12 Dicas para Proteger o WordPress contra Vírus

A popularidade do WordPress tem aumentado constantemente, e, com isso, a prevalência de ataques, vírus e outras ameaças também aumentou. Criminosos podem causar problemas significativos para proprietários de sites e comerciantes online. Este artigo ajudará você a proteger seu site WordPress e mantê-lo seguro contra vírus.

Malwares que visam sites baseados no WordPress ativamente procuram e exploram vulnerabilidades, encontradas principalmente em plugins e temas. Eles injetam código problemático ou malicioso que pode realizar várias tarefas, dependendo do tipo de vírus.

Antes de abordar como proteger o WordPress contra vírus, é crucial entender os riscos potenciais que você pode enfrentar.

---

Vírus e Sites WordPress

Muitos consideram o WordPress em si uma plataforma altamente segura. Com desenvolvedores em todo o mundo trabalhando continuamente em sua melhoria, as vulnerabilidades são rapidamente identificadas e corrigidas.

No entanto, apesar de sua reputação segura, por que os vírus frequentemente visam o WordPress? A resposta está em sua imensa popularidade como o sistema de gerenciamento de conteúdo mais utilizado, alimentando cerca de 40% de todos os sites globalmente. Seu uso generalizado também o torna um alvo principal para ataques.

A própria natureza inerente do WordPress contribui significativamente para seus desafios de segurança. Desde o início, os desenvolvedores o projetam como uma plataforma modular e fácil de usar. Sua maior vantagem está em possibilitar a criação de sites profissionais e sofisticados sem exigir conhecimento em HTML, CSS ou PHP. Essa conveniência é viabilizada pelo amplo uso de plugins que adicionam diversas funcionalidades.

Temas e plugins representam um ponto fraco potencial adicional para a segurança do WordPress, especialmente quando vêm de empresas menos experientes ou usuários regulares. Erros de código e inconsistências nesses plugins podem servir como um convite aberto a ameaças cibernéticas.

Mesmo as medidas de segurança mais robustas, incluindo firewalls, antivírus, autenticação de dois fatores, listas cinzentas e monitoramento proativo, podem não ser suficientes para deter um atacante determinado.

Além disso, o risco aumenta quando um indivíduo inexperiente é responsável pela gestão do site – um cenário frequentemente associado à facilidade de uso do WordPress. Essas pessoas podem cometer inadvertidamente erros significativos que deixam o site WordPress vulnerável, tornando até mesmo os serviços de hospedagem WordPress mais seguros ineficazes para garantir proteção completa.

---

Como Verificar se Meu Site Está Infectado?

Antes de prosseguir com a segurança do site WordPress, é essencial verificar se ocorreu acesso não autorizado.

• Visite seu site e explore diferentes produtos, categorias e ofertas. Adicione itens ao seu carrinho e prossiga para o módulo de pagamento. Se tudo ocorrer sem problemas, sem incidentes incomuns, como pop-ups ou redirecionamentos repentinos para páginas não relacionadas, seu site parece estar em boas condições.

• Utilize o FTP para navegar pelos diretórios e procurar por arquivos com nomes aleatórios, como “46fr1s55p9_index.php”, “cl03haxmng_index.php” ou “q9z91fmzq6_index.php”, ou qualquer outro estilo semelhante.

• Verifique arquivos principais como index.php, wp-config.php e wp-settings.php quanto à presença de código malicioso. Para fazer isso de maneira eficaz, ative a exibição de espaços e tabulações em seu editor de arquivos. Observe a captura de tela fornecida abaixo. Inicialmente, pode parecer um arquivo WordPress padrão, mas preste atenção nos pontos cinzas indicando um número excessivo de espaços.

• Role a janela para a direita ou ative a quebra de linha para revelar qualquer código malicioso oculto, como mostrado no exemplo.

• Adote uma abordagem minuciosa ao examinar todos os arquivos do WordPress em seu site, especialmente os arquivos PHP, pois o código malicioso pode estar oculto em diferentes partes do seu site.
• Verifique os resultados orgânicos de pesquisa no Google digitando: site:seu-domínio.com. Se o seu site estiver infectado, o Google pode exibir numerosos resultados irrelevantes promovendo cassinos, jogos de azar, aplicativos e até mesmo conteúdo ilegal como pornografia ou venda de armas.
• Para aprimorar a segurança do seu site, considere instalar um programa de busca por malware, como o WebDefender Security – Protection & AntiSpam. Este plugin permite procurar por vírus ocultos em seu site.

No entanto, cada problema identificado requer uma análise e verificação individual para determinar se constitui software malicioso. Alguns plugins que utilizamos podem conter código que poderia ser classificado como malicioso, o que não é incomum.

---

Como Proteger o WordPress de Vírus?

Aqui está uma lista de medidas proativas que certamente criam obstáculos para cibercriminosos e minimizam o risco de seu site ser vítima de um vírus. No entanto, é crucial reconhecer que essas sugestões podem não fornecer proteção completa, dependendo do tipo de vírus ou bots atacantes. Antivírus e desenvolvedores de vírus estão constantemente envolvidos em uma corrida armamentista.

Sempre que uma nova forma de ataque ou vírus surge, os criadores de antivírus se esforçam para neutralizá-lo prontamente. Da mesma forma, as medidas de segurança são continuamente atualizadas, mas, eventualmente, os criminosos encontram maneiras de contorná-las. Assim, alcançar imunidade absoluta contra vírus permanece inatingível, mas você pode reduzir significativamente o risco de infecção.

Escolher o provedor de hospedagem certo é um aspecto crítico de qualquer site. Muitos proprietários de sites frequentemente baseiam sua decisão em preços ou recomendações de outras pessoas. No entanto, não é tão simples. Em primeiro lugar, você deve verificar se o provedor de hospedagem:

• Possui a versão mais recente do PHP – atualmente 8.2,
• Realiza backups regulares do banco de dados e dos arquivos, e se você tem fácil acesso a eles,
• Oferece proteção contra ataques DDoS.

Além das considerações de segurança, também é essencial verificar os parâmetros do servidor (processador, RAM, capacidade de armazenamento, limites) fornecidos pela empresa de hospedagem.

Optar pela UltaHost, que prioriza a segurança, é uma escolha sábia. Vai além da implementação de sistemas de segurança em várias camadas em diversos níveis de infraestrutura. A UltaHost constrói independentemente data centers em todo o mundo para manter controle total sobre a qualidade dos serviços oferecidos.

Essa abordagem garante o uso de componentes de alta qualidade não apenas nos servidores, mas em toda a infraestrutura. Além disso, os data centers da UltaHost seguem rigorosos padrões de segurança estabelecidos pela União Europeia. Com a UltaHost, você pode ter completa confiança na segurança de seus dados e sites.

Certificado SSL

Um certificado SSL criptografa todas as informações trocadas entre o navegador do usuário e o site. Toda empresa de hospedagem respeitável oferece certificados SSL pagos e gratuitos (por exemplo, Let’s Encrypt) como parte de seus pacotes.

Atualizações do WordPress

Atualizações regulares do WP não apenas introduzem uma variedade de novos recursos e possibilidades, mas também incluem correções de segurança cruciais. É igualmente importante manter seus plugins atualizados. Plugins e temas são particularmente suscetíveis a ataques de vírus, então garantir que estejam sempre atualizados é essencial para minimizar os riscos.

Mesmo que você não os esteja usando ativamente e estejam desativados, eles ainda podem servir como um ponto de entrada para cibercriminosos. Portanto, é vital atualizar todos os plugins instalados em seu site WordPress.

Desinstale Plugins e Temas Desnecessários

Seguindo o mesmo princípio, é melhor desinstalar plugins ou temas não utilizados em vez de apenas desativá-los. Essa é a abordagem recomendada. Mesmo que você ocasionalmente precise de um plugin específico, desinstale-o quando terminar de usá-lo.

Reinstalá-lo levará apenas alguns momentos. Não vale a pena arriscar possíveis ataques ao seu site apenas para economizar dois minutos por mês. Da mesma forma, se você tiver vários temas instalados, desinstale todos, exceto o que está atualmente em uso. Apenas o tema ativo é necessário para o seu site, enquanto os demais podem servir como portas de entrada para cibercriminosos.

Minimizar riscos sempre que possível é crucial. Não facilite para hackers e bots maliciosos!

Ocultando a Versão do WordPress e Plugins

Por padrão, o WordPress mostra a versão instalada no código da página adicionando uma tag na seção HEAD:

<meta name=”generator” content=”WordPress 5.6.4″ />

Revelar as versões dos componentes que usamos em nosso site facilita para os atacantes nos visarem, pois ficam cientes das vulnerabilidades específicas de cada versão de software.

Para bloquear a exibição das informações de versão, podemos adicionar o seguinte código ao arquivo functions.php em nosso tema:

remove_action(‘wp_head’, ‘wp_generator’);

add_filter(‘the_generator’, ‘__return_empty_string’);

function shapeSpace_remove_version_scripts_styles($src) {

if (strpos($src, ‘ver=’)) {

$src = remove_query_arg(‘ver’, $src);

}

return $src;

}

add_filter(‘style_loader_src’, ‘shapeSpace_remove_version_scripts_styles’, 9999);

add_filter(‘script_loader_src’, ‘shapeSpace_remove_version_scripts_styles’, 9999);

Trocas Regulares de Senha

Trocar as senhas de todos os administradores do site a cada poucos meses ou até com mais frequência é uma boa prática, especialmente se seu nome de usuário for adm, admin, administrator ou nome de domínio.

Alterando o Login do Administrador

Em relação ao ponto anterior, se seu nome de usuário for adm, admin, administrator ou nome de domínio, é melhor alterá-lo o mais rápido possível. O nome de usuário mais comumente escolhido é admin, e alterá-lo limitará a possibilidade de ataques de força bruta ao seu site. Usar um dos nomes de usuário mais populares facilita para os cibercriminosos visarem seu site.

Como Alterar o Login no WordPress?

Método I:

1.     Faça login no banco de dados por meio do phpMyAdmin.
2.     Procure pela tabela wp_users.
3.     Encontre sua conta e clique em editar.
4.     Na coluna user_login, altere o antigo nome de usuário para o novo.

Método II:

1.     No painel do WP, adicione um novo usuário com privilégios de Administrador.
2.     Faça login na nova conta.
3.     Exclua a conta antiga.

Alterando a Página de Login

Por padrão, você pode acessar todo site WordPress por meio de URLs como:

    example.com/wp-login.php,

    example.com/wp-admin/

Para reduzir o número de ataques de força bruta, você pode usar o plugin Limit Login Attempts para limitar o número de tentativas de login e bloquear um usuário por um tempo especificado. No entanto, se você deseja proteger completamente o formulário de login, pode alterar sua localização usando o plugin WPS Hide Login.

Será muito mais difícil adivinhar que o painel está localizado em

example.com/niceteddybear.

Bloqueando o Acesso a Arquivos

Ao usar regras específicas no arquivo .htaccess, você pode garantir o acesso externo a arquivos ou pastas específicos.

Na pasta principal do WP, você encontrará os arquivos xmlrpc.php e wp-config.php, que armazenam dados para o banco de dados MySQL. Portanto, é recomendável adicionar uma camada extra de segurança para esses arquivos, adicionando a seguinte regra ao arquivo .htaccess localizado na mesma pasta.

<files wp-config.php>

order allow,deny

deny from all

</files>

<files xmlrpc.php>

order allow,deny

deny from all

</files>

Além disso, no diretório /wp-content/uploads/, se não existir, crie um arquivo .htaccess e adicione a seguinte regra para bloquear a execução de certos vírus:

<Files ~ “.ph(?:p[345]?|t|tml)$”>

deny from all

</Files>

Desativar Funcionalidades Desnecessárias

O WordPress oferece várias funcionalidades que muitas vezes não são utilizadas, tornando válido desativar algumas delas. Se você usa comentários, considere desmarcar as duas primeiras caixas em Configurações → Discussão.

Pingbacks têm o objetivo de informar o administrador do site quando alguém vincula ao seu post. Se você não utiliza os comentários incorporados do WordPress, instale o plugin Disable Comments.

Plugins de Segurança

À medida que novos ataques e vírus direcionados a sites baseados no WordPress continuam surgindo, muitas empresas introduziram complementos para nos ajudar a nos defender contra eles. Alguns exemplos desses plugins são Wordfence Security, All In One WP Security & Firewall e iThemes Security.

Esses plugins focam principalmente em garantir a segurança de nossos sites detectando software malicioso e bloqueando ataques de força bruta. No entanto, vale ressaltar que o uso desses plugins pode resultar em uma ligeira diminuição na velocidade do site.

Cópias de Backup

Criar cópias de backup regulares é crucial, mesmo que seu provedor de hospedagem já cuide disso para você – assim como a UltaHost, que realiza automaticamente backups diários do seu WordPress Hosting.

Ser cauteloso significa ser extra seguro, portanto, ainda é recomendável cuidar das suas cópias de backup, especialmente antes e depois de fazer alterações significativas no seu site, mesmo que confie no seu provedor de hospedagem.

O WordPress oferece numerosos plugins de backup, mas um que vale a pena recomendar é o UpdraftPlus. Este plugin permite backups automáticos que podem ser enviados para outro servidor.

---

Conclusão

Proteger o seu site WordPress contra vírus é de extrema importância no cenário digital atual. Com a crescente popularidade do WordPress, o risco de ataques, vírus e outras ameaças também aumentou significativamente. Cibercriminosos podem causar danos substanciais a proprietários de sites e negócios online se não estiverem devidamente protegidos.

Seguindo essas recomendações, você pode reduzir significativamente o risco de seu site WordPress ser vítima de ciberataques. Lembre-se de que manter uma abordagem proativa em relação à segurança e ficar informado sobre as últimas ameaças contribuirá para uma experiência WordPress mais robusta e segura. Mantenha-se vigilante e continue priorizando a proteção de seus valiosos ativos online.