A popularidade do WordPress tem aumentado constantemente, e, com isso, a prevalência de ataques, vírus e outras ameaças também aumentou. Criminosos podem causar problemas significativos para proprietários de sites e comerciantes online. Este artigo ajudará você a proteger seu site WordPress e mantê-lo seguro contra vírus.
Malwares que visam sites baseados no WordPress ativamente procuram e exploram vulnerabilidades, encontradas principalmente em plugins e temas. Eles injetam código problemático ou malicioso que pode realizar várias tarefas, dependendo do tipo de vírus.
Antes de abordar como proteger o WordPress contra vírus, é crucial entender os riscos potenciais que você pode enfrentar.
Vírus e Sites WordPress
Muitos consideram o WordPress em si uma plataforma altamente segura. Com desenvolvedores em todo o mundo trabalhando continuamente em sua melhoria, as vulnerabilidades são rapidamente identificadas e corrigidas.
No entanto, apesar de sua reputação segura, por que os vírus frequentemente visam o WordPress? A resposta está em sua imensa popularidade como o sistema de gerenciamento de conteúdo mais utilizado, alimentando cerca de 40% de todos os sites globalmente. Seu uso generalizado também o torna um alvo principal para ataques.
A própria natureza inerente do WordPress contribui significativamente para seus desafios de segurança. Desde o início, os desenvolvedores o projetam como uma plataforma modular e fácil de usar. Sua maior vantagem está em possibilitar a criação de sites profissionais e sofisticados sem exigir conhecimento em HTML, CSS ou PHP. Essa conveniência é viabilizada pelo amplo uso de plugins que adicionam diversas funcionalidades.
Temas e plugins representam um ponto fraco potencial adicional para a segurança do WordPress, especialmente quando vêm de empresas menos experientes ou usuários regulares. Erros de código e inconsistências nesses plugins podem servir como um convite aberto a ameaças cibernéticas.
Mesmo as medidas de segurança mais robustas, incluindo firewalls, antivírus, autenticação de dois fatores, listas cinzentas e monitoramento proativo, podem não ser suficientes para deter um atacante determinado.
Além disso, o risco aumenta quando um indivíduo inexperiente é responsável pela gestão do site – um cenário frequentemente associado à facilidade de uso do WordPress. Essas pessoas podem cometer inadvertidamente erros significativos que deixam o site WordPress vulnerável, tornando até mesmo os serviços de hospedagem WordPress mais seguros ineficazes para garantir proteção completa.
Como Verificar se Meu Site Está Infectado?
Antes de prosseguir com a segurança do site WordPress, é essencial verificar se ocorreu acesso não autorizado.
- Visite seu site e explore diferentes produtos, categorias e ofertas. Adicione itens ao seu carrinho e prossiga para o módulo de pagamento. Se tudo ocorrer sem problemas, sem incidentes incomuns, como pop-ups ou redirecionamentos repentinos para páginas não relacionadas, seu site parece estar em boas condições.
- Utilize o FTP para navegar pelos diretórios e procurar por arquivos com nomes aleatórios, como “46fr1s55p9_index.php”, “cl03haxmng_index.php” ou “q9z91fmzq6_index.php”, ou qualquer outro estilo semelhante.
- Verifique arquivos principais como index.php, wp-config.php e wp-settings.php quanto à presença de código malicioso. Para fazer isso de maneira eficaz, ative a exibição de espaços e tabulações em seu editor de arquivos. Observe a captura de tela fornecida abaixo. Inicialmente, pode parecer um arquivo WordPress padrão, mas preste atenção nos pontos cinzas indicando um número excessivo de espaços.
- Role a janela para a direita ou ative a quebra de linha para revelar qualquer código malicioso oculto, como mostrado no exemplo.
- Adote uma abordagem minuciosa ao examinar todos os arquivos do WordPress em seu site, especialmente os arquivos PHP, pois o código malicioso pode estar oculto em diferentes partes do seu site.
- Verifique os resultados orgânicos de pesquisa no Google digitando: site:seu-domínio.com. Se o seu site estiver infectado, o Google pode exibir numerosos resultados irrelevantes promovendo cassinos, jogos de azar, aplicativos e até mesmo conteúdo ilegal como pornografia ou venda de armas.
- Para aprimorar a segurança do seu site, considere instalar um programa de busca por malware, como o WebDefender Security – Protection & AntiSpam. Este plugin permite procurar por vírus ocultos em seu site.
No entanto, cada problema identificado requer uma análise e verificação individual para determinar se constitui software malicioso. Alguns plugins que utilizamos podem conter código que poderia ser classificado como malicioso, o que não é incomum.
Como Proteger o WordPress de Vírus?
Aqui está uma lista de medidas proativas que certamente criam obstáculos para cibercriminosos e minimizam o risco de seu site ser vítima de um vírus. No entanto, é crucial reconhecer que essas sugestões podem não fornecer proteção completa, dependendo do tipo de vírus ou bots atacantes. Antivírus e desenvolvedores de vírus estão constantemente envolvidos em uma corrida armamentista.
Sempre que uma nova forma de ataque ou vírus surge, os criadores de antivírus se esforçam para neutralizá-lo prontamente. Da mesma forma, as medidas de segurança são continuamente atualizadas, mas, eventualmente, os criminosos encontram maneiras de contorná-las. Assim, alcançar imunidade absoluta contra vírus permanece inatingível, mas você pode reduzir significativamente o risco de infecção.
Hosting
Escolher o provedor de hospedagem certo é um aspecto crítico de qualquer site. Muitos proprietários de sites frequentemente baseiam sua decisão em preços ou recomendações de outras pessoas. No entanto, não é tão simples. Em primeiro lugar, você deve verificar se o provedor de hospedagem:
- Possui a versão mais recente do PHP – atualmente 8.2,
- Realiza backups regulares do banco de dados e dos arquivos, e se você tem fácil acesso a eles,
- Oferece proteção contra ataques DDoS.
Além das considerações de segurança, também é essencial verificar os parâmetros do servidor (processador, RAM, capacidade de armazenamento, limites) fornecidos pela empresa de hospedagem.
Optar pela UltaHost, que prioriza a segurança, é uma escolha sábia. Vai além da implementação de sistemas de segurança em várias camadas em diversos níveis de infraestrutura. A UltaHost constrói independentemente data centers em todo o mundo para manter controle total sobre a qualidade dos serviços oferecidos.
Essa abordagem garante o uso de componentes de alta qualidade não apenas nos servidores, mas em toda a infraestrutura. Além disso, os data centers da UltaHost seguem rigorosos padrões de segurança estabelecidos pela União Europeia. Com a UltaHost, você pode ter completa confiança na segurança de seus dados e sites.
Certificado SSL
Um certificado SSL criptografa todas as informações trocadas entre o navegador do usuário e o site. Toda empresa de hospedagem respeitável oferece certificados SSL pagos e gratuitos (por exemplo, Let’s Encrypt) como parte de seus pacotes.
Atualizações do WordPress
Atualizações regulares do WP não apenas introduzem uma variedade de novos recursos e possibilidades, mas também incluem correções de segurança cruciais. É igualmente importante manter seus plugins atualizados. Plugins e temas são particularmente suscetíveis a ataques de vírus, então garantir que estejam sempre atualizados é essencial para minimizar os riscos.
Mesmo que você não os esteja usando ativamente e estejam desativados, eles ainda podem servir como um ponto de entrada para cibercriminosos. Portanto, é vital atualizar todos os plugins instalados em seu site WordPress.
Desinstale Plugins e Temas Desnecessários
Seguindo o mesmo princípio, é melhor desinstalar plugins ou temas não utilizados em vez de apenas desativá-los. Essa é a abordagem recomendada. Mesmo que você ocasionalmente precise de um plugin específico, desinstale-o quando terminar de usá-lo.
Reinstalá-lo levará apenas alguns momentos. Não vale a pena arriscar possíveis ataques ao seu site apenas para economizar dois minutos por mês. Da mesma forma, se você tiver vários temas instalados, desinstale todos, exceto o que está atualmente em uso. Apenas o tema ativo é necessário para o seu site, enquanto os demais podem servir como portas de entrada para cibercriminosos.
Minimizar riscos sempre que possível é crucial. Não facilite para hackers e bots maliciosos!
Ocultando a Versão do WordPress e Plugins
Por padrão, o WordPress mostra a versão instalada no código da página adicionando uma tag na seção HEAD:
<meta name=”generator” content=”WordPress 5.6.4″ />
Revelar as versões dos componentes que usamos em nosso site facilita para os atacantes nos visarem, pois ficam cientes das vulnerabilidades específicas de cada versão de software.
Para bloquear a exibição das informações de versão, podemos adicionar o seguinte código ao arquivo functions.php em nosso tema:
remove_action(‘wp_head’, ‘wp_generator’);
add_filter(‘the_generator’, ‘__return_empty_string’);
function shapeSpace_remove_version_scripts_styles($src) {
if (strpos($src, ‘ver=’)) {
$src = remove_query_arg(‘ver’, $src);
}
return $src;
}
add_filter(‘style_loader_src’, ‘shapeSpace_remove_version_scripts_styles’, 9999);
add_filter(‘script_loader_src’, ‘shapeSpace_remove_version_scripts_styles’, 9999);
Trocas Regulares de Senha
Trocar as senhas de todos os administradores do site a cada poucos meses ou até com mais frequência é uma boa prática, especialmente se seu nome de usuário for adm, admin, administrator ou nome de domínio.
Alterando o Login do Administrador
Em relação ao ponto anterior, se seu nome de usuário for adm, admin, administrator ou nome de domínio, é melhor alterá-lo o mais rápido possível. O nome de usuário mais comumente escolhido é admin, e alterá-lo limitará a possibilidade de ataques de força bruta ao seu site. Usar um dos nomes de usuário mais populares facilita para os cibercriminosos visarem seu site.
Como Alterar o Login no WordPress?
Método I:
- Faça login no banco de dados por meio do phpMyAdmin.
- Procure pela tabela wp_users.
- Encontre sua conta e clique em editar.
- Na coluna user_login, altere o antigo nome de usuário para o novo.
Método II:
- No painel do WP, adicione um novo usuário com privilégios de Administrador.
- Faça login na nova conta.
- Exclua a conta antiga.
Alterando a Página de Login
Por padrão, você pode acessar todo site WordPress por meio de URLs como:
example.com/wp-login.php,
example.com/wp-admin/
Para reduzir o número de ataques de força bruta, você pode usar o plugin Limit Login Attempts para limitar o número de tentativas de login e bloquear um usuário por um tempo especificado. No entanto, se você deseja proteger completamente o formulário de login, pode alterar sua localização usando o plugin WPS Hide Login.
Será muito mais difícil adivinhar que o painel está localizado em
example.com/niceteddybear.
Bloqueando o Acesso a Arquivos
Ao usar regras específicas no arquivo .htaccess, você pode garantir o acesso externo a arquivos ou pastas específicos.
Na pasta principal do WP, você encontrará os arquivos xmlrpc.php e wp-config.php, que armazenam dados para o banco de dados MySQL. Portanto, é recomendável adicionar uma camada extra de segurança para esses arquivos, adicionando a seguinte regra ao arquivo .htaccess localizado na mesma pasta.
<files wp-config.php>
order allow,deny
deny from all
</files>
<files xmlrpc.php>
order allow,deny
deny from all
</files>
Além disso, no diretório /wp-content/uploads/, se não existir, crie um arquivo .htaccess e adicione a seguinte regra para bloquear a execução de certos vírus:
<Files ~ “.ph(?:p[345]?|t|tml)$”>
deny from all
</Files>
Desativar Funcionalidades Desnecessárias
O WordPress oferece várias funcionalidades que muitas vezes não são utilizadas, tornando válido desativar algumas delas. Se você usa comentários, considere desmarcar as duas primeiras caixas em Configurações → Discussão.
Pingbacks têm o objetivo de informar o administrador do site quando alguém vincula ao seu post. Se você não utiliza os comentários incorporados do WordPress, instale o plugin Disable Comments.
Plugins de Segurança
À medida que novos ataques e vírus direcionados a sites baseados no WordPress continuam surgindo, muitas empresas introduziram complementos para nos ajudar a nos defender contra eles. Alguns exemplos desses plugins são Wordfence Security, All In One WP Security & Firewall e iThemes Security.
Esses plugins focam principalmente em garantir a segurança de nossos sites detectando software malicioso e bloqueando ataques de força bruta. No entanto, vale ressaltar que o uso desses plugins pode resultar em uma ligeira diminuição na velocidade do site.
Cópias de Backup
Criar cópias de backup regulares é crucial, mesmo que seu provedor de hospedagem já cuide disso para você – assim como a UltaHost, que realiza automaticamente backups diários do seu WordPress Hosting.
Ser cauteloso significa ser extra seguro, portanto, ainda é recomendável cuidar das suas cópias de backup, especialmente antes e depois de fazer alterações significativas no seu site, mesmo que confie no seu provedor de hospedagem.
O WordPress oferece numerosos plugins de backup, mas um que vale a pena recomendar é o UpdraftPlus. Este plugin permite backups automáticos que podem ser enviados para outro servidor.
Conclusão
Proteger o seu site WordPress contra vírus é de extrema importância no cenário digital atual. Com a crescente popularidade do WordPress, o risco de ataques, vírus e outras ameaças também aumentou significativamente. Cibercriminosos podem causar danos substanciais a proprietários de sites e negócios online se não estiverem devidamente protegidos.
Seguindo essas recomendações, você pode reduzir significativamente o risco de seu site WordPress ser vítima de ciberataques. Lembre-se de que manter uma abordagem proativa em relação à segurança e ficar informado sobre as últimas ameaças contribuirá para uma experiência WordPress mais robusta e segura. Mantenha-se vigilante e continue priorizando a proteção de seus valiosos ativos online.
Você está preocupado que terá que pagar mais por nossa plataforma de hospedagem segura? Não se preocupe, ela não é apenas segura, mas também oferece hospedagem WordPress barata! Receba suporte 24/7 de nossa equipe de suporte. Nossa infraestrutura foca em dimensionamento automático, desempenho e segurança. Deixe-nos mostrar a diferença! Confira nossos planos de Hospedagem WordPress!