O WordPress é o sistema número 1 no que diz respeito à criação de site e ao gerenciamento de websites. Esta plataforma é extremamente famosa, a de maior popularidade no mundo inteiro. Popularidade essa devida a fatores muitos; dentre os quais, podemos elencar aqui a sua usabilidade, as suas ferramentas e, em especial, a segurança que este sistema oferece aos seus usuários. Todavia, essa mesma segurança, destacada aqui, não é absoluta. Ou seja, apesar da forte proteção, proporcionada pela plataforma aos sites que a utilizam, é possível que um site WordPress seja hackeado. De modo que, se a possibilidade existe, ainda assim que seja uma porcentagem pequena, é necessário abordá-la. Por isso este post foi criado; para falar sobre as situações de violação à segurança de um site WordPress e sobre as providências necessárias diante deste fato.
Continue lendo
Soluções para WordPress
Conheça todas as nossas soluções para WordPress
O que é WordPress?
O WordPress é um tipo de CMS. Os CMS ‘s (Content Management System) são sistemas por meio dos quais podemos gerenciar, administrar e criar conteúdo. No caso dos CMS ‘s , a palavra conteúdo é usada de forma bastante genérica.
Visto que ela tem como referentes as páginas dos sites (verdadeiros sistemas online) e o seu conteúdo propriamente dito, aquele que aparece nas páginas, em diferentes formatos: texto, vídeo, áudio, imagem e assim por diante. Portanto, um CMS é responsável por possibilitar a manipulação de todo este conjunto, genericamente chamado de conteúdo. E nesta tarefa o sistema WordPress ocupa uma posição de destaque em relação aos outros programas, seus concorrentes.
WordPress é seguro?
Sim, assim como é verdadeiro afirmar que o principal trabalho de criação e manutenção de um site ocorre no WordPress; também é verdade que todos os dados nele manipulados estão extremamente seguros. Dito de outro modo, o WordPress é um sistema bastante seguro. Na verdade, pode-se dizer, inclusive, que ele é um dos mais seguros. Haja vista todos recursos com os quais ele conta para esse propósito.Ferramentas de segurança do WordPress
O WordPress oferece aos administradores de websites um catálogo variado de mecanismos de segurança. Como prova disso citamos em um primeiro momento as opções de backup do sistema, as atualizações. Mas, para além delas, há uma infinidade de plugins, desenvolvidos para garantir a segurança da informação nos sites. Eles atuam de diferentes maneiras; vejamos aqui os principais:
Really Simple SSL:
Este plugin é responsável pela criptografia dos dados, que fazem o percurso entre o servidor e o navegador do usuário (e vice-versa). Os símbolos exteriores, que apontam os sites nos quais ocorre essa criptografia, são o Cadeado fechado e a expressão HTTPS.
Eles aparecem na barra de endereços do navegador compondo a URL do site. Quando isso acontece diz-se que o site possui uma certificação SSL ou o certificado SSL ativo. Isto indica que ele faz este procedimento de segurança, ou seja, esta criptografia durante o transporte dos dados de ponta a ponta.
Wordfence Security:
Este plugin possui milhões de downloads. Isso se deve muito à sua eficiência. Pois ele é um programa antivírus. Dentre as suas capacidades, merecem destaque: o alerta de tentativa de invasões, escaneamento e bloqueio de softwares maliciosos, atualizações automáticas e outras ações que o fazem o mais popular dos plugins de segurança para o WordPress.
Google Authenticator:
Plugin responsável por garantir a segurança da página de Login dos sites WordPress. A solução oferecida por este plugin é bastante interessante, já que hoje existem numerosos e perigosos meios de captura dos dados de login de um usuário.Em resumo, o plugin Google Authenticator, obriga o usuário a logar através do método chamado autenticação em dois fatores (2FA). Como já sugere o nome, essa autenticação se dá usando dois fatores, em oposição ao uso de um único fator (usuário e senha).- Fator de posse: um token, um aplicativo.
- Fator biométrico: digital, íris
- Fator de conhecimento: data de nascimento, nome da mãe.
- Fator local/geográfico
- Fator de tempo.
Quais os motivos para que sites WordPress sejam hackeados?
Para responder a pergunta deste tópico, podemos iniciar uma reflexão considerando o fato de que uma das motivações para que os hackers possam agir é que existam chances. Partindo deste ponto, retomemos também algo que foi dito anteriormente: A forte segurança oferecida pelo WordPress não é absoluta.Nesse sentido, juntando as essas duas premissas, nós podemos concluir que, algumas poucas vias podem servir de oportunidades para que pessoas mal intencionadas consigam violar a segurança dos Websites. Por isso vamos conhecer essas possibilidades:Liberdade de criação de programas acessórios (plugins):
O WordPress tem por característica ser um software livre. Desta característica deriva uma outra: a possibilidade de criação de programas para os sites: os chamados plugins, que podem, inclusive, ser comercializados.Este recurso, na verdade, é uma grande vantagem, um ponto muito positivo que possui o WordPress.No entanto, ele pode constituir-se uma porta de entrada para os hackers na medida em que se aproveitam dele para criar plugins em si mesmos maliciosos. Estes softwares, por sua vez, ficam disponíveis para instalação pelos administradores dos sites.
Isso existe e é uma possibilidade. Por este motivo, está sendo considerada neste post. Mas, ao mesmo tempo, mecanismos de defesa já aparecem para servir de remédio a práticas como essas. Há, por exemplo, um programa chamado Yoda, que a grosso modo, se instalado em um site ou servidor, consegue analisar o código dos plugins e julgá-los quanto a sua segurança ou insegurança.
Falta de atualização em programas e arquivos
A segurança plena, total, de qualquer sistema é uma meta bastante difícil de ser alcançada. Mas é necessária uma caminhada rumo a este fim, um aperfeiçoamento contínuo. E isso, por si só, já leva a um nível de segurança mais do que suficiente à integridade dos sites.
Quais os indícios de que um site WordPress tenha sido hackeado?
Já que falamos sobre os casos que podem levar a um ataque hacker em um site, é interessante também informar sobre os sintomas manifestados nessa situação. Por isso, há uma lista, abaixo, com os problemas (dos menos aos mais graves) que os sites costumam apresentar quando hackeados:- Problemas de login no painel administrativo do WordPress;
- Problemas de acessos ao site pelos usuários;
- Lentidão exagerada no carregamento das páginas;
- O site fica inacessível;
- Os números de acessos ao site caem subitamente;
- Desaparecimento dos símbolos da certificação digital na URL(Cadeado fechado e o protocolo HTTPS);
- Surgimento de páginas com design diferente e conteúdos não relacionados ao nicho da empresa.
O que fazer quando um site WordPress é hackeado?
A primeira coisa é solicitar o auxílio de um especialista em WordPress; e nesse ponto, a Link Nacional, referência no suporte à este CMS pode ajudá-lo com maestria.
Entretanto, neste momento, cabe relembrar os motivos pelos quais um site pode ser hackeado: plugins maliciosos, programas desatualizados e invasão nos servidores de hospedagem. Pois bem, as ações a serem tomadas, quando ocorrem esses ataques, são justamente no sentido de tapar todas essas brechas.
Assim, se o seu site WordPress sofreu um ataque hacker, é necessário:
Passo 01
Passo 03
Definir novos dados (usuário e senha) de acesso ao painel administrativo do WordPress;
Passo 02
Utilizar o backup feito antes do ataque;
Passo 04
Fazer a correção de erros e manutenção do site;
Passo 05
E realizar outras práticas de segurança, que são também ações preventivas: evitar plugins desconhecidos, realizar backups, atualizações de programas e temas, utilizar um certificado SSL, usar um programa de ReCaptcha, etc.
Soluções para WordPress
Como dito no início do texto, o WordPress é o melhor CMS para criação de sites. E se você ainda não usa essa plataforma para gerenciar o conteúdo do seu site, chegou esse momento: Conte com as nossas soluções. Somos especialistas em WordPress. Criamos o site profissional da sua empresa, com um design responsivo e voltado a experiência dos usuários. Além disso, cuidamos da manutenção e segurança e oferecemos suporte 24 horas. Clique no link do banner abaixo e venha conhecer todas as nossas soluções para WordPress.
