6 dicas para resolver problemas de segurança do WordPress

Publicados: 2023-03-10
A Coalition Technologies pode ajudar sua empresa a corrigir vulnerabilidades do WordPress e resolver problemas de segurança do WordPress.

Índice

Bem-vindo ao CMS mais popular da Terra

O WordPress é um dos maiores alvos de ataques cibernéticos. Isso porque o WordPress é de longe o sistema de gerenciamento de conteúdo (CMS) mais popular do mundo: ele alimenta 43,1% de todos os sites e possui uma participação de mercado de CMS de 63,6%, de acordo com a W3Techs. Para comparação, o segundo lugar é Shopify, que alimenta 3,8% dos sites e tem uma participação de mercado de CMS de 5,6%.

Sua plataforma gratuita de comércio eletrônico, WooCommerce, também é um grande player por si só - sendo a solução de comércio eletrônico de código aberto mais popular do mundo.

Isso levanta uma questão óbvia: o que você deve fazer quando se trata de proteger o WordPress em seu site e prevenir ou corrigir vulnerabilidades do WordPress? De nossas próprias práticas recomendadas de segurança cibernética na Coalition Technologies, aqui estão nossas 6 principais dicas para resolver problemas de segurança do WordPress.

Por que escolher o WordPress?

O WordPress é extremamente flexível e poderoso e, como é de código aberto, também é muito econômico e popular. Com o WordPress sendo a maior plataforma da web, há muitos especialistas em segurança cibernética disponíveis para ajudar na segurança de um site WordPress por uma fração do custo de uma plataforma personalizada.

1. Proteja suas credenciais de login

O passo mais poderoso que você pode tomar para resolver os problemas de segurança do WordPress é não ter esses problemas em primeiro lugar - e proteger suas credenciais de login pode reduzir as violações de dados em mais da metade.

De acordo com a Verizon em seu relatório de investigações de violação de dados de 2021, 61% das violações de dados envolveram o uso de credenciais de login de alguma forma. Isso geralmente acontece por causa de:

  • roubo de senha
  • ataques de força bruta
  • Uso indevido interno de credenciais

Proteja-se contra roubo de senha

Os hackers gostam de buscar as frutas mais fáceis, e corrigir as vulnerabilidades do WordPress começa com a eliminação de todas as frutas mais fáceis antes que os hackers possam alcançá-las.

  • Atualize todas as senhas regularmente. 90 dias (uma vez por trimestre) é um bom padrão.
  • Use senhas exclusivas e nunca as reutilize. A PurpleSec diz que 25% dos funcionários usam a mesma senha para tudo, o que deve incomodar qualquer um.
  • Armazene as senhas corretamente. O WordPress lida com tudo com segurança, mas se seus funcionários estiverem anotando suas senhas em notas adesivas ou no Google Docs, elas podem vazar.
  • Considere fazer as senhas expirarem. Isso força as pessoas a atualizar suas senhas, mas também pode levar alguns funcionários a ficarem descuidados ao armazenar suas senhas. Resolver os problemas de segurança do WordPress a longo prazo significa mitigar essa vulnerabilidade com suas políticas de senha.

Fortalecer contra ataques de força bruta

Os hackers também podem usar ataques de força bruta para roubar credenciais. Isso significa adivinhar senhas aleatoriamente, milhões de vezes, até encontrar uma permutação que funcione.

  • Limite o número de tentativas de login permitidas. Um bom plug-in de segurança do WordPress gerenciará isso para você, além de corrigir as vulnerabilidades do WordPress à medida que forem descobertas.
  • Use senhas exclusivas. Como antes, resolver problemas de segurança do WordPress significa usar senhas exclusivas e usá-las apenas uma vez.
  • Use senhas robustas. As senhas devem ter pelo menos 8 caracteres e, idealmente, envolverão números, letras e caracteres especiais. Aqui estão algumas dicas. Você também pode usar senhas memoráveis, o que ajuda a reduzir problemas de memória. O Centro Nacional de Segurança Cibernética do governo do Reino Unido endossa a ideia de três palavras aleatórias – embora quatro ou cinco palavras seja ainda melhor.
  • Bloqueie países ou IPs específicos que estão gerando muitas tentativas de login com falha. Em particular, impeça que essas fontes acessem contas confidenciais com acesso a painéis de administração usando firewalls.

Utilize as políticas de proteção de senha de práticas recomendadas

Na Coalition Technologies, trabalhamos incansavelmente para manter as credenciais de nossos clientes seguras. Ao longo dos anos, construímos um histórico orgulhoso de políticas de proteção de senha de práticas recomendadas. Da mesma forma, resolver problemas de segurança do WordPress requer ter suas próprias boas políticas de proteção de senha. Aqui estão algumas diretrizes para corrigir vulnerabilidades do WordPress no nível de recursos humanos:

  • Limite o acesso de login conforme necessário. Dê aos funcionários apenas o nível mínimo de permissões de que precisam e apenas acesso às guias e sistemas de que precisam. Limite as contas “admin” com acesso universal ao mínimo possível de pessoas.
  • Implante um treinamento eficaz para os funcionários. Às vezes, o uso indevido de senhas por funcionários insatisfeitos é malicioso (nesse caso, você pode limitar o dano limitando o acesso conforme mencionado acima). Porém, na maioria das vezes, esse uso indevido não é intencional, e a solução de problemas de segurança do WordPress com vazamentos de senha pode ser evitada com um bom treinamento. Certifique-se de que seu processo de integração inclua um módulo sobre segurança de senha e considere a implantação de módulos de atualização periódica a cada 12 a 24 meses.

2. Instale um bom plug-in de segurança do WordPress e siga as práticas recomendadas

O núcleo do WordPress é muito seguro, com talentos de cibersegurança de classe mundial trabalhando para manter milhões de sites seguros. Mas o WordPress também permite o uso de plugins. Esses plug-ins expandem massivamente a funcionalidade do WordPress, mas também introduzem novas vulnerabilidades de segurança em potencial.

No entanto, existe toda uma indústria criada para proteger os plug-ins do WordPress, e esses produtos são eles próprios plug-ins do WordPress. Conhecidos como “plugins de segurança”, esses são utilitários obrigatórios para resolver problemas de segurança do WordPress e corrigir vulnerabilidades do WordPress em tempo real. Sua primeira parada após instalar ou atualizar o software principal do WordPress deve ser escolher um bom plug-in de segurança do WordPress e configurá-lo corretamente.

Nossas recomendações de plugins de segurança

Existem muitos bons plugins de segurança do WordPress por aí. Nossos clientes contam com a arquitetura do WordPress para milhões de dólares em receita. A segurança do site é absolutamente crítica.

Quando fazemos parceria com nossos clientes para oferecer nossos extensos serviços de web design WordPress, recomendamos particularmente esses dois plugins para resolver problemas de segurança do WordPress:

  • Segurança Wordfence – Firewall, Verificação de Malware e Segurança de Login
  • Defender Security – Verificador de malware, segurança de login e firewall

Usamos rotineiramente esses plug-ins de segurança para nossos clientes ao gerenciar seus sites WordPress.

Garanta a configuração adequada do plug-in de segurança

Os especialistas em pesquisa de palavras-chave da Semrush recomendam estas etapas críticas para resolver preventivamente os problemas de segurança do WordPress:

  • Limite o número de tentativas de login permitidas. Já cobrimos este, mas vale a pena repetir como uma excelente maneira de corrigir preventivamente as vulnerabilidades do WordPress.
  • Oculte sua página de login da exibição pública. Os visitantes do seu site não devem conseguir acessar sua página de login por meio da navegação no site ou adivinhando o URL. O URL da página de login deve ser obscuro e sem links para outras páginas.
  • Remova as páginas de back-end, admin e carrinho de compras da indexação do mecanismo de pesquisa. Essas páginas são obviamente muito mais vulneráveis ​​a hackers, portanto, nesse caso, resolver os problemas de segurança do WordPress significa manter essas páginas fora dos resultados de pesquisa.
  • Faça backup do seu site regularmente. Você pode fazer isso manualmente ou automaticamente, mas faça isso regularmente. Qualquer coisa que não tenha backup deve ser considerada perdida - porque é isso que acontecerá em algo como um ataque de ransomware. Os backups devem ser alojados em um servidor diferente e usar credenciais de acesso diferentes. Quando possível, também é inteligente manter backups “frios” locais. Isso é especialmente importante para empresas menores.

3. Examine cuidadosamente os temas e plugins antes de instalar

resolvendo-problemas-de-segurança-wordpress-com-plugins-de-qualidade

Quando se trata de outros Plugins WordPress (além de plugins de segurança) e Temas WordPress, é fundamental entender que você está lidando com uma gama muito ampla de produtos e qualidade. Qualquer boa estratégia para corrigir vulnerabilidades do WordPress significa fazer muita diligência na auditoria desses aplicativos.

Muitos plugins e temas são sólidos e oferecem funcionalidade essencial e opções de layout que seu site precisa para florescer. Outros plugins e temas são mal projetados e vulneráveis ​​a exploits de segurança por hackers. E alguns são totalmente malware.

O WordPress está vigilante para resolver problemas de segurança do WordPress com plugins e temas, bloqueando malware e spam, mas às vezes alguns desses ovos ruins passam. Aqui estão algumas práticas recomendadas para auditar plug-ins e temas que lhe interessam:

  • Um número de download alto geralmente é mais seguro. O malware é detectado logo no início, e os temas e plug-ins ruins nunca se tornam populares; portanto, apenas o que funciona provavelmente acumula uma alta contagem de downloads.
  • Um grande número de avaliações positivas de usuários é um indicador confiável. Se muitas pessoas deram a um plugin ou tema uma classificação de estrelas perfeita ou quase perfeita, isso é um bom sinal. Mas certifique-se de ler algumas das críticas medianas e negativas também, para ver que tipos de reclamações as pessoas têm.
  • Pesquise na web por empresas e organizações de notícias falando sobre sua experiência usando esses plug-ins. Quando se trata de resolver problemas de segurança do WordPress e corrigir vulnerabilidades do WordPress para o seu negócio, as avaliações dos usuários podem não ter a profundidade ou a credibilidade que você está procurando. Portanto, acesse a Internet e procure nomes nos quais você confia. Veja o que eles estão dizendo sobre esses aplicativos.

Onde você deve obter plugins?

Em caso de dúvida, escolha plugins WordPress de fontes respeitáveis:

  • O repositório oficial de plug-ins do WordPress é sua melhor aposta e, se você obtiver apenas plug-ins de uma fonte, obtenha-os aqui.
  • Mercados de terceiros confiáveis ​​para plug-ins, por exemplo, CodeCanyon, são outra boa fonte de plug-ins. Os mercados respeitáveis ​​colocam muita ênfase na solução de problemas de segurança do WordPress porque sua reputação depende disso.
  • Sites de desenvolvedores de plug-ins WP, como o WPMU DEV, são outra fonte de plug-ins de alta qualidade. Essas comunidades de desenvolvedores de plug-ins WordPress de carreira se reúnem para aumentar a visibilidade e a confiabilidade de seus produtos.

Bons plug-ins têm boas equipes de desenvolvimento e as vulnerabilidades nesses plug-ins geralmente são corrigidas rapidamente pelos desenvolvedores ou agências independentes que os criaram. E quando não são, geralmente existem muitos plugins alternativos diferentes que oferecem a mesma funcionalidade com segurança.

4. Atualize tudo e reavalie

Deixar seu software ficar para trás é fácil por causa do tempo que leva para atualizar (e o tempo que leva para consertar coisas quebradas por atualizações), mas isso é terrível porque muitas dessas atualizações contêm patches para corrigir vulnerabilidades do WordPress ou vulnerabilidades em plugins do WordPress ou temas. É por isso que organizações como o Search Engine Journal recomendam que você mantenha seus plugins e temas atualizados.

Não há como adoçar: esta é uma das nossas dicas mais demoradas para resolver problemas de segurança do WordPress. Mas você precisa dedicar tempo, porque, caso contrário, estará abrindo a porta para os invasores cibernéticos.

Isso inclui o software principal do WordPress, a versão do PHP em execução e todos os temas e plug-ins. TUDO precisa ser atualizado quando novas atualizações estiverem disponíveis - e, quando você o atualizar, todos os plug-ins e funções afetados precisam ser auditados novamente para garantir que tudo esteja funcionando corretamente.

Alocar mão de obra contínua

Acompanhar as atualizações principais do WordPress e as atualizações de plugins deve fazer parte da descrição do trabalho de alguém. Se resolver problemas de segurança do WordPress por meio de atualizações preventivas não está no radar de alguém, esse é o tipo de coisa que tende a ser esquecido.

A atualização de software e a correção de vulnerabilidades do WordPress não geram vendas diretamente, mas atuam para evitar custos potencialmente catastróficos e devem ser orçados de acordo. Certifique-se de preparar sua empresa para o sucesso, garantindo que seu administrador de sistema ou equipe de TI tenha largura de banda para ficar por dentro das atualizações.

Na Coalition Technologies, nos mantemos atualizados como parte de nossa estratégia de sucesso para preparar clientes para um crescimento sustentável de longo prazo.

Cuidado com as atualizações

Uma coisa a saber sobre a solução de problemas de segurança do WordPress por meio da instalação diligente de atualizações à medida que são lançadas: o WordPress revisa todos os plug-ins enviados para seu repositório oficial, a fim de filtrar spam, detectar erros graves comuns e garantir que os plug-ins estejam em conformidade com o WordPress diretrizes.

No entanto, uma vez que um plug-in é aprovado e listado, o WordPress não tem a capacidade de auditar todos esses plug-ins de terceiros novamente sempre que um plug-in é atualizado. A base de código de um plug-in pode e geralmente muda significativamente após a revisão inicial, e o WordPress não saberia.

Isso geralmente acontece por motivos legítimos, por exemplo, atualizações de UX, correção de vulnerabilidades e bugs do WordPress e adição de novos recursos. Mas os hackers podem manipular o sistema colocando uma versão inicial de seu plug-in que seja aprovada e, em seguida, adicionando malware com atualizações subsequentes. Também pode acontecer quando um plug-in existente é abandonado ou vendido e um terceiro mal-intencionado o assume e adiciona malware. Isso significa que parte do trabalho de resolver os problemas de segurança do WordPress recai sobre você.

Sempre revise as notas de atualização quando um plug-in for atualizado e não se apresse em ser um dos primeiros a adotar sem verificação externa: veja o que os outros estão dizendo primeiro.

Faça uso dos serviços de pesquisa de vulnerabilidades

Você também pode usar serviços como o WPScan Vulnerability Database, que pode ajudá-lo a resolver problemas de segurança do WordPress, avisando com antecedência sobre riscos de segurança recém-descobertos.

Se você fizer parceria com a Coalition Technologies para gerenciar seu site WordPress, nós fazemos todo o nosso próprio tema WordPress e verificação de plug-ins e assumimos a responsabilidade de corrigir as vulnerabilidades do WordPress às ​​quais seu site está exposto, dando-lhe tranquilidade e descarregando uma tarefa demorada .

5. Identificar ataques de phishing

Uma das principais fontes de vulnerabilidade de segurança cibernética é o phishing e, embora seja um fenômeno em toda a Internet, ainda deve ser discutido no contexto dos casos de uso do WP e na solução de problemas de segurança do WordPress. Os phishers muitas vezes falsificam o próprio WordPress ou falsificam e-mails de clientes. A empresa de segurança cibernética Varonis tem uma boa cartilha sobre como o phishing funciona.

Qualquer coisa com hiperlinks que você não controla pode ser um ataque de phishing—sites, documentos digitais, etc.—mas especialmente e-mail.

Cuidado com o e-mail recebido

Quase todos os ataques de phishing começam em e-mail. (É aproximadamente 90% de acordo com o CyberTalk.org.) Isso significa que as empresas precisam ensinar aos funcionários as melhores práticas de autodefesa por e-mail. Não se trata tanto de corrigir as vulnerabilidades do WordPress, mas de impedir que o comportamento de sua equipe se torne um vetor para ataques de segurança cibernética.

Certifique-se de ter os registros DMARC e SPF adequados configurados para o seu DNS, o que impedirá que as pessoas utilizem seu domínio em e-mails porque eles acabarão no lixo ou nunca serão enviados, dependendo da política DMARC definida .

Proteja-se contra links falsos

Os phishers usam links falsos, que às vezes são disfarçados para se parecerem com sites comuns, como o Google. Um método para resolver problemas de segurança do WordPress protegendo-o contra phishing é alterar os cabeçalhos de segurança das opções X-Frame do seu site, o que não permitirá que seu site seja usado em um iframe por sites externos.

Use URLs reais

Por fim, não use encurtadores de link, que não revelam ao usuário o site de destino final.

6. Proteja sua rede

Outra dica importante para resolver problemas de segurança do WordPress é proteger sua rede. Nesta era pandêmica de aumento do teletrabalho e de locais de trabalho globais, as empresas transmitem rotineiramente informações críticas pela Internet, criando muitas oportunidades para vulnerabilidades de segurança.

O WordPress é uma plataforma muito flexível, o que significa que você pode corrigir métodos comumente exploráveis ​​com trechos de código simples encontrados online, como desabilitar o XMLRPC e exigir autenticação para acessar o WP-JSON. Corrigir as vulnerabilidades do WordPress geralmente é tão simples quanto instalar e utilizar os plugins adequados.

Além disso, opções de autenticação multifator estão disponíveis com o uso de plugins do WordPress.

Pratique Prontidão e Prevenção Sólida

Os firewalls de aplicativos da Web, como Cloudflare e muitos outros, projetaram especificamente seu WAF para proteger aplicativos WordPress de diferentes tipos e padrões de ataque comuns. Muitos provedores de hospedagem oferecem um serviço de backup diário gratuito, como o WP Engine.

Faça parceria com a Coalition Technologies para design e desenvolvimento do WordPress

Na Coalition, oferecemos serviços completos de design e desenvolvimento do WordPress, independentes ou em conjunto com nossos premiados serviços de SEO e marketing digital. Tudo o que discutimos hoje sobre como solucionar problemas de segurança do WordPress e corrigir vulnerabilidades do WordPress está incluído em nossos serviços quando você faz parceria conosco.

Consulte nossas Perguntas frequentes sobre os serviços do WordPress. Adoraríamos trabalhar com você! Entre em contato conosco para discutir as necessidades do seu site.