procurando maneiras de infectar os usuários de computadores, e que melhor técnica pode haver do que comprometer um site legítimo existente e subvertê-lo de forma que ele infecte sorrateiramente os usuários de computadores quando o visitam", disse o consultor de segurança Graham Cluley.
Os invasores podem explorar falhas não corrigidas para executar injeção de SQL ou ataques de script entre sites. As falhas também podem ser exploradas para infectar o site com malware. Na maioria das vezes, esses problemas geralmente resultam de problemas com plug-ins, não com a plataforma principal de software, tornando ainda mais crítico que os plug-ins sejam atualizados regularmente.
É importante observar a diferença entre sites hospedados no WordPress.com e sites do WordPress que são executados em outros servidores. A equipe por trás do WordPress mantém o software atualizado no WordPress.com, para que usuários individuais não precisem. Os sites auto-hospedados exigem que o proprietário do site fique atualizado sobre as correções e atualizações para garantir que o software permaneça atualizado.
Se você estiver executando o WordPress, mantenha-se à frente dos invasores, mantendo seu site atualizado regularmente.
