Como não ser hackeado no wordpress

Como proteger sites em WordPress

Um guia de como proteger sites em WordPress

Antes de mais nada, se precisa proteger sites em WordPress ou você esta com problemas em seu WordPress, saiba que nossos especialistas em WordPress podem ajudar! solicite o contato de um profissional agora mesmo, e saiba como proteger sites!

Você construiu o site dos sonhos de seus clientes, agora não permita que hackers assumam o controle e o transformem em um pesadelo. Nosso guia “como não ser hackeado” mostra como …

Quando os hackers começam a invadir as empresas de segurança que nos protegem contra os hackers , você sabe que é hora de levar a segurança a sério!

Especialmente quando você considera estatísticas como estas:

  • Há um ataque de hacker a cada 39 segundos.
  • 95% das violações de segurança cibernética são devidas a erro humano.
  • 64% das empresas sofreram ataques baseados na web.
  • 43% dos ataques cibernéticos visam pequenas empresas.

Fonte: Cybint

Sim … mas nem todo hacking é feito por meio de sites

Verdade, mas aqui está a coisa …

A maioria das ameaças à segurança é multidimensional

Isso significa que não importa quanto tempo, dinheiro e esforço você investe para construir e hospedar um site com segurança, há muitos fatores que podem ameaçar a segurança da web e permitir que hackers destruam o seu site, logo como proteger sites em WordPress com tamanha abrangência de campo?

Bom, para isso dê uma olhada neste fluxograma para ver o que quero dizer …

As ameaças à segurança são multidimensionais.

As ameaças à segurança são multidimensionais.

O texto acima é minha versão condensada do modelo de classificação de ameaças de segurança mostrado abaixo …

Ameaças multidimensionais podem afetar a segurança do seu site. (Fonte: ScienceDirect.com, Classificação de Ameaças à Segurança em Sistemas de Informação .)

Ameaças multidimensionais podem afetar a segurança do seu site. (Fonte: ScienceDirect.com, Classificação de Ameaças à Segurança em Sistemas de Informação .)

Como você pode ver no diagrama acima, as ameaças à segurança da web podem vir de:

  • Fontes externas (por exemplo, usuários não autorizados e desastres naturais) ou
  • Fontes internas (por exemplo, um funcionário com acesso de administrador ao site, servidor ou conta de rede).

Adicione agentes humanos , ambientais e tecnológicos juntamente com motivação maliciosa ou não maliciosa e intenção acidental ou não acidental , e as ameaças à segurança representadas por qualquer combinação desses fatores são ainda mais multiplicadas.

Para simplificar …

A segurança da Web é extremamente complexa! então como proteger sites em WordPress?

Uma falha em qualquer parte do sistema pode ameaçar a segurança do todo.

Mesmo em situações em que os invasores cibernéticos não estão diretamente envolvidos (por exemplo, desastres naturais), essas ameaças podem criar pontos cegos de segurança que podem prejudicar seu site e levar a:

  • Destruição de informações – por exemplo, exclusão de arquivos ou dados importantes.
  • Corrupção de informações – por exemplo, tabelas e arquivos de banco de dados corrompidos.
  • Divulgação de informações – por exemplo, expor dados confidenciais a usuários não autorizados ou ao público em geral.
  • Roubo de serviço – por exemplo, roubo ou uso indevido de dados, roubo de recursos do servidor, etc.
  • Negação de serviço – por exemplo, um ataque de negação de serviço distribuído (DDoS).
  • Elevação de privilégio não autorizada – por exemplo, explorar uma falha no sistema para obter privilégios de administrador para o site ou rede,
  • Uso ilegal – por exemplo, usar o site para atacar outros sites, espalhar vírus, executar golpes, roubo de identidade, etc.

Para evitar que sites sejam hackeados, danificados ou interrompidos, todos os fatores de ameaça nessa besta de segurança multidimensional precisam ser considerados.

 

Manter as ameaças de segurança afastadas é difícil, especialmente quando você está lutando contra uma fera multidimensional!

Manter as ameaças de segurança afastadas é difícil, especialmente quando você está lutando contra uma fera multidimensional!

Agora que entendemos a enormidade do que estamos tratando, vamos restringir como lidar com essa besta da segurança na web.

Primordialmente vamos nos concentrar em como evitar que seus sites sejam invadidos, abordando as seguintes áreas:

  1. Mitigando riscos de segurança na web
  2. A defesa é o seu único plano de ataque
  3. Protegendo 95% das vulnerabilidades contra hackers

1. Reduzindo riscos de segurança na web

Muitas coisas podem dar errado fora de seu site e criar uma oportunidade para que hackers entrem em seu site.

Essas coisas incluem:

  • Serviços externos – de quem e onde você compra ou terceiriza serviços, incluindo hospedagem, plug-ins, temas, outros desenvolvedores de sites, etc.
  • Processos e métodos usados ​​para criar, proteger e gerenciar sites.
  • Vulnerabilidades humanas – conhecimento, compreensão, experiência e nível de habilidade inadequados de questões relacionadas à segurança.

Mitigação de riscos de serviços externos

Como desenvolvedor WordPress, seus principais provedores de serviço incluem o seguinte:

  • Sua empresa de hospedagem e data centers.
  • Desenvolvedores de plug-ins e temas de terceiros.
  • Plataformas e software integrados de terceiros.
  • Desenvolvedores terceirizados, empreiteiros, etc.

Data centers

As empresas de webhosting normalmente possuem ou alugam espaço para hospedar seus servidores em vários data centers localizados ao redor do mundo.

Todo o hardware, dados e processamento de informações da sua empresa de hospedagem ocorre dentro dos data centers, por isso é importante que os data centers levem a segurança física e digital a sério para mitigar todas as ameaças e riscos de ataques e danos, e para garantir a proteção e segurança de os servidores que hospedam seus sites e dados.

A maioria dos desenvolvedores escolhe sua empresa de hospedagem na web e o host escolhe seu (s) data center (s). Ambas as empresas de hospedagem e centros de dados, no entanto, têm a responsabilidade compartilhada de garantir a segurança do site.

As responsabilidades do data center para garantir a segurança incluem o gerenciamento de coisas como:

  • Controles ambientais – o equipamento eletrônico gera calor que pode causar falhas, portanto, ele precisa operar em uma temperatura segura.
  • Fontes de alimentação de reserva – os servidores precisam continuar funcionando mesmo se a rede elétrica principal cair inesperadamente.
  • Empregar métodos avançados de segurança – isso inclui sistemas de vigilância CCTV e tecnologias para garantir que hardware e pessoas não entrem ou saiam do centro sem aprovação, como o uso de salas de armadilha com biometria e acesso de segurança limitado, portas de entrada única (apenas uma pessoa é permitida em uma vez), gaiolas de servidor que encerram, protegem e segregam servidores com dados e equipamentos confidenciais, detectores de metal, etc.
  • Instalações de segurança – isso inclui o emprego de guardas e a instalação de medidas de proteção, como vidro à prova de bala, barreiras de impacto de alto impacto, proteção contra intempéries, sistemas de supressão de incêndio, etc.

Sua empresa de hospedagem

Focar em áreas como velocidade e confiabilidade do servidor ou recomendar empresas com base em preços de planos, comissões de afiliados e incentivos de revendedor sem priorizar a segurança pode colocar os sites de seus clientes em risco.

Fatores de desempenho e benefícios econômicos não devem ser desconsiderados, mas também é importante avaliar o compromisso do host com a segurança.

95% dos registros violados em 2016 vieram de três setores e tecnologia foi um deles (governo e varejo foram os outros). As empresas que armazenam um alto nível de informações de identificação pessoal (PII) em seus registros são alvos muito populares. Portanto, é importante saber como sua empresa de hospedagem armazena dados e quais medidas de segurança ativas e passivas estão em vigor para protegê-los.

Algumas opções de hospedagem são mais seguras do que outras. Escrevemos um guia detalhado sobre os diferentes tipos de hospedagem , incluindo quais tipos são mais seguros e como escolher o tipo certo de hospedagem para suas necessidades.

Compreender as redundâncias de rede na infraestrutura do seu host também é importante. O que acontece se um servidor de rede ou um roteador falhar ou um componente for violado e invadido? Como seus sites são isolados e protegidos de incidentes de rede e interrupções de serviço causados ​​por violações de segurança?

Ao avaliar um host, descubra que tipo de medidas de segurança são incorporadas ao gerenciamento de hospedagem e aos servidores. Seu plano inclui firewalls do lado do servidor que proativamente evitam que códigos maliciosos entrem na rede (por exemplo, WAF ), recursos de segurança para criptografar e transmitir dados como SSL , SFTP e CDN ?

E quanto à varredura de arquivos, IPs dedicados, autenticação de dois fatores (2FA), backups noturnos e restaurações com um clique e uma área de teste segura para desenvolver sites de clientes, realizar atualizações de manutenção e instalar ou testar novos aplicativos sem deixar seus sites vulneráveis ​​e exposto ao ataque?

Além disso, se apesar de todas as medidas de segurança, o seu site acaba sendo comprometido, que tipo de garantias de segurança e suporte o seu host oferece?

Aqui na 2WP, por exemplo, não oferecemos apenas hospedagem WordPress gerenciada acessível, rápida e segura , mas também fornecemos suporte para todos os problemas relacionados ao WordPress (incluindo segurança) e vamos ajudar você limpa seus sites hackeados. Se você deseja realmente proteger seus sites de hackers, não deve esperar nada menos do que um compromisso total com a segurança da web de seu provedor de hospedagem.

Mitigação de riscos de fontes terceirizadas

Embora o WordPress seja uma plataforma segura , é difícil evitar o uso de plug-ins, temas e integrações de terceiros com outras plataformas.

Qualquer vulnerabilidade em uma solução de terceiros pode abrir a porta para hackers e levar a um site comprometido definitivamente.

Para minimizar o risco ao usar soluções de terceiros, baixe apenas plug-ins de fontes (e temas ) confiáveis, use plataformas de terceiros confiáveis ​​em suas integrações de site e sempre mantenha seu site WordPress atualizado .

Um excelente recurso para verificar antes de instalar qualquer solução de terceiros é o National Vulnerability Database .

Por exemplo, enquanto escrevia este artigo, fiz uma pesquisa rápida no banco de dados em “WordPress” e mais de 3.000 resultados apareceram, muitos listando vulnerabilidades em plug-ins e temas do WordPress (também fiz uma pesquisa em “temas do WordPress” que trouxe 180 + vulnerabilidades do tema).

 

Pesquise o National Vulnerability Database em busca de vulnerabilidades em plug-ins, temas e software de terceiros.

Pesquise o National Vulnerability Database em busca de vulnerabilidades em plug-ins, temas e software de terceiros.

(Como um ponto de interesse, quando escrevemos um artigo sobre a busca de vulnerabilidades do WordPress quase uma década atrás, examinamos oito anos de dados anteriores e descobrimos que as vulnerabilidades de segurança relatadas para o núcleo do WordPress estavam caindo, mas os problemas relatados para terceiros os plug-ins estavam em alta. Pretendemos revisitar isso em um futuro próximo e relataremos nossas descobertas aqui, então fique de olho neste espaço!)

Mitigação de riscos de processos internos

Para manter as coisas simples, vamos dividir todos em dois grupos:

  1. Pessoas para as quais você terceiriza serviços (por exemplo, outros desenvolvedores da web, funcionários remotos, etc.)
  2. Pessoas para as quais você fornece serviços (por exemplo, seus clientes) – falaremos sobre esse grupo mais tarde.

Suponha que você seja proprietário de uma agência de desenvolvimento web e emprega / terceiriza outras pessoas. Cada pessoa em sua empresa é uma ameaça potencial à segurança. Seus parceiros, funcionários, contratados terceirizados, trabalhadores remotos … e – da perspectiva do seu cliente – até você!

Por exemplo:

  • Você terceiriza o trabalho técnico para alguém com habilidades de alto nível que ninguém mais consegue entender ou descobrir o que está fazendo.
  • Alguém em sua equipe com acesso à rede foi descuidado com uma senha ou anexo de e-mail.
  • Um trabalhador remoto com acesso aos seus sistemas e dados está trabalhando em um local wi-fi desprotegido.

Na seção de introdução, indiquei que:

  • 64% das empresas sofreram ataques baseados na web.
  • 43% dos ataques cibernéticos visam pequenas empresas.

Faça as contas e você perceberá rapidamente que alguns de seus clientes provavelmente sofrerão um ataque cibernético.

Por exemplo, se você estiver procurando por 10 sites de clientes de pequenas empresas, há uma boa chance de que 2 ou 3 desses sites sejam alvos de hackers (10 x 64% = 6,4 sites x 43% = 2,75 sites).

Para reduzir a probabilidade de sua empresa ser responsável pela queda dos sites dos clientes, é importante desenvolver e implementar políticas e diretrizes de segurança interna cobrindo áreas como:

  • Senhas e contas – Isso inclui especificar com que frequência as senhas devem ser alteradas, definir senhas e contas que expiram, revogar o acesso para funcionários que saem ou são demitidos, arquivamento, armazenamento e exclusão de dados obsoletos e informações confidenciais, etc.
  • Uso de equipamento BYOD (Traga seu próprio dispositivo) – Você permite que funcionários terceirizados ou funcionários remotos usem seus próprios telefones e laptops? Em caso afirmativo, quais medidas de segurança você pode implementar para armazenar e lidar com dados proprietários e informações do cliente em seus dispositivos com segurança? O que acontecerá se eles excluirem dados importantes acidentalmente ou de forma maliciosa de seus sistemas ou servidor? Você tem uma política de gerenciamento de dispositivos móveis (MDM) que lhe dá o poder de limpar seus dispositivos remotamente se seus dispositivos forem roubados ou perdidos?
  • Treinamento – Se você empregar funcionários remotos, certifique-se de que eles saibam como fazer login com segurança e trabalhar remotamente. Além disso, considere a implementação de programas de treinamento para funcionários, especialmente aqueles em funções que são vulneráveis ​​a ataques cibernéticos, e dê-lhes opções para desenvolver habilidades preventivas e defensivas e entender as melhores práticas de segurança.
  • Revisões e avaliações periódicas – Assim como o software, a segurança do seu negócio também precisa ser revisada, revisada e atualizada regularmente. Realize avaliações periódicas de suas práticas e políticas de segurança interna para identificar e corrigir quaisquer deficiências.

Para dicas adicionais sobre a implementação de práticas de segurança em sua empresa ou ambiente de trabalho, verifique esta grande lista de dicas de segurança cibernética .

Agora que examinamos as ameaças que podem permitir que hackers entrem em sua empresa, vamos dar uma olhada em como nos proteger de ameaças que podem permitir que hackers entrem em seu site.

2. A defesa é o seu único plano de ataque para proteger sites em WordPress

Já fez tudo o que podia para mitigar os riscos de segurança de ameaças externas. Escolheu um host que leva a segurança a sério e executa servidores em um data center mais seguro do que o Fort Knox. Só instala plug-ins e temas de terceiros de fontes confiáveis ​​e se integra com plataformas de terceiros estabelecidas. Seu local de trabalho implementou as melhores práticas de segurança.

Tudo o que resta agora é construir sites WordPress incríveis para seus clientes e ter certeza de que eles são fortalezas inexpugnáveis ​​para os hackers.

Considere esta citação da Sense of Security , uma empresa líder em segurança de TI na escalada da corrida armamentista da cibersegurança:

Assim como os avanços nas tecnologias ajudam os profissionais de segurança a identificar e neutralizar ameaças potenciais com mais eficiência, também fornece as ferramentas para que os hackers realizem ataques maiores e mais complexos. E esses ataques estão evoluindo mais rápido do que nossas defesas podem acompanhar.

A segurança da Web não é apenas um caso clássico de mocinhos contra bandidos , mas também de mocinhos treinando bandidos para se tornarem ainda mais malvados!

Como um desenvolvedor web focado na construção de sites e não em “armas de segurança cibernética”, o melhor que você pode fazer é tentar se manter atualizado e se defender da melhor maneira possível.

Quanto mais você souber e entender sobre questões relacionadas à segurança, melhor será capaz de defender sites de ataques cibernéticos, hackers, bots maliciosos, etc.

Para ajudá-lo com isso, escrevemos muitos artigos detalhados e tutoriais passo a passo sobre a segurança do WordPress e como proteger sites do WordPress.

Portanto, nesta seção, fornecerei apenas uma lista de artigos e tutoriais que o transformarão em um profissional de segurança do WordPress.

Se você for um novo desenvolvedor WordPress e quer proteger sites em WordPress

Se você está apenas começando como um desenvolvedor web, recomendamos conferir alguns de nossos tutoriais de hospedagem relacionados à segurança, como compreender as permissões de arquivo do servidor , SSL e WAF .

Além disso, certifique-se de entender por que os hackers desejam atingir seu site WordPress e  como verificar se há malware em um site WordPress .

Se o seu cliente tem um orçamento pequeno, verifique como proteger um site WordPress gratuitamente .

Todavia também recomendamos obter essas correções de vulnerabilidade de segurança do WordPress rápidas e fáceis em seu cinto de ferramentas.

Depois de cobrir o básico, é hora de …

Torne-se um WordPress Security Pro

Primeiramente comece verificando nosso Guia definitivo para proteger sites em WordPress .

Como parte do desenvolvimento de sua experiência em segurança, certifique-se de também se familiarizar com recursos como nosso guia de proteção e lojas segurças no WordPress.

E se o seu site foi hackeado, certifique-se de entrar em contato com nossos especialistas ou seguir nosso blog para efetuar sua limpeza!

Use o Defender para Smart WordPress Security

Como dito anteriormente,

“Há um ataque de hacker a cada 39 segundos.”

Se você não acredita nessas estatísticas, pode confirmar por si mesmo instalando nosso plugin de segurança para WordPress, Defender .

O Defender envia uma notificação e registra cada vez que alguém tenta invadir seu site.

 

Os hackers continuam batendo e o Defender continua bloqueando.

Os hackers continuam batendo e o Defender continua bloqueando.

O Defender bloqueia hackers em todos os níveis e adiciona camadas de proteção ao seu site. Com apenas alguns cliques, seu site WordPress está protegido contra ataques de força bruta, injeções de SQL, XSS de script entre sites e muitas outras vulnerabilidades e hacks do WordPress.

O Defender também executa varreduras de malware e varreduras de antivírus e fornece bloqueio de IP, firewall, registros de atividades, registros de segurança e segurança de login de autenticação de dois fatores.

E essa é apenas a versão gratuita do plugin.

3. Protegendo 95% das vulnerabilidades contra hackers

Como afirmei anteriormente,

“95% das violações de segurança cibernética são causadas por erro humano.”

A princípio escolher um host super seguro não é um problema. (Você pode fazer isso com um clique aqui .)

Implementar processos de segurança interna em sua empresa exige algum esforço, contudo não é um problema.

Reforçar a segurança do WordPress … também não é um problema. Você pode encontrar tudo o que precisa saber para tornar o WordPress impenetrável para hackers aqui neste site.

O principal desafio quando se trata de prevenir hackers é contudo como garantir que as pessoas não cometam erros quando “errar é humano”.

Se você conseguir descobrir isso, terá protegido seus clientes de 95% de todas as vulnerabilidades de segurança na web e eliminado os hackers de forma permanente. 😉

Até que isso aconteça, no entanto, você só precisa ser paciente com as pessoas. Ajude-os a implementar boas práticas de segurança e desenvolver melhores hábitos de segurança online, começando com coisas básicas como segurança de senha, evitando golpes de phishing de e-mail, etc.

Além disso, incentive seus clientes a implementarem boas políticas de segurança em seus locais de trabalho e treine-os e eduque-os da melhor maneira possível sobre as maneiras de se tornarem mais conscientes das ameaças e como reduzir os riscos à segurança.

 

Todo o reforço de segurança do WordPress no mundo não pode parar os hackers se seus clientes estão caindo em golpes de phishing de e-mail.

Todo o reforço de segurança do WordPress no mundo não pode parar os hackers se seus clientes estão caindo em golpes de phishing de e-mail.

Acima de tudo lembre-se de que, no final das contas, não importa o que façamos, somos todos humanos e todos vamos cometer erros em algum momento ou outro.

Além disso, todo mundo tem problemas. Vícios, ressentimentos, insatisfação com o trabalho, ganância, oportunismo e personalidades descontentes podem se manifestar a qualquer momento no ambiente de trabalho e podem se tornar uma ameaça potencial à a sua tarefa de proteger sites em WordPress.

Portanto, a menos que seus clientes sejam seres humanos perfeitos e sem problemas, ainda resta 95% das vulnerabilidades de segurança para lidar.

O melhor que você pode fazer para não ser hackeado

As ameaças à segurança da Web são sobretudo multidimensionais e a segurança cibernética é Ocasionalmenteuma corrida armamentista em escalada, portanto, os hackers sempre terão novas oportunidades para identificar fraquezas e vulnerabilidades em vários níveis devido a isso você sempre deve estar por dentro de como proteger sites em WordPress!

Ainda assim o melhor que você pode fazer para não ser hackeado é dar o seu melhor.

A princípio reduza o máximo possível de riscos, implemente as melhores práticas de segurança em todos os níveis, continue aprendendo e aprimorando seus conhecimentos sobre segurança na Web, fique atento e ajude seus clientes a fazer o mesmo.

Agora se precisar de ajuda especializada com qualquer coisa relacionada ao WordPress, entre em contato com nossa equipe de suporte especializado em WordPress .