Os 10 Problemas de Segurança WordPress mais Comuns e Como Resolvê-los

Os 10 Problemas de Segurança WordPress mais Comuns e Como Resolvê-los

O WordPress é um popular e poderoso Sistema de Gerenciamento de Conteúdo (CMS), mas ele não está livre de falhas. Por ser tão amplamente utilizado, também é um alvo comum para hackers. Sendo assim, ao se familiarizar com questões de segurança WordPress, muitos donos de sites podem se beneficiar e tomar medidas para evitar invasões e vazamentos de dados.

A boa notícia é que você pode seguir diferentes passos para proteger seu site WordPress. Há muitos serviços, ferramentas e soluções disponíveis para todas as questões de segurança, desde a recuperação e correção de um site hackeado, até o processo de desenvolver medidas preventivas para deixar o seu site mais seguro. 

Neste artigo você irá conhecer os 10 problemas de segurança mais comuns no WordPress. Vamos discutir algumas das principais causas de cada uma dessas vulnerabilidades e ainda oferecer soluções para evitá-las em seu site. Vamos lá!

A Importância de Proteger seu Site WordPress 

O WordPress é o CMS mais popular do mundo, responsável pelo desenvolvimento de mais de 40% de todos os sites na internet. Trata-se de uma plataforma de código aberto. Isso significa que, além de ser gratuito, qualquer pessoa pode contribuir com o seu desenvolvimento.

Milhares de pessoas utilizam o WordPress ao redor do globo. Entretanto, devido à sua popularidade, esse CMS é um dos principais alvos de hackers, cibercriminosos e usuários maliciosos. 

Uma pequena brecha pode comprometer a segurança do seu site e os dados dos seus visitantes. Se um cibercriminoso se infiltrar em seu site, informações privadas podem ser vazadas, e suas páginas podem ficar fora do ar por um longo período. Um incidente desse tipo prejudica não apenas o tráfego do seu site e os rendimentos do seu negócio, mas também a reputação da sua marca, podendo levar a estragos de longo prazo. 

Garantir que seu site esteja protegido contra as mais conhecidas vulnerabilidades do WordPress pode minimizar as chances dele ser invadido e ser vítima de um ciberataque. Ao se manter atualizado quanto às questões de segurança e realizar testes frequentes, você pode otimizar o desempenho do site e manter a confiança e fidelidade de seus clientes. 

As 10 Problemas de Segurança mais Comuns no WordPress (e Como Preveni-los)

Agora que já entendemos melhor sobre o porquê do tema de segurança ser tão importante no WordPress, vamos analisar alguns dos problemas que você pode encontrar na sua jornada como dono de site. 

Abaixo estão listadas as 10 vulnerabilidades mais comuns em termos de segurança WordPress, e em cada caso você irá descobrir como proteger seu site contra elas!

1. Senhas Fracas 

Um dos maiores — e mais comuns — erros cometidos por usuários e donos de sites é utilizar senhas fracas. Senhas fáceis de adivinhar facilitam ainda mais a vida dos hackers, contribuindo para que consigam acesso ao seu site e dados.

Por exemplo, um dos ciberataques mais populares hoje em dia são os ataques de força bruta. Durante este processo de invasão hacker, são feitas muitas tentativas de acesso ao seu site por parte de agentes e bots.

Os programas utilizam várias possíveis combinações de senhas, até decifrar o código e então conseguir acessar o site ou a conta em questão. Eles exploram as brechas na sua página de login para conseguir invadir o site.

Por esse motivo, é crucial que cada webmaster de site no WordPress utilize uma senha forte e segura. Recomendamos utilizar uma ferramenta de geração de senhas, como aquela que já vem integrada na seção de usuários do painel WordPress.

Sessão de atualização da senha no painel WordPress

Adicionalmente, é importante atualizar suas senhas de tempos em tempos. Por isso, indicamos utilizar uma ferramenta de gerenciamento de senhas, assim você não precisa se preocupar em memorizar todas elas. Bons exemplos de gerenciadores de senha são NordPass e LastPass.

No mesmo sentido, também é recomendável limitar as tentativas de login na sua conta WordPress e habilitar a função de autenticação de dois fatores (2FA). O WordPress não oferece esses recursos por padrão, mas você pode facilmente adicioná-los utilizando um plugin de segurança do WordPress, como o Loginizer.

Banner do plugin Loginizer

Esta ferramenta gratuita pode ajudar a proteger seu site e suas informações contra ataques de força bruta ao bloquear endereços de IP suspeitos, habilitar a autenticação de 2 fatores e limitar as tentativas de login no seu site. 

2. Malware

Hackers podem utilizar um malware para infectar seu site com códigos maliciosos e roubar dados sensíveis. Se você estiver lidando com um site que foi hackeado, há grandes chances de que seus arquivos estão infectados com vírus.  

Há diferentes tipos de malware que podem ser inseridos em seu site. Alguns dos vírus mais comuns afetando sites WordPress hoje em dia incluem redirecionamentos maliciosos, ataques de backdoor e drive-by downloads — downloads não intencionais ou não autorizados, feitos de forma automática.

Quando falamos sobre esses tipos de problemas de segurança, o melhor plano de ação é a prevenção. De todo modo, mesmo seguindo os protocolos de segurança indicados, você ainda pode ser vítima de um malware.

O primeiro passo é verificar se um vírus está presente em seu site ou não. O malware pode estar armazenado e oculto em seus arquivos, pastas ou bancos de dados. Você pode utilizar uma ferramenta como o plugin Wordfence para rodar uma varredura em seu site, em busca de malwares escondidos:

Banner do plugin Wordfence

Este plugin conta com versões gratuitas e pagas, e oferece um firewall e um scanner de malwares para te ajudar a manter seu site protegido e sem brechas de segurança. O Wordfence também inclui o recurso da autenticação de dois fatores. 

Há várias possíveis soluções para remover um malware do WordPress. Dependendo do quanto seu site foi afetado pelo vírus, pode ser necessário remover o arquivo corrompido ou restaurar uma versão anterior do site por meio de um backup. Essa é uma das razões do porquê é tão importante gerar backups frequentes do seu site.

Usuários da Hostinger podem criar backup de seus sites utilizando o recurso de backup do hPanel. Se você não é um cliente da Hostinger, há diversos plugins de backup para escolher no próprio WordPress.

3. Cross-Site Scripting (XSS)

Vulnerabilidades do tipo cross-site scripting (XSS) geralmente são encontradas em plugins do WordPress. Esses ataques são feitos por hackers e funcionam através do carregamento de páginas que contêm scripts JavaScript inseguros. O objetivo é roubar dados de navegação.

Por exemplo, considere que seu site tenha sido injetado com esses scripts maliciosos. Nesse caso, dados e informações sensíveis podem ser roubados na próxima vez que um visitante acessar seu site e preencher um formulário de contato. 

Uma das melhores formas de prevenir-se contra ataques XSS no WordPress é manter seu site atualizado o tempo todo. Também há uma vasta gama de plugins de segurança do WordPress que podem te ajudar a proteger seu site contra este e outros diversos tipos de invasões. 

Além do Wordfence, você também pode utilizar um serviço de firewall de aplicações web (WAF), como o Sucuri.

Página inicial do site do plugin Sucuri

Este plugin faz o monitoramento e a filtragem do seu tráfego, além de oferecer adicionalmente um recurso de bloqueio de caminhos de URLs. Assim, depois que você adicionar a URL da página de login do seu site na lista de bloqueio, ninguém poderá acessar essa página sem que você os adicione em uma lista de usuários autorizados. 

4. Plugins, Temas e Software Desatualizados

Nunca é demais realçar a importância de atualizar o WordPress regularmente. Infelizmente, se você é um dos usuários do WordPress que está rodando uma versão antiga da plataforma, então você está muito mais vulnerável a ataques cibernéticos. 

Software, plugins, e temas são os responsáveis pelos problemas de segurança mais comuns do WordPress. Desenvolvedores de plugins e temas costumam lançar atualizações desses elementos com regularidade, e as novas versões incluem correções de erros e reparo em brechas ou pontos críticos de segurança. 

Manter-se atualizado com as versões mais recentes de qualquer extensão que você tenha instalado em seu site pode ajudar muito na prevenção contra ataques e invasões hacker. 

Recomendamos que, a cada vez que fizer login em seu site, você monitore e garanta que todos os seus plugins e temas — bem como o WordPress em si — estejam sempre atualizados.

É possível conferir quais atualizações estão disponíveis diretamente através do seu painel de administração do WordPress (Painel de controle → Atualizações).

Sessão de atualizações no painel do WordPress

Se preferir, você pode habilitar o recurso que faz todas as atualizações necessárias em seu site automaticamente, assim não é necessário monitorar e atualizar seu sistema manualmente.

Também é indicado ficar atento a futuros lançamentos e atualizações do WordPress. Assim, você consegue preparar seu site adequadamente para rodar em uma nova versão da plataforma.

Outra importante recomendação é que você remova quaisquer temas ou plugins que não são utilizados no seu site. Para fazer isso, basta navegar pelo painel de controle do WordPress, acessando o menu de Plugins → Plugins Instalados → Inativos

Seção de plugins no painel WordPress - ação em massa de selecionar e deletar todos plugins inativos

Selecione todos e então clique na opção Deletar exibida no menu suspenso. Para remover temas inativos do WordPress, você pode acessar o menu Aparência a partir do seu painel de administração e navegar até a aba Temas. Depois de selecionar o tema que deseja desinstalar, clique no botão Deletar, localizado no canto inferior direito da página.

Você também pode considerar a possibilidade de testar novas versões de plugins e temas. Assim, garante que esses elementos são compatíveis com seu site. Um plugin como o BlogVault pode facilitar muito o gerenciamento das atualizações do seu site.

Com o BlogVault, você pode atualizar seu site com segurança e sem se preocupar com a possibilidade da nova versão desconfigurar suas páginas. Isso porque esse plugin permite que você teste uma nova versão de tema ou plugin em um site de testes antes de utilizá-la em seu site oficial.

5. Ataques DDoS (Distributed Denial-of-Service)

Outro tipo comum de problema de segurança no WordPress é o ataque DDoS (Negação Distribuída de Serviço). Esse fenômeno ocorre quando cibercriminosos sobrecarregam os servidores web com tráfego falso e manipulado. Isso faz com que os servidores falhem, tirando do ar todos os sites hospedados neles. 

Esse tipo de ataque hacker pode causar downtime e consequentemente prejudicar a reputação do seu site. Normalmente, os alvos desse tipo de ataque são sites hospedados em provedoras com nível baixo de segurança.

Para se proteger contra ataques DDoS, é importante possuir ferramentas de monitoramento à sua disposição, assim será possível identificar atividades suspeitas. 

Um plugin como o WP Activity Log é uma ótima opção para ajudar nessa tarefa. 

Banner do plugin WP Activity Log

Você pode utilizar o WP Activity Log para fiscalizar qualquer alteração que esteja sendo feita em seu site. O plugin também te notifica quando arquivos novos são adicionados, e quando seus arquivos existentes são modificados ou deletados. 

Também é essencial que você invista em uma hospedagem web para WordPress de alta qualidade. Optar por um provedor confiável e com extensos recursos e ferramentas de segurança pode fazer uma grande diferença no processo de proteger seu site — assunto que abordaremos com mais detalhes ao longo deste guia. 

6. Injeção de SQL (Structured Query Language)

Structured Query Language (SQL) é uma linguagem de programação utilizada para fazer a comunicação com bancos de dados. Todos os sites WordPress utilizam um banco de dados MySQL para funcionar.

Injeções SQL acontecem quando cibercriminosos obtêm um acesso não autorizado ao seu banco de dados, isto é, eles conseguem acessar os dados do seu site. Uma vez que os hackers estiverem dentro da sua base de dados, podem fazer alterações diretamente nela.

Como exemplo, os cibercriminosos conseguem criar novos usuários com permissões de administrador do seu site, e então podem utilizar essas credenciais de acesso para fazer login em seu site WordPress. Os hackers também podem adicionar novos dados ao seu banco de dados, como links e redirecionamentos maliciosos.

Formulários de pagamento e contato são pontos de entrada bastante comuns para injeções SQL. Ao invés dos campos do formulário serem preenchidos com as informações solicitadas, os hackers farão o envio de códigos infectados diretamente no seu banco de dados SQL. 

Para evitar que esse tipo de ataque cibernético aconteça, é crucial que você configure restrições e limitações nos seus envios de formulários. Uma das possibilidades é não permitir a inserção de caracteres especiais nos campos de preenchimento.

Além disso, você pode adicionar um reCAPTCHA para ter uma camada extra de proteção nos seus formulários. Esse processo pode ser feito através do uso de um plugin de segurança, como o Wordfence.

7. Spam de SEO (Search Engine Optimization) 

Estratégias de SEO são importantes para muitos donos de sites WordPress. Infelizmente, hackers podem mirar nas páginas do seu site que estão melhor posicionadas nos resultados dos mecanismos de busca. A partir daí, do mesmo modo em que acontecem as injeções SQL, os cibercriminosos podem infectar suas melhores páginas com spam e anúncios falsos. Esses elementos podem direcionar seus visitantes a sites maliciosos e/ou ilegais. 

Os hackers conseguem executar esse tipo de cibercrime através de ataques de força bruta e de vulnerabilidades geradas por plugins e temas desatualizados. Um dos motivos que faz o ataque spam SEO ser tão perigoso é o fato de que ele pode ser incrivelmente difícil de ser detectado. 

O spam SEO pode ser sutil, como um hacker que adiciona palavras-chave como “relógios Rolex baratos” em comentários de uma página do seu site. Infelizmente, quando os rastreadores SEO (crawlers) passam pelo seu site, eles podem sinalizar e penalizar sua página por comportamentos de spam.  

Uma das melhores formas de prevenir-se contra este tipo de problema de segurança WordPress é rodar varreduras frequentes em seu site em busca de malwares. Esse scan pode ser feito por plugins como Wordfence ou Sucuri.

Adicionalmente, é importante monitorar os dados analíticos do seu site. Através dos relatórios você pode identificar qualquer pico repentino de tráfego ou quaisquer mudanças dramáticas quanto aos posicionamentos das suas páginas nas SERPs ( Páginas de Resultados dos Mecanismos de Pesquisa). 

8. Usar HTTP em vez de HTTPS

Durante anos o Google tem enfatizado a importância da segurança dos sites e seu papel nas estratégias de SEO. Alguns dos problemas mais comuns de segurança WordPress podem ser atribuídos ao uso do protocolo de transferência de dados HTTP, que é inseguro. A alternativa segura é, na verdade, o protocolo HTTPS.

Você consegue saber se seu site está rodando com uma conexão segura se ele possui um ícone de cadeado fechado logo ao lado do nome da URL no campo do navegador. 

Destaque para o cadeado ao lado da URL - site da Hostinger

Caso seu site não esteja utilizando um protocolo seguro de transferência de dados (o HTTPS), ele não apresentará o ícone do cadeado na URL. Além disso, seus visitantes serão notificados quanto à insegurança do site, recebendo a mensagem “Sua conexão não é particular”.

Captura de tela em inglês da página de erro "sua conexão não é particular"

O ícone do cadeado na URL do site é um selo de confiança, indicando que o site utiliza um certificado SSL (Secure Socket Layer). O certificado SSL criptografa o tráfego que roda entre o servidor do site e o navegador do visitante. Assim, ele consegue proteger os dados transferidos, e as informações não poderão ser interceptadas ou utilizadas ilegalmente por um terceiro. 

Muitos provedores de hospedagem incluem certificados SSL por padrão em seus planos. Se você é um usuário da Hostinger, pode ativar seu certificado SSL diretamente em seu painel de controle.

De todo modo, você também pode obter um SSL diretamente com uma autoridade de certificados, como a Let’s Encrypt.

9. Phishing

Phishing é um tipo de malware que convence usuários desprevenidos a inserirem suas informações pessoais em sites e páginas que estão taticamente mascaradas para parecerem autênticas e confiáveis. Esses ataques costumam chegar aos dispositivos através de e-mails ou mensagens de texto. 

Na maioria dos casos, a mensagem fará com que o usuário realize algum tipo de ação — como atualizar sua senha — ou tomar algum tipo de atitude para prevenir alguma falha, como ter sua conta bloqueada a não ser que ela seja atualizada. Quando o indivíduo clica no link incluído na mensagem, ele é redirecionado para um site que parece ser legítimo, e ali serão solicitados os detalhes de login.

Se o Google detectar fraudes e golpes do tipo phishing em seu site, ele pode sair do ar, e você pode ser bloqueado, assim perdendo a confiança dos seus clientes. Para evitar esquemas de phishing, é importante que você utilize plugins de segurança WordPress que monitoram a atividade do seu site e bloqueiam usuários suspeitos. 

10. Hospedagem de Baixa Qualidade

Como mencionamos anteriormente, seu provedor de hospedagem de site WordPress cumpre um papel vital na segurança do site. Hospedagens pouco confiáveis ou de baixa qualidade possuem proteções limitadas, portanto costumam ser alvos comuns dos hackers. 

Hospedagens compartilhadas são particularmente preocupantes, pois todos os sites no servidor compartilham seus recursos. Isso quer dizer que, se um site for afetado, todos os outros também costumam ser afetados.

Isso não quer dizer que uma hospedagem compartilhada é perigosa. Na verdade, esse fato indica que é importante escolher um provedor de hospedagem compartilhada que seja vigilante e dedicado à segurança do WordPress. 

Se você possui um site relativamente grande, talvez seja o caso de considerar fazer um upgrade para um plano de hospedagem cloud. Apesar de ser um pouco mais cara que a hospedagem compartilhada, a hospedagem cloud te proporciona a paz de espírito que é saber que o site possui seus próprios recursos — dedicados exclusivamente a você — sem que seja necessário compartilhar espaço no servidor com outros donos de sites. 

Além disso, todos os planos da Hostinger que possuem o painel hPanel possuem uma ferramenta integrada e automatizada que realiza varreduras em busca de vírus no seu site, o Malware Scanner

Na Hostinger, oferecemos soluções de hospedagem completas, que incluem uma variedade de recursos e funcionalidades para proteger seu site. 

Recursos inclusos na hospedagem WordPress da Hostinger

Conclusão

Por ser o CMS mais popular da internet, o WordPress é uma solução potente e confiável para construir e gerenciar seu site. De todo modo, para que suas páginas tenham um ótimo desempenho, é crucial que você se familiarize com as mais comuns vulnerabilidades de segurança do WordPress. Conhecendo quais são elas e por que costumam acontecer, você pode tomar atitudes para proteger seu site contra ciberataques.

Neste tutorial, foram discutidos os 10 problemas de segurança WordPress mais comuns, que vão desde o uso de senhas fracas — causando ataques de força bruta — até plugins e temas desatualizados, que podem levar a injeções de SQL e XSS. 

Felizmente, você pode seguir certos passos para aumentar a segurança do seu site, incluindo sempre utilizar a versão mais atualizada dos softwares disponíveis, instalando plugins de segurança WordPress, e investindo em uma hospedagem de qualidade.

Se você está interessado em soluções de hospedagem que podem impulsionar a segurança do seu site WordPress, verifique nossos planos de hospedagem WP e saiba mais!

Perguntas Frequentes (FAQ) sobre Problemas de Segurança WordPress

Neste momento, você já deve ter um entendimento sólido sobre alguns dos problemas mais comuns em termos de segurança do WordPress, bem como quais ações que podem ser tomadas para proteger seu site contra eles. Agora, vamos concluir com algumas perguntas frequentes sobre o assunto!

O que Quer Dizer a Mensagem WordPress “There has Been a Critical Error” ou “Há um Erro Crítico em seu Site”?


Essa mensagem indica que um erro fatal faz com que os scripts PHP do seu site parem de rodar. Para resolver esse problema, você pode fazer uma depuração do seu site (debug WordPress), verificar seus relatórios de erros (error logs) e corrigir temas e plugins que estejam conflitando entre si. 

Quais são as Maiores Vulnerabilidades do WordPress? 


Muitas vulnerabilidades WordPress podem ser atribuídas a uma de três categorias. De acordo com um recente relatório de vulnerabilidades do WordPress, 97% delas vêm de plugins, 2,4% possuem origem nos temas e apenas 0,05% resultam de problemas com o próprio núcleo do software WordPress. 

O WordPress é Seguro?


Num geral, sim, o WordPress é considerado um CMS altamente seguro. Desenvolvedores fazem atualizações constantes e correções de problemas para solucionar quaisquer vulnerabilidades no sistema. De todo modo, grande parte da segurança de um site WordPress depende do seu dono. O administrador do site deve seguir as melhores práticas de segurança disponíveis hoje para garantir a proteção de seus dados e páginas. 

Author
O autor

Bruna B. Barro

Bruna é formada em relações internacionais pela UFSC e atualmente faz mestrado em sociologia pela UFRJ. Determinada em tornar o conhecimento sobre tecnologia acessível a todas as pessoas, atua como tradutora e redatora freelancer na Hostinger. Tem experiência com tradução, localização, copywriting, gerenciamento de projetos, atendimento ao cliente e escrita acadêmica. No seu tempo livre gosta de assistir séries, cozinhar e jogar jogos de lógica.