Antes de começarmos a mostrar como e porque os hackers hackeam sites, você precisa entender a estrutura do seu site WordPress. Ele é feito de arquivos e um banco de dados. Os arquivos WordPress contêm em sua maioria todas as configurações e configurações, enquanto o banco de dados armazena todos os dados de posts, comentários, usuários e um monte de outras coisas.
Bambos elementos são necessários para gerar o frontend do seu site. Mas ambos também podem ser explorados por hackers.
Primeiro, vamos dar uma olhada em como hackers entram em sites WordPress.
Nota: Este não é um guia sobre como hackear um site WordPress. É um artigo educativo para lhe mostrar como hackers podem explorar vulnerabilidades para hackear o seu site. Dito isto, vamos começar.
6 Vulnerabilidades Comuns que Permitem Hackers Hackear Sites WordPress
Para hackear um site, ele deve ter um ponto de vulnerabilidade. Listamos as vulnerabilidades comuns encontradas em sites WordPress:
Executando Instalação do WordPress Desatualizada
44% dos sites WordPress hackeados estavam rodando em instalações desatualizadas de acordo com um relatório de 2018. Como proprietário de um website, você verá atualizações freqüentes disponíveis para a instalação do WordPress, como assim:
Usualmente, as atualizações trazem novas características, correções de bugs, ou resolvem problemas de incompatibilidade. Algumas vezes, elas também carregam patches de segurança do WordPress. Isto significa que se uma falha de segurança for encontrada no software, os desenvolvedores rapidamente corrigem-na e lançam uma atualização que removerá a falha.
Após lançada, a presença de uma falha de segurança wp é tornada pública. Os hackers então procuram sites que não foram atualizados, encontram a falha, e a usam para invadir o site.
Então se você escolher não atualizar sua instalação do WordPress, então você não instalou os novos recursos de segurança e deu seu site em uma bandeja para os hackers.
Mantenha sempre seu site WordPress atualizado.
Dica: Os patches de segurança são lançados como pequenas atualizações. Você pode dizer se é uma atualização maior se é a V5.2 ou V5.3. Uma atualização menor seria a V5.2.1, por exemplo. Por padrão, as pequenas atualizações são automáticas, mas você pode desligá-la. Recomendamos manter a opção auto-updates ligada para atualizações menores.
Besides mantendo seus plugins, temas e núcleo atualizados, sugerimos fortemente que você mantenha seus sais do WordPress e chaves de segurança atualizados.
Usando Credenciais Fracas
Um outro ponto comum de entrada para hackers é as credenciais fracas. Os hackers usam um método chamado ataques de força bruta, onde eles programam bots para procurar sites WordPress na internet e tentam combinações diferentes de nomes de usuários e senhas para invadir o site.
Se você deixou seu nome de login como ‘admin’, eles já estão um passo mais perto de obter acesso ao seu site. No entanto, se você usou senhas comuns como ‘password123’, então é fácil para eles adivinharem. Estes bots podem fazer milhares, se não milhões de tentativas de hacking em apenas um segundo (leitura recomendada – guia de proteção da página de login do WordPress).
Recomendamos mudar a senha para uma frase-senha em combinação com números e símbolos para tornar sua senha forte como sempre:
Having Pirated Themes Installed
Premium themes are attractive and we’d all love to have a great theme for our website to make it unique. Muitas vezes os proprietários de sites caem presas a versões livres, rachadas ou pirateadas destes temas. Tais temas de fontes não confiáveis podem carregar malware pré-instalado. Ao instalá-lo em seu site WordPress, você também instala o malware. Isto abre a porta para os hackers. Nós detalhamos como isso acontece mais tarde.
Sempre baixamos temas apenas de fontes confiáveis como o repositório WordPress ou de mercados como ThemeForest e ThemeTrust.
Utilizar plugins vulneráveis
Hackers estão constantemente à procura para encontrar falhas na segurança dos plugins. Se encontrarem um, eles irão procurar na internet por sites WordPress que tenham o plugin instalado. Isso permite que eles invadam milhares de sites em questão de minutos.
Muitas vezes, especialmente com plugins gratuitos, os desenvolvedores podem descobrir que não podem mais mantê-lo e abandonar o plugin. (Isto também pode acontecer com temas). Nestes casos, a segurança do plugin irá caducar e tê-lo instalado em seu site representa uma ameaça.
Download plugins somente de fontes confiáveis como o repositório WordPress ou CodeCanyon. Apague regularmente plugins WordPress e temas que você não usa mais. Verifique o estado dos plugins que você usa para ver se eles estão sendo atualizados e mantidos pelo desenvolvedor.
Usando Sistema Local Inseguro
Por vezes, pode ser o seu próprio computador que não esteja seguro. Se alguém entrar no seu sistema, pode facilmente acessar seu site WordPress porque na maioria dos casos, o administrador wp já está logado e aberto.
Isso pode acontecer se você não tiver um firewall ou ferramenta anti-malware instalada no seu sistema.
É recomendado que você nunca use um computador público ou uma conexão wifi pública não segura no seu sistema local que você usa para rodar seu site WordPress. Mantenha sempre as ferramentas de detecção de malware activas no seu site.
Utilizar um mau serviço de alojamento Web
Apesar de escolher um plano de alojamento, temos tendência a procurar o mais barato. Mas o mais barato nem sempre garante boas medidas de segurança.
Servidores compartilhados podem ser mais baratos, mas também colocam o seu site em risco. Você não pode dizer com quais sites você compartilha um servidor web e se eles implementaram protocolos de segurança. Se eles forem hackeados, há chances da infecção por malware se espalhar para o seu site também.
Há também momentos em que os hosts de sites são comprometidos, o que significa que todos os sites na plataforma de hospedagem estão expostos para os hackers explorarem”
Antes de escolher um web host, leia o que eles oferecem e o que os clientes têm a dizer sobre eles. Isto o ajudará a ter uma boa idéia de qual web host escolher.
Para encontrar um site vulnerável, os hackers criam seus próprios bots ou usam scanners gratuitos de vulnerabilidade disponíveis online para navegar através da internet. Quando eles encontram um, eles vão explorar a falha de segurança que ele tem (como os mencionados acima) para ter acesso aos arquivos ou banco de dados do site WordPress.
Então, eles injetam código que vai executar atividades maliciosas, como o envio de e-mails de spam, venda de produtos ilegais, etc. Eles também injetam código para criar novas contas de usuário ou backdoors do WordPress que os ajudará a recuperar o acesso ao seu site sempre que quiserem.
Como invadir um site WordPress?
Existem inúmeras maneiras de invadir um site WordPress. Aqui, vamos discutir duas das formas mais comuns de hackers injetarem código no seu site para criar um novo login de usuário:
I. Através de Arquivos (Malware Pré-Instalado em um Tema Pirata)
Como discutimos anteriormente, muitos donos de sites WordPress caem em cima de temas piratas. Você recebe todas as funcionalidades de graça! Mas tal software pode ter um script para criar um novo ID de login. Assim que você instalar o tema, a nova conta de usuário é criada e o hacker pode simplesmente entrar em seu site a partir de admin.
Vamos mostrar como você pode criar uma nova conta de usuário em seu site WordPress usando seu arquivo de tema. Isto irá ajudá-lo a entender como os temas piratas ajudam um hacker a ter acesso ao seu site.
Tip: Isto também pode vir a ser útil se você estiver bloqueado fora do seu administrador wp, mas ainda ter acesso à sua conta de alojamento web.
Cautela:
Viver nos bastidores de um site WordPress é um caso arriscado. É melhor fazer isso em um site de teste ou de encenação. Se você optar por fazer isso em seu site ao vivo, por favor, certifique-se de fazer um backup confiável. Caso algo dê errado, você pode restaurar seu backup do WordPress.
Passo 1: Faça o login na sua conta de hospedagem do WordPress. Vá para cPanel e acesse o gerenciador de arquivos.
Você também pode acessar arquivos através de um cliente FTP como FileZilla usando credenciais FTP.
Passo 2: Seus arquivos WordPress geralmente residem em uma pasta chamada public_html. Dentro dele, você pode acessar wp_content/themes.
Passo 3: Aqui, você precisa escolher o tema ativo em seu site e editar as functions.php.
Passo 4: Copie e cole o seguinte código no final do arquivo. (Se houver uma tag de fechamento assim ?>, certifique-se de que o código vem na linha antes disto.)
$new_user_email = ‘[email protected]’;
$new_user_password = ‘password’;
if(!username_exists($new_user_email)) {
$user_id = wp_create_user($new_user_email, $new_user_password, $new_user_email);
wp_update_user(array(‘ID’ => $user_id, ‘nickname’ => $new_user_email));
$user = novo WP_User($user_id);
$user->set_role(‘administrador’);
}
Editar as duas primeiras linhas para o e-mail e senha de sua escolha. Assim que você salvar o arquivo e abrir seu site, o código será executado e você poderá entrar usando estas novas credenciais.
Esperamos agora que você entenda que quando você instalar um tema pirata se ele tiver este bloco de código, uma nova conta de usuário será criada. Tudo o que o hacker tem que fazer é digitar as credenciais e entrar.
II. Através de Database – SQL Injection
Esta é outra das razões mais comuns para que os sites WordPress sejam hackeados. Para começar, você precisa saber duas coisas sobre injeções SQL:
-
- WordPress usa MySQL como sistema padrão de banco de dados.
- Para gerar o frontend de um website, o WordPress usa consultas SQL para extrair dados do banco de dados.
Não precisamos nos preocupar com o que isso é ou com os detalhes do mesmo por enquanto. O que você precisa saber é que esta base de dados é acessível apenas através do cPanel > phpMyAdmin. Mas os hackers encontram maneiras de acessá-la sem usar o cPanel. Uma das formas mais comuns de contato dos hackers com o banco de dados de um site é através de formulários vulneráveis em um site.
Um formulário é qualquer elemento onde o texto pode ser inserido, como a barra de login do WordPress, formulário de contato, comentários no blog do WordPress, pops de assinatura, páginas de checkout e a barra de pesquisa do site.
Em vez de inserir os detalhes solicitados no formulário, o hacker inseriria seus comandos SQL maliciosos. Como todas as informações inseridas no formulário ficam armazenadas no seu banco de dados, esse código malicioso encontrará seu caminho em.
Para explicar como isso acontece, vamos mostrar a você como criar uma nova conta de usuário usando o seu banco de dados.
→ Criando uma nova conta de usuário através do banco de dados
Passo 1: Acesse o cPanel e abra o phpMyAdmin >Bases de dados.
Passo 2: Aqui, você verá uma lista de bancos de dados. Você precisa selecionar a sua base de dados. (Se você não sabe o nome da sua base de dados, você pode encontrar esta informação no seu wp-config, assim).
Selecionamos a base de dados de acordo com o nome no arquivo wp-config.
Passo 3: A seguir, a partir das tabelas que povoam o painel direito, você precisa encontrar a tabela que termina em _usuários (Provavelmente será nomeada wp_users).
Passo 4: Aqui, você pode clicar em ‘Insert’.
Passo 5: Abrirá a seguinte tela onde você pode digitar o nome de login do usuário, senha, e-mail e nome de exibição.
Passo 6: A seguir, clique em ‘Go’ e suas alterações serão salvas. Agora você pode entrar no WordPress usando as novas credenciais.
O mesmo pode ser feito inserindo um bloco de código SQL no banco de dados. Similar ao tema pirata, assim que o código entrar no banco de dados, ele será executado e um novo usuário será criado. Podemos pensar nele como um hacker simplesmente criando a sua própria porta em sua casa e entrando em.
Como impedir hackers de invadir o seu site?
Há quatro passos principais que você precisa tomar para tornar o seu site seguro o suficiente para manter os hackers à distância:
Instalar um plugin de segurança WordPress
Todos os sites WordPress precisam de um plugin de segurança como o MalCare. Proteja seu site WordPress com tal plugin que fará o scan do site regularmente. Ele irá detectar qualquer atividade suspeita, bloquear o tráfego malicioso e manter os hackers afastados. Caso um hacker entre, você será alertado imediatamente e você poderá limpar seu site instantaneamente antes que eles possam fazer qualquer dano.
Instale um certificado SSL
Este certificado fornecerá ao seu site a criptografia de dados. O que isto significa é que quando alguém visita o seu site, os dados são transferidos entre o seu computador e o servidor do seu site.
Se for transferido em texto simples, por vezes os hackers que estão à espreita podem agarrar esses dados. Eles podem lê-los, roubá-los ou modificá-los a seu gosto.
Mas se os dados estiverem criptografados, mesmo que um hacker os obtenha, eles não serão capazes de decifrá-los.
Você pode obter um certificado SSL do seu servidor web ou de um provedor SSL. Se você está preocupado em gastar muito com um certificado, provedores como LetsEncrypt oferecem SSL.
Para aprender como instalar um certificado SSL, dê uma olhada neste guia – Movendo HTTP para HTTPS.
Vulnerabilidades Conhecidas do Fixo
Como mencionamos anteriormente, existem vulnerabilidades comuns no WordPress. Recomendamos que você tome as seguintes medidas para minimizar as vulnerabilidades.
-
- Atualizar o WordPress e seus temas e plugins devem ser prioridade máxima.
- Certifique-se de usar sempre fortes credenciais de login para evitar ataques de força bruta.
- Excluir regularmente temas e plugins não utilizados
- Nunca use temas e plugins piratas. Sempre baixe tais softwares de fontes confiáveis como o repositório WordPress, CodeCanyon ou ThemeForest.
- Utilize um provedor confiável de serviços de hospedagem web.
- Cerve seu computador local protegido instalando software anti-malware.
Escute seu site WordPress.
WordPress recomenda que cada site em sua plataforma tome certos passos para endurecer seus sites. Algumas dessas medidas incluem:
- Ativar um firewall WordPress. Isto irá ajudar a bloquear a limitação do número de tentativas de login. Cada usuário tem apenas três chances de inserir as credenciais corretamente, após o que terá que optar por ‘Esqueceu a senha’ ou entrar em contato com o administrador. Você pode usar o mesmo plugin MalCare para implementar este passo.
- Desabilitar instalações de plugins no caso de ter vários usuários trabalhando no site. Você gostaria de garantir que ninguém instale um plugin livremente sem verificar se eles são confiáveis e confiáveis para ter o seu site. Isto pode ser feito manualmente editando um arquivo chamado wp-config.php na sua instalação do WordPress. Você também pode usar o plugin MalCare para isto.
- Implementando autenticação de 2 fatores para verificar a pessoa que faz o login. Isto é feito enviando uma senha única para o celular ou e-mail registrado, ou usando aplicativos como o Google Authenticator que geram uma senha em tempo real a cada 30 segundos.
Existem muitas outras formas de endurecer o seu site. É recomendável implementar estas etapas conforme os requisitos do seu site.
Além disso, você pode tomar mais algumas medidas de segurança. Sugerimos fortemente que siga este guia – Secure Your WordPress Site With wp-config.php.
Final Thoughts
We hope this article has given you a better understanding of how vulnerabilities can appear on your website and how hackers get in. Os hackers não são tendenciosos e terão como alvo praticamente qualquer site. Se o seu site é vulnerável, há uma boa chance de você ser hackeado.
Então, para resumir, nós recomendamos minimizar as vulnerabilidades, instalar um plugin de segurança e endurecer o seu site para que os hackers não tenham chance de entrar no seu site.
Calme o seu site seguro com o nosso MalCare Security Plugin!