Recentemente, um de nossos leitores nos perguntou por que os sites WordPress são hackeados.
É frustrante descobrir que seu site WordPress foi invadido. Embora os hackers visem todos os sites, você pode estar cometendo alguns erros que deixam seu site vulnerável a ataques.
Neste artigo, compartilharemos os principais motivos pelos quais os sites WordPress são hackeados, para que você possa evitar esses erros e proteger seu site.
Por que o WordPress é alvo de hackers?
Primeiro, não se trata apenas do WordPress. Todos os sites na Internet são vulneráveis a tentativas de hacking.
O motivo pelo qual os sites WordPress são um alvo comum é o fato de o WordPress ser o criador de sites mais popular do mundo. Ele alimenta mais de 43% de todos os sites, o que significa centenas de milhões de sites em todo o mundo.
Essa imensa popularidade proporciona aos hackers uma maneira fácil de encontrar sites menos seguros para que possam explorá-los.
Os hackers têm vários motivos para invadir um site. Alguns são iniciantes que estão apenas aprendendo a explorar sites menos seguros. Outros têm intenções maliciosas, como distribuir malware, atacar outros sites e enviar spam.
Dito isso, vamos analisar algumas das principais causas de invasão de sites WordPress para que você possa saber como evitar que seu site seja invadido.
1. Hospedagem na Web insegura
Como todos os sites, os sites WordPress são hospedados em um servidor da Web. Algumas empresas de hospedagem não protegem adequadamente sua plataforma de hospedagem. Isso torna todos os sites hospedados em seus servidores vulneráveis a tentativas de invasão.
Isso pode ser facilmente evitado com a escolha do melhor provedor de hospedagem WordPress para seu site. Servidores adequadamente seguros podem bloquear muitos dos ataques mais comuns a sites WordPress.
Se você quiser tomar precauções adicionais, recomendamos usar um provedor de hospedagem gerenciada do WordPress.
2. Uso de senhas fracas
As senhas são as chaves do seu site WordPress. Você precisa se certificar de que está usando uma senha forte e exclusiva para cada uma das contas a seguir, pois todas elas podem fornecer a um hacker acesso completo ao seu site:
- Sua conta de administrador do WordPress
- Sua conta do painel de controle de hospedagem na Web
- Suas contas de FTP
- O banco de dados MySQL usado para seu site WordPress
- Todas as contas de e-mail usadas para administração e hospedagem do WordPress
Todas essas contas são protegidas por senhas. O uso de senhas fracas facilita para os hackers decifrarem as senhas usando algumas ferramentas básicas de hacking.
Você pode evitar isso facilmente usando senhas exclusivas e fortes para cada conta. Consulte nosso guia sobre a melhor maneira de gerenciar senhas para iniciantes no WordPress para saber como gerenciar todas essas senhas fortes.
3. Acesso desprotegido à administração do WordPress (wp-admin)
A área de administração do WordPress dá ao usuário acesso para executar diferentes ações no seu site WordPress. É também a área mais comumente atacada de um site WordPress.
Deixá-lo desprotegido permite que os hackers tentem diferentes abordagens para invadir seu site. Você pode dificultar as coisas para eles adicionando camadas de autenticação ao seu diretório de administração.
Primeiro, você deve proteger sua área de administração do WordPress com senha. Isso adiciona uma camada extra de segurança, e qualquer pessoa que tentar acessar a área de administração do WordPress terá de fornecer uma senha extra.
Se você tiver um site WordPress com vários autores ou usuários, poderá impor senhas fortes para todos os usuários do site. Você também pode adicionar a autenticação de dois fatores (2FA) para dificultar ainda mais a entrada de hackers na área de administração do WordPress.
4. Permissões incorretas de arquivos
As permissões de arquivo são um conjunto de regras usadas pelo seu servidor da Web. Essas permissões ajudam o servidor da Web a controlar o acesso aos arquivos do seu site. Permissões de arquivo incorretas podem dar a um hacker acesso para gravar e alterar esses arquivos.
Todos os seus arquivos do WordPress devem ter o valor 644 como permissão de arquivo. Todas as pastas em seu site do WordPress devem ter 755 como permissão de arquivo.
Consulte nosso guia sobre como corrigir o problema de upload de imagens no WordPress para saber como aplicar essas permissões de arquivo.
5. Não manter o WordPress atualizado
Alguns usuários do WordPress têm medo de atualizar seus sites WordPress. Eles temem que isso possa danificar o site.
Cada nova versão do WordPress corrige bugs e vulnerabilidades de segurança. Se você não estiver atualizando o WordPress, estará deixando seu site vulnerável intencionalmente.
Se você tem medo de que uma atualização danifique seu site, pode criar um backup completo do WordPress antes de executar uma atualização. Dessa forma, se algo não funcionar, você poderá reverter facilmente para a versão anterior.
Você pode saber mais em nosso guia para iniciantes sobre como atualizar o WordPress com segurança.
6. Não atualizar os plug-ins ou o tema
Assim como o software principal do WordPress, a atualização do tema e dos plug-ins é igualmente importante. O uso de um plug-in ou tema desatualizado pode tornar seu site vulnerável.
Falhas e bugs de segurança são frequentemente descobertos em plug-ins e temas do WordPress. Normalmente, os autores de temas e plugins são rápidos em corrigi-los. No entanto, se um usuário não atualizar o tema ou o plug-in, não há nada que possa fazer a respeito.
Certifique-se de manter o tema e os plug-ins do WordPress atualizados. Você pode aprender como fazer isso em nosso guia sobre a ordem correta de atualização para WordPress, plug-ins e temas.
7. Uso de FTP simples em vez de SFTP/SSH
As contas de FTP são usadas para fazer upload de arquivos para o seu servidor da Web usando um cliente de FTP. A maioria dos provedores de hospedagem oferece suporte a conexões FTP usando diferentes protocolos. Você pode se conectar usando FTP simples, SFTP ou SSH.
Quando você se conecta ao seu site usando FTP simples, sua senha é enviada ao servidor sem criptografia. Isso significa que ela pode ser espionada e facilmente roubada. Em vez de usar FTP, você deve sempre usar SFTP ou SSH.
Não é necessário alterar seu cliente FTP. A maioria dos clientes de FTP pode se conectar ao seu site em SFTP e também em SSH. Você só precisa alterar o protocolo para “SFTP – SSH” ao se conectar ao seu site.
8. Uso de Admin como nome de usuário do WordPress
Não é recomendável usar “admin” como seu nome de usuário do WordPress. Se o seu nome de usuário de administrador for “admin”, você deverá alterá-lo imediatamente para um nome de usuário diferente.
Para obter instruções detalhadas, consulte nosso tutorial sobre como alterar seu nome de usuário do WordPress.
9. Temas e plug-ins anulados
Há muitos sites na Internet que distribuem plug-ins e temas pagos do WordPress gratuitamente. Você pode se sentir tentado a usar esses plug-ins e temas sem validade em seu site.
O download de temas e plug-ins do WordPress de fontes não confiáveis é muito perigoso. Eles não só podem comprometer a segurança de seu site, como também podem ser usados para roubar informações confidenciais.
Você deve sempre baixar plug-ins e temas do WordPress de fontes confiáveis, como o site do desenvolvedor ou os repositórios oficiais do WordPress.
Se você não puder comprar um plug-in ou tema premium, sempre haverá alternativas gratuitas disponíveis para esses produtos. Esses plug-ins gratuitos podem não ser tão bons quanto seus equivalentes pagos, mas darão conta do recado e, o mais importante, manterão seu site seguro.
Você também pode encontrar descontos para muitos dos produtos populares do WordPress na seção de ofertas do nosso site.
10. Não proteger o arquivo de configuração do WordPress wp-config.php
O arquivo de configuração do WordPress wp-config.php contém as credenciais de login do banco de dados do WordPress. Se ele for comprometido, revelará informações que podem dar a um hacker acesso completo ao seu site.
Você pode adicionar uma camada extra de proteção negando o acesso ao arquivo wp-config usando o .htaccess. Basta adicionar este código ao seu arquivo .htaccess:
<files wp-config.php>
order allow,deny
deny from all
</files>
11. Não alterar o prefixo da tabela do WordPress
Muitos especialistas recomendam que você altere o prefixo padrão da tabela do WordPress. Por padrão, o WordPress usa wp_ como prefixo para as tabelas que cria em seu banco de dados. Você tem a opção de alterá-lo durante a instalação.
É recomendável que você use um prefixo mais complexo. Isso tornará mais difícil para os hackers adivinharem os nomes das tabelas do banco de dados.
Para obter instruções detalhadas, consulte nosso guia sobre como alterar o prefixo do banco de dados do WordPress para aumentar a segurança.
Limpeza de um site WordPress invadido
A limpeza de um site WordPress invadido pode ser dolorosa. No entanto, isso pode ser feito.
Aqui estão alguns recursos para você começar a limpar um site WordPress invadido:
- Sinais de que seu site WordPress foi hackeado (e como corrigi-lo)
- Como verificar se há código potencialmente malicioso em seu site WordPress
- Como encontrar um backdoor em um site WordPress invadido e corrigi-lo
- O que fazer quando você não consegue acessar o painel de administração do WordPress (wp-admin)
- Guia para iniciantes sobre como restaurar o WordPress a partir de um backup
Dica de bônus
Para uma segurança sólida, a Sucuri oferece serviços de detecção e remoção de malware, bem como um firewall de site que protegerá seu site contra as ameaças mais comuns.
Leia a história de como a Sucuri nos ajudou a bloquear 450.000 ataques ao WordPress em 3 meses.
Como alternativa, você pode aproveitar nossos serviços profissionais WPBeginner acessíveis.
Se o seu site foi invadido, nossa equipe de especialistas pode limpar códigos, arquivos e malware maliciosos para garantir que seus dados confidenciais estejam seguros. Os preços começam em US$ 249.
Esperamos que este artigo tenha ajudado você a conhecer os principais motivos pelos quais um site WordPress é hackeado. Talvez você também queira ver nosso guia sobre como aumentar o tráfego do seu blog ou nossas dicas de especialistas para acelerar o desempenho do WordPress.
Se você gostou deste artigo, inscreva-se em nosso canal do YouTube para receber tutoriais em vídeo sobre o WordPress. Você também pode nos encontrar no Twitter e no Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Jiří Vaněk says
What exactly do the directives for securing the wp-config.php file using the .htaccess file do? Do they deny access to anyone from the outside, allowing access only to the file by specific applications? Am I understanding it correctly?
Won’t this cause some other problem of not being able to access the file?
WPBeginner Support says
It would prevent access from someone trying to open the file directly and in most cases should not cause a problem with limiting access this way.
Administrador
Jiří Vaněk says
Thank you for answer. I just wanted to make sure that there could be a situation where I would break some internal WordPress communication. I definitely apply security.
SaifZiya says
Thanks for these amazing tips. I going to add the code to .htaccess file now.
Amit Khandelwal says
Hello, i have secure my wp-admin folder through folder privacy but how can i do the same for wp-login url?
Dragos says
You can also not install in the default location your WordPress website so you can actually install the wp into a folder named “secure” and then with some tricks your visitors will enter to your website.com not website.com/secure in order to see your site.