[Estatísticas de segurança do WordPress] 4 principais razões pelas quais os sites do WordPress são invadidos e como evitá-los

Alimentando 34% de todos os sites na internet e tendo uma participação de mercado de 60,8% no mercado de CMS, o WordPress, sem dúvida, é o sistema de gerenciamento de conteúdo mais popular do mundo. No entanto, essa imensa popularidade também vem com um custo.

Ano após ano, a segurança do WordPress sempre foi um problema candente. Quanto ao estudo da Sucuri, entre 8.000 sites infectados, 74% deles foram construídos em WordPress. O Wordfence também descobriu que existem até 90.000 ataques em sites WordPress a cada minuto.

Então, por que o WordPress é altamente segmentado por hackers?

Há muitas razões pelas quais os sites do WordPress são invadidos. Neste artigo, vamos nos concentrar nos 4 principais motivos, juntamente com as estatísticas reais de hack do WordPress, peneiradas em várias fontes. Além disso, também fornecemos alguns conselhos úteis sobre como garantir a segurança do WordPress.

Vamos mergulhar!

• Hospedagem de sites insegura
• Senhas fracas
• Site WordPress desatualizado
• Temas e plugins desatualizados ou nulos
• Como garantir a segurança do WordPress

Hospedagem de sites insegura

“41% dos sites WordPress são atacados por causa das plataformas de hospedagem vulneráveis.”

Semelhante a qualquer site, o WordPress é hospedado em um host ou servidor. A maioria dos proprietários de sites WordPress parece não levar sérias considerações na escolha da hospedagem na web. Comumente, eles hospedam seus sites em um plano de hospedagem compartilhada, pois é mais acessível. Isso infelizmente acaba por ser a presa lucrativa para os atacantes.

Qualquer tentativa de invasão bem-sucedida nesse servidor compartilhado pode levar à vulnerabilidade do seu site, pois os hackers podem obter acesso ao seu site por meio desse site invadido.

Senhas fracas

Essa é uma das causas mais frequentes de ataques de força bruta bem-sucedidos. O WP Smackdown prova que 8% dos sites WordPress são invadidos por causa de senhas fracas.

Surpreendentemente, mesmo até esta data, as pessoas ainda estão usando senhas simples de adivinhar e comuns como “123456” ou “senha” para proteger seus sites. O NordPass resumiu o uso de senhas em 2020 e o que eles revelam vai deixar você boquiaberto.

Sua pesquisa apontou que os usuários tendem a definir números fáceis de lembrar ou sequências de letras como suas senhas. Além disso, eles tendem a reutilizar a mesma senha para várias contas por conveniência. O que mais importa são as senhas mais fáceis de lembrar, mais vulneráveis ​​a serem quebradas.

Versões desatualizadas do WordPress

Uma versão desatualizada do WordPress está entre uma das maiores razões pelas quais um site é invadido. Um estudo da Sucuri mostra que 36,7% dos sites invadidos possuem versões desatualizadas.

Novas versões adicionarão recursos mais avançados e corrigirão as vulnerabilidades das antigas. No entanto, alguns usuários até desativam o recurso de atualização automática. De acordo com o WordPress, apenas 32,2% dos usuários do WordPress atualizaram seus sites para a versão mais recente-5.6.

Por que os usuários se recusam a atualizar seus sites?

As principais desculpas são:

• Eles tendem a atrasar ou esquecer as notificações de atualização devido à sua ocupação (ou preguiça).
• Eles temem que a atualização afete o desempenho de seus sites.

Mas você sabe o que, às vezes, a ignorância lhe custa muito. A invasão da plataforma de blogs da Reuters em 2012 é uma lição típica.

A Reuters esqueceu de manter a instalação do WordPress atualizada, dando aos hackers chances de atacar seu site. Eles encheram vários posts falsos no site da Reuters, incluindo uma suposta entrevista com o líder do exército rebelde siberiano. Naquela época, a Reuters estava usando a versão 3.1.1 em vez da 3.4.1.

Temas e plugins desatualizados ou nulos

Muitos proprietários de sites sofreram ataques devido a vulnerabilidades de temas e plugins. Embora o WordPress atualize instantaneamente seu núcleo com patches de segurança, essa melhoria não se aplica aos seus plugins.

De acordo com uma estatística do WP Scan, até 2020, houve 21.936 vulnerabilidades do WordPress. Entre eles, 52% e 11% das vulnerabilidades do WordPress relatadas estão relacionadas, respectivamente, a plugins e temas, enquanto o núcleo do WordPress responde pelo restante.

Além disso, no relatório Wordfence 2020 WordPress, o Wordfence enfatizou que o malware de plugins e temas nulos representa uma ameaça à segurança do WordPress. Tanto o WP Scan quanto o Wordfence concordam que Cross-site Scripting e SQL Injection são os tipos de vulnerabilidade mais populares em plugins e temas do WordPress.

Veja os 10 principais temas e plugins mais vulneráveis ​​listados pelo Wpwhitesecurity (última atualização em 08 de outubro de 2020) e você ficará surpreso.

Top 10 plugins mais vulneráveis:

No gráfico acima, Nextgen Gallery, Ninja Forms e WooCommerce lideram o top 3 com mais de 20 vulnerabilidades. Até mesmo um plug-in de segurança chamado “All In One WP Security & Firewall” aparece nesta lista, o que significa que os plug-ins de segurança também podem ser alvo de hackers.

Os 10 temas mais vulneráveis:

O gráfico em anexo mostra que os temas não causam muitas vulnerabilidades em comparação com os plugins. O maior número de vulnerabilidades é cinco e recai sobre o tema Echelon and Traveler. Isso ocorre porque os temas não envolvem estender a funcionalidade como os plugins fazem. Eles assumem principalmente a responsabilidade pela aparência dos sites WordPress.

Como garantir a segurança do WordPress

A partir das alarmantes estatísticas e fatos de segurança do WordPress acima, concluímos 5 soluções viáveis ​​para ajudá-lo a garantir a segurança do seu WordPress. O que você precisa fazer agora é:

• Invista em suas hospedagens na web
• Crie senhas exclusivas
• Mantenha seu site atualizado
• Use plugins de segurança do WordPress
• Evite usar temas e plugins nulos

Invista em suas hospedagens de sites

Você recebe o que você paga. Optar por uma hospedagem confiável reduzirá significativamente a probabilidade de seu site ser invadido. A hospedagem na web de alta qualidade não apenas suporta a versão mais recente do PHP e MySQL, mas também fornece varreduras de malware e backup regular.

Um servidor dedicado é altamente recomendado como a opção de hospedagem mais segura. Claro, é muito caro, mas é super útil se o seu site tiver alto tráfego e contiver dados confidenciais.

Fique longe de soluções de hospedagem compartilhada. No entanto, se você já estiver usando um plano de hospedagem compartilhada, mude para a hospedagem VPS.

Crie senhas exclusivas

Senhas seguras são necessárias não apenas para contas de administrador do WordPress, mas também para hospedagem na web, contas de FTP e bancos de dados MySQL.

Para criar uma senha forte, primeiro você precisa evitar o uso de números ou letras adjacentes comuns, como “1234567” ou “abcdef”, e caracteres repetitivos, incluindo “abc123” ou “111111111”.

Além disso, evite usar as mesmas senhas para sites diferentes. Você deve criar uma senha longa, complexa e robusta com pelo menos 8 caracteres para cada conta.

Uma senha ideal deve ser misturada entre palavras, números e símbolos, por exemplo, !wdf34*de5. Não se esqueça de redefinir suas senhas regularmente a cada 90 dias.

Mantenha seu site atualizado

Para evitar ser o segundo Reuters, o que você precisa fazer é atualizar seu site WordPress para a versão mais recente. Preste atenção às notificações de atualização em seu painel.

Se você tem medo de que a atualização interrompa seus sites, crie um backup antes de executar uma atualização e teste a atualização em seu site de teste.

Use plugins de segurança do WordPress

Instalar plugins de segurança do WordPress é a solução mais simples e eficaz para proteger seu site de qualquer tipo de ataque, incluindo malware.

Optar por um plug-in de segurança que permita verificar vulnerabilidades, aplicar senhas fortes, bloquear redes maliciosas, implementar um firewall e assim por diante. Há uma ampla gama de plugins de segurança WordPress confiáveis ​​neste campo, que vários figurões são Sucuri, Wordfence e BlogVault.

Evite usar temas e plugins nulos

Plugins e temas nulos são a versão hackeada dos premium, que não possuem um recurso de verificação de licença. Normalmente, esse recurso é desabilitado ou removido desses plugins e temas, o que leva a malwares potencialmente maliciosos.

Não podemos negar que plugins e temas nulos são tentadores, considerando que são gratuitos e fáceis de baixar. No entanto, leve em consideração esta ideia: se você usar essas cópias piratas, não haverá correções de segurança, pois elas não terão atualizações disponíveis de seus desenvolvedores.

Portanto, sugerimos que você baixe plugins ou temas originais de sites confiáveis ​​ou invista seu dinheiro em premium. Pense neles a longo prazo, você pode proteger seu site e receber novos recursos ou suporte adicional em correções de segurança.

Conclusão

Este artigo guiou você por 4 razões principais pelas quais o WordPress é hackeado com números reais. As estatísticas de hack do WordPress fornecidas visam destacar a importância de aumentar a segurança do WordPress.

Também apresentamos conselhos úteis sobre como impedir o WordPress de possíveis ataques. “Precaução é melhor do que remediar.” Você deve prestar atenção especial na escolha da sua hospedagem na web, na atualização do seu núcleo, plugins e temas do WordPress, bem como na criação de senhas fortes.

Existem estatísticas de hack do WordPress que você espera que compartilhemos neste artigo, mas perdemos? Você já teve alguma experiência com exploração de sites? Sinta-se à vontade para compartilhar conosco na seção de comentários abaixo!