Protegendo seu site WordPress contra ransomware

WordPress é o CMS mais popular do mundo. E embora isso geralmente seja uma coisa boa, também pode tornar o WordPress um alvo para software malicioso que busca um amplo alcance.

Infelizmente, como os ataques cibernéticos se tornaram maiores e mais escaláveis ​​ao longo dos anos, a longo prazo, muitas vezes não é uma questão de 'se', mas 'quando' as empresas on-line serão atacadas. E os sucessos altamente divulgados dos recentes ataques de ransomware significam que essa tendência provavelmente continuará.

Dito isto, existem muitas etapas que você pode seguir para tornar seu site muito menos vulnerável a ataques comuns.

Entendendo o risco

Ransomware é um software que um invasor instala em seu servidor ou em seu computador após usar um exploit para obter acesso. Uma vez instalado, o software geralmente será executado automaticamente, imediatamente ou após ficar inativo por um tempo.

Até alguns anos atrás, os ataques de ransomware geralmente visavam as estações de trabalho do Windows. No entanto, em 2017, os analistas começaram a registrar um aumento nos casos de ataques a sites WordPress.

Depois que o software é executado, o ransomware usa criptografia poderosa para bloquear todos os seus arquivos, negando seu acesso. O que resta é uma interface exigindo um pagamento de resgate – geralmente em bitcoin não rastreável – para desbloquear os arquivos.

Pagando o resgate

Várias empresas de alto perfil, e até cidades, foram afetadas em todo o mundo nos últimos anos. Em junho, Lake City, na Flórida, pagou um resgate de US$ 500.000 a hackers que assumiram o controle de seus sistemas de computador.

Mas pagar o resgate não garante que os hackers descriptografarão seus dados. E mesmo que o façam, eles podem deixar partes do software para trás para criptografar seus arquivos novamente em uma data posterior.

Em alguns casos, o software cria um arquivo .php contendo uma interface que supostamente destrava arquivos criptografados. No entanto, esse arquivo não funciona e, mesmo que você obtenha acesso, precisará de um desenvolvedor WordPress qualificado para corrigir todo o código quebrado.

Mantenha tudo atualizado

Manter o WordPress e quaisquer temas e plugins atualizados para as versões mais recentes é a maneira mais simples de proteger seu site contra ransomware. Essas atualizações contêm, entre outras coisas, os patches de segurança mais recentes dos desenvolvedores.

Os hackers estão constantemente procurando por vulnerabilidades para explorar. Uma vez identificados, os desenvolvedores lançam patches para corrigir os problemas. Versões desatualizadas do WordPress apresentam uma enorme vulnerabilidade, pois não foram desenvolvidas para resistir às ameaças de segurança mais recentes.

Você também deve verificar regularmente se as versões do seu host PHP e MySQL estão atualizadas. Uma boa agência WordPress cuidará de manter tudo atualizado para você, para que você não precise se preocupar.

Proteja-se contra ataques de força bruta

Um ataque de força bruta, como o nome indica, é um ataque não sofisticado em que um bot tenta obter acesso ao seu site usando centenas de combinações de nome de usuário e senha por minuto até acertar.

A natureza direta desses ataques os torna relativamente fáceis de prevenir ao banir endereços IP que tentam acessar seu site várias vezes com detalhes de login incorretos. Mas sem essa camada simples de proteção, os bots podem tentar continuamente obter acesso até que sejam bem-sucedidos.

Limit Login Attempt Reloaded é um plugin que permite limitar o número de tentativas de login, tanto pela página de login quanto pelos cookies.

Definir segurança de acesso forte

Por mais óbvio que possa parecer, usar palavras curtas e fáceis de adivinhar – ou, pior ainda, 'senha' – pois sua senha tornará seu site WordPress incrivelmente vulnerável.

Mas mesmo senhas fortes que foram usadas por muito tempo, ou para muitos aplicativos diferentes, podem se tornar vulneráveis. Recomendamos o uso de um gerador de senhas, como o 1Password, para criar e armazenar com segurança senhas fortes e exclusivas para cada login.

Como alternativa, você pode adicionar autenticação de dois fatores ao seu login do WordPress usando o Google Authenticator. Essa camada adicional de segurança pode ser habilitada por usuário, permitindo que funções de usuário menos privilegiadas continuem fazendo login com uma senha.

Instalar certificados SSL

Os certificados SSL garantem que todos os dados transmitidos entre seu computador e seu navegador sejam criptografados, tornando muito mais difícil para os hackers interceptarem a conexão.

Os provedores de hospedagem gerenciada do WordPress, como o WP Engine, incluem instalação e renovação automatizadas de certificados SSL em todos os seus planos de hospedagem.

Alterar o prefixo do banco de dados do WordPress

O WordPress usa um prefixo de banco de dados padrão e usar esse prefixo torna seu site vulnerável a ataques de injeção de SQL. Isso pode ser evitado alterando o prefixo wp- padrão para outra palavra.

Se você já instalou o WordPress com o prefixo padrão, não se preocupe. Existem vários plugins que ainda permitem que você altere - apenas certifique-se de fazer backup de tudo primeiro, caso algo dê errado.

Desativar a edição de arquivos

Se os hackers conseguiram obter acesso ao seu painel de administração do WordPress, eles poderão editar todos os arquivos que fazem parte da sua instalação do WordPress.

Definir uma segurança de acesso forte é, portanto, a primeira linha de defesa. No entanto, ao desativar a edição de arquivos, os hackers não poderão modificar nenhum de seus arquivos, mesmo que tenham acesso ao seu painel.

Isso é feito restringindo completamente o arquivo theme-editor.php e removendo a opção Theme Editing do CMS.

Medidas Adicionais

Medidas de segurança adicionais incluem sempre seguir as diretrizes de desenvolvimento de melhores práticas descritas no WordPress Codex. Idealmente, você também deve realizar uma revisão por pares do seu código, pois isso ajuda a melhorar a qualidade geral e pode eliminar quaisquer erros ou vulnerabilidades negligenciados.

Você também deve verificar se todos os formulários em seu site estão protegidos contra injeções de SQL e scripts entre sites e desabilitar o XMLRPC.

Uma maneira simples de melhorar a segurança de acesso é impedir que hackers conheçam seus nomes de usuário, pois isso significa que eles só precisam encontrar suas senhas para obter acesso. Você pode fazer isso excluindo o usuário com o nome 'admin' e restringindo os endpoints padrão WP-JSON para ocultar todos os outros nomes de usuário.

Você também pode fornecer uma camada adicional de segurança ao seu servidor executando um aplicativo como o Sucuri, que verifica continuamente as vulnerabilidades.

Faça backup do seu site regularmente

Uma das principais razões pelas quais muitas empresas acabam pagando o resgate aos hackers é que eles não tinham bons backups, o que significa que o custo do resgate seria menos caro do que perder todos os seus dados.

E com backups, quanto mais você tiver, melhor. Os ataques de ransomware também podem criptografar seus backups se estiverem armazenados em uma unidade local. Você pode fazer backup de seus dados no servidor, mas backups externos armazenados em um local separado são ainda mais seguros.

Os hosts gerenciados do WordPress geralmente oferecem backups do lado do servidor como parte de seus planos de hospedagem.

Conclusão

Embora você não consiga interromper definitivamente todos os ataques – principalmente se sua empresa for o alvo – há várias etapas que você pode seguir para garantir que seu site não se destaque como uma escolha fácil para hackers.

A escala e a sofisticação do ransomware estão crescendo o tempo todo, mas os hackers – como a maioria dos criminosos – também são oportunistas, e garantir que seu site seja menos vulnerável do que a maioria ainda é a melhor maneira de manter seus dados seguros.

Se você gostaria de discutir a segurança do seu site WordPress e como ele pode ser melhorado, por favor, entre em contato conosco.