Erros de segurança em sistemas de criação de sites online são fáceis de se conseguir. Os erros mais comuns são versões desatualizadas do próprio WordPress e seus componentes (plugins), além de falhas básicas de configuração.
O WordPress em si é bem seguro, mas não configurá-lo corretamente é fácil. Requer um pouco mais de cuidado de seus desenvolvedores e atenção de seus proprietários com desenvolvedores desleixados.
Erros mais comuns:
- Escolher um hospedagem ruim
- Não ter um plano de backup rotineiro
- Logins inseguros
- Não colocar um firewall para ataques remotos
- Versões inseguras de plugins, temas e core do WordPress
- Comunicação sem criptografia SSL
- Falta de monitoramento de logins e segurança
- Manter temas e plugins sem uso
- Instalação de programas de fontes desconhecidas ou piratas
Vamos explicar rapidamente os itens acima:
1 – Escolher uma hospedagem ruim
Nem todas as hospedagens de internet (hosting) são iguais e escolher apenas pelo preço pode custar muito mais, além de poder causar danos à reputação do proprietário.
Para diminuir custos, muitos usuários (e hospedeiros) acabam contratando uma hospedagem simples, mas colocando vários domínios, de forma que estes não estejam isolados um do outro. Se um dos domínios sofrer uma invasão, todos os demais domínios naquela hospedagem estarão comprometidos.
Como evitar isso?
Primeiro, desconfie de valores muito baixos. Desconfie do desenvolvedor que indica uma hospedagem para vários domínios sem alteração de preço. Isso indica compartilhamento, pois cada seção de hospedagem geralmente tem um custo. Se o desenvolvedor oferece 2 hospedagens pelo mesmo custo, isso geralmente indica que ele está hospedando tudo junto.
2 – Não ter um plano de backup rotineiro
Backups e segurança não parecem estar relacionados. Mas, acredite, ter um backup do WordPress após um ataque de virus tipo ransomware (sequestro de dados) realmente pode te poupar muito trabalho e dinheiro.
Com o backup rotineiro, você poderá voltar exatamente ao ponto anterior ao ataque ou problema que se iniciou no WordPress.
Como configurar um backup
Se seu site é atualizado diariamente, configure o backup para que ocorra diariamente. Se ele é alterado com menos regularidade, configure o backup semanal. Não recomendamos backups com 30 dias, pois pode ocorrer do último backup se corromper e ter que se recorrer a um backup mais antigo ainda, com 60 dias.
Existem vários plugins e serviços de backups, a maioria pagos, mas que na primeira necessidade de recuperação se paga.
3 – Logins inseguros
O primeiro ponto de ataque/invasão é o login do WordPress. Existem várias formas de dificultar uma invasão, tais como: bloquear excesso de tentativas de login em um determinado tempo; não usar e nem permitir usuário com nome admin, quando não utilizar muitos usuários, bloquear tentativa de acesso a usuários com nomes inexistentes, exigir senhas fortes, etc.
4 – Não colocar um firewall para ataques remotos
Os ataques remotos geralmente são feitos por “robôs” programados para seguir uma sequência programada de operações para tentar invadir ou derrubar um site ou servidor. Geralmente estas tarefas tem o objetivo de testar vários usuários e senhas conhecidas no menor tempo possível.
Um programa de firewall bloqueia tentativas repetitivas de um endereço específico ou até de usuários com nomes inválidos, evitando que o servidor saia do ar por excesso de tarefas.
Como evitar ataques de spam
Além dos ataque de força bruta e de tentativas de logins, outra praga automatizada é o envio de spam através do preenchimento de formulários por estes robôs. Para isso, um dos recursos mais comuns é o uso de proteção do Google reCAPTCHA, uma ferramenta gratuita que ajuda bastante nesta tarefa.
5 – Versões inseguras de plugins, temas e core do WordPress
Boa parte das invasões em sites é devido a componentes desatualizados. É comum, quando se encontra uma falha de segurança em um componente ou WordPress, os desenvolvedores serem alertados e providenciarem correção ou atualização. Só que esta atualização nem sempre é automática nos sites e é aí que a invasão ocorre. O invasor procura sites que utilizam o componente vulnerável que não tenha sido atualizado e aproveita a brecha para invadir.
Isso ocorre tanto no core (sistema principal) do WordPress, como em plugins e temas.
Outro problema comum é, para evitar comprar um componente ou tema, utilizar sites de terceiros que oferecem o download gratuito de tal componente. Só que, na maioria das vezes, a tal gratuidade inclui uma “presente” para que outros possam invadir seu site ou utilizá-lo para outros fins, tais como mandar spam ou atacar outros servidores.
Como evitar usar componentes vulneráveis
A primeira providência é manter os componentes (leia-se plugins e temas) atualizados. Se seu plugin não recebe atualizações há mais de um ano, desconfie que tem algo errado ou o desenvolvedor abandonou seu projeto.
Existem ferramentas que verificam todos os arquivos no site e checa estas vulnerabilidades.
6 – Comunicação sem criptografia SSL
Não criptografar a comunicação no seu site oferece um risco alto de segurança. A qualquer hora nós fazemos uma compra online e a comunicação geralmente carrega dados importantes pessoais e de cartão de crédito. Se esta informação trafegar sem segurança (sem o SSL, cadeadinho no topo da tela), o risco da informação ser interceptada e seus dados serem usados por terceiros é muito alto.
Os navegadores Chrome e Firefox fazem alertas bem chamativos caso o site não possua um certificado SSL instalado.
Como evitar comunicação não encriptada
Você precisará instalar um certificado SSL junto ao seu hospedeiro. Não deixe de solicitar ou comprar um. Caso o site utilize o sistema da Cloudflare, solicite a ativação do recurso.
7. Falta de monitoramento de logins e segurança
A falta de informações de log de um site é um grande risco de segurança. Monitorar e identificar movimentos fora do padrões ajuda a bloquear ataques, informa possíveis falhas de segurança e auxilia no reparo rápido de problemas de segurança.
Este trabalho é feito por bons plugins de segurança, tais como iThemes e Wordfence.
8 – Manter temas e plugins sem uso
Manter componentes desativados, tais como temas e plugins em seu site é o maior erro de segurança no WordPress. Cada parte de programa é um potencial ponto de invasão para um hacker.
Quando não estiver em uso um componente, apague-o completamente e desinstale plugins e temas não utilizados, para evitar este tipo de problema.
Também evite utilizar plugins abandonados, ou seja, aqueles que o desenvolvedor não faz uma atualização há mais de seis meses ou um ano.
9 – Instalação de programas de fontes desconhecidas ou piratas
Baixar e instalar componentes de fontes não seguras é um dos maiores erros de desenvolvimento de sites usando o WordPress.
Se você vê o desenvolvedor original vendendo seu trabalho, seja tema ou plugin, mas encontra o mesmo item sendo distribuído gratuitamente, desconfie. Geralmente é alterado propositalmente para permitir brechas de segurança para que invasores tomem conta de seu servidor/hospedagem para outras utilizações, tais como envio de spam ou ataques a outros servidores.
De nada adianta proteger a frente de sua casa com cercas elétricas, portões altos e cachorros perigosos se a cozinha e o quintal permanecerem abertas para a rua de trás. É como se fosse isso.
Como saber se meu componente é original
Primeiro verifique se o componente está disponível gratuitamente na plataforma do WordPress. Se não tiver é porque geralmente é versão paga. Procure o desenvolvedor original e confira outros sites de venda de componentes, tais como Envato/Themeforest, TemplateMonster, entre outras. Alguns plugins/temas tem versões gratuitas, mais limitadas e versões “PRO”, com mais recursos e pagos. Se oferecerem a versão PRO sem custo, desconfie!