11 Principais Razões Porque Sites WordPress são Hackeados (e Como Evitá-lo)

Recentemente, um de nossos leitores nos perguntou porque os sites WordPress são hackeados? É frustrante descobrir que o seu site WordPress foi hackeado. Neste artigo, vamos compartilhar as principais razões pelas quais o site WordPress é hackeado, para que você possa evitar esses erros e proteger o seu site.

Por que sites WordPress são hackeados?

Por que o WordPress é alvo de Hackers?

Primeiro, não é apenas WordPress. Todos os sites na internet são vulneráveis a tentativas de hacking.

A razão pela qual os sites WordPress são um alvo comum é porque o WordPress é o construtor de sites mais popular do mundo. Ele é responsável por 31% de todos os sites, o que significa centenas de milhões de sites em todo o mundo.

Esta imensa popularidade dá aos hackers uma maneira fácil de encontrar sites menos seguros, para que eles possam explorá-lo.

Os hackers têm diferentes tipos de motivos para hackear um site. Alguns são iniciantes que estão apenas aprendendo a explorar sites menos seguros.

Alguns hackers têm intenções maliciosas como distribuir malware, usar um site para atacar outros sites, ou enviar spam para a Internet.

Posto isto, vamos dar uma olhada em algumas das principais causas de sites WordPress serem invadidos, e como evitar que seu site seja invadido.

1. Hospedagem Insegura na Web

Como todos os sites, os sites WordPress são hospedados em um servidor web. Algumas empresas de hospedagem não protegem adequadamente sua plataforma de hospedagem. Isto torna todos os sites hospedados em seus servidores vulneráveis a tentativas de hacking.

Isso pode ser facilmente evitado escolhendo o melhor provedor de hospedagem WordPress para o seu site. Ele garante que o seu site esteja hospedado em uma plataforma segura. Servidores adequadamente seguros podem bloquear muitos dos ataques mais comuns em sites WordPress.

Se você quiser fazer uma pré-caução extra, então recomendamos usar um provedor de hospedagem WordPress gerenciado.

2. Usando senhas fracas

Usando senhas fracas

Senhas são as chaves para o seu site WordPress. Você precisa ter certeza de que está usando uma senha forte e única para cada uma das seguintes contas, pois todas elas podem fornecer a um hacker acesso completo ao seu site.

  • Sua conta de administrador WordPress
  • Conta de painel de controle de hospedagem web
  • Contas FTP
  • Base de dados MySQL usada para o seu site WordPress
  • Contas de e-mail usadas para admin ou conta de hospedagem WordPress

Todas essas contas são protegidas por senhas. O uso de senhas fracas facilita que os hackers descodifiquem as senhas usando algumas ferramentas básicas de hacking.

Você pode facilmente evitar isto usando senhas fortes e únicas para cada conta. Veja nosso guia sobre a melhor maneira de gerenciar senhas para iniciantes no WordPress para aprender como gerenciar todas essas senhas fortes.

3. Acesso desprotegido ao administrador do WordPress (wp-admin Directory)

A área de administração do WordPress dá acesso a um usuário para realizar diferentes ações no seu site WordPress. É também a área mais comumente atacada de um site WordPress.

Deixá-lo desprotegido permite aos hackers tentar diferentes abordagens para quebrar o seu site. Você pode dificultar a vida deles adicionando camadas de autenticação ao seu diretório de administração do WordPress.

Primeiro você deve proteger sua área de administração do WordPress com senha. Isto adiciona uma camada de segurança extra, e qualquer pessoa que tente acessar o administrador do WordPress terá que fornecer uma senha extra.

Se você executar um site WordPress de múltiplos autores ou usuários, então você pode aplicar senhas fortes para todos os usuários do seu site. Você também pode adicionar dois fatores de autenticação para tornar ainda mais difícil para os hackers entrarem na sua área de administração do WordPress.

4. Permissões de arquivo incorretas

Permissões de arquivo

Permissões de arquivo são um conjunto de regras usadas pelo seu servidor web. Estas permissões ajudam o seu servidor web a controlar o acesso a ficheiros no seu site. Permissões de arquivo incorretas podem dar acesso a um hacker para escrever e alterar esses arquivos.

Todos os seus arquivos WordPress devem ter o valor 644 como permissão de arquivo. Todas as pastas em seu site WordPress devem ter 755 como sua permissão de arquivo.

Veja nosso guia sobre como corrigir o problema de upload de imagens no WordPress para saber como aplicar essas permissões de arquivo.

5. Não Atualizando o WordPress

Alguns usuários WordPress têm medo de atualizar seus sites WordPress. Eles temem que isso possa quebrar o seu site.

Cada nova versão do WordPress corrige bugs e vulnerabilidades de segurança. Se você não está atualizando o WordPress, então você está intencionalmente deixando o seu site vulnerável.

Se você tem medo de que uma atualização quebre seu site, então você pode criar um backup completo do WordPress antes de executar uma atualização. Desta forma, se algo não funcionar, então você pode facilmente reverter para a versão anterior.

6. Não Atualizando Plugins ou Tema

Apenas como o software WordPress principal, atualizar seu tema e plugins é igualmente importante. Usando um plugin ou tema desatualizado pode tornar o seu site vulnerável.

Falhas de segurança e bugs são frequentemente descobertos em plugins e temas do WordPress. Normalmente, os autores dos temas e plugins são rápidos a corrigi-los. No entanto, se um utilizador não actualizar o seu tema ou plugin, então não há nada que possa fazer a esse respeito.

Certifique-se de manter o seu tema e plugins do WordPress actualizados.

SFTP ao invés de FTP

Contas FTP são usadas para carregar arquivos para o seu servidor web usando um cliente FTP. A maioria dos provedores de hospedagem suporta conexões FTP usando protocolos diferentes. Você pode se conectar usando FTP simples, SFTP ou SSH.

Quando você se conecta ao seu site usando FTP simples, sua senha é enviada para o servidor sem criptografia. Ela pode ser espionada e facilmente roubada. Ao invés de usar FTP, você deve sempre usar SFTP ou SSH.

Você não precisaria mudar seu cliente FTP. A maioria dos clientes FTP pode se conectar ao seu site em SFTP, bem como SSH. Você só precisa alterar o protocolo para ‘SFTP – SSH’ quando se conectar ao seu website.

8. Usando Admin como nome de usuário WordPress

Usar ‘admin’ como seu nome de usuário WordPress não é recomendado. Se o seu nome de usuário administrador é admin, então você deve mudar imediatamente para um nome de usuário diferente.

Para instruções detalhadas, veja nosso tutorial sobre como mudar seu nome de usuário WordPress.

9. Nulled Themes and Plugins

Malware

Existem muitos sites na Internet que distribuem plugins e temas pagos para WordPress gratuitamente. Às vezes é fácil ser tentado a usar esses plugins e temas nulos no seu site.

Download de temas e plugins WordPress de fontes não confiáveis é muito perigoso. Eles não só podem comprometer a segurança do seu site, mas também podem ser usados para roubar informações confidenciais.

Você deve sempre baixar plugins e temas do WordPress de fontes confiáveis como o site de desenvolvedores de plugins/tema ou repositórios oficiais do WordPress.

Se você não pode pagar ou não quer comprar um plugin ou tema premium, então sempre há alternativas gratuitas disponíveis para esses produtos. Estes plugins gratuitos podem não ser tão bons quanto os seus equivalentes pagos, mas eles irão fazer o trabalho e, mais importante, manter o seu site seguro.

Você também pode encontrar descontos para muitos dos populares produtos WordPress na seção de ofertas do nosso site.

10. Não Protegendo a Configuração do WordPress arquivo wp-config.php

WordPress arquivo de configuração wp-config.php contém suas credenciais de login no banco de dados WordPress. Se estiver comprometido, então ele revelará informações que podem dar a um hacker acesso completo ao seu site.

Você pode adicionar uma camada extra de proteção, negando acesso ao arquivo wp-config usando .htaccess. Simplesmente adicione este pequeno código ao seu arquivo .htaccess.

<files wp-config.php>order allow,denydeny from all</files>

11. Não Alterando o Prefixo da Tabela do WordPress

Muitos especialistas recomendam que você altere o prefixo padrão da tabela do WordPress. Por padrão, o WordPress usa wp_ como prefixo para as tabelas que ele cria em seu banco de dados. Você tem a opção de alterá-lo durante a instalação.

É recomendável que você use um prefixo que seja um pouco mais complicado. Isto vai tornar mais difícil para os hackers adivinharem os nomes das tabelas da sua base de dados.

Para instruções detalhadas, veja nosso guia sobre como alterar o prefixo do banco de dados do WordPress para melhorar a segurança.

Limpar um site WordPress hackeado

Limpar um site WordPress hackeado pode ser realmente doloroso. No entanto, pode ser feito.

Aqui estão alguns recursos para você começar a limpar um site WordPress hackeado:

  • Guia do iniciante para consertar seu site WordPress hackeado
  • Como procurar no seu site WordPress por código potencialmente malicioso
  • como encontrar uma porta traseira em um site WordPress hackeado e consertá-lo
  • O que fazer quando você estiver bloqueado fora do administrador do WordPress (wp-admin)
  • Guia do iniciante: como restaurar o WordPress a partir de backup

Dica de Bônus

Para uma segurança sólida, usamos Sucuri em todos os nossos sites WordPress. A Sucuri fornece serviços de detecção e remoção de malware, assim como um firewall de site que protegerá o seu site contra as ameaças mais comuns.

Veja como a Sucuri nos ajudou a bloquear 450.000 ataques WordPress em 3 meses

Esperamos que este artigo o ajude a aprender as principais razões pelas quais o site WordPress é invadido. Você também pode querer ver nosso último guia de segurança WordPress para proteger seu site WordPress.

Se você gostou deste artigo, então por favor assine nosso Canal YouTube para tutoriais em vídeo WordPress. Você também pode nos encontrar no Twitter e Facebook.

Deixe uma resposta

O seu endereço de email não será publicado.