Quando se inicia neste negócio de criação de websites, tudo parece ser perfeitamente funcional, prático e inquebrável. Mas à medida que se ganha experiência no sector, percebe-se que tudo o que reluz não é ouro:
- As coisas nem sempre funcionam como se quer
- Os websites ou parte deles avariam-se
- Uma atualização pode piorar um problema que já tinha
O WordPress gere 60% dos websites que utilizam um CMS como motor principal. O WordPress é uma ferramenta poderosa, não há dúvida nisso.
Contudo, o facto de o WordPress estar tão bem estabelecido no mundo digital (e o simples facto de a grande maioria dos websites do mundo correr nele) também o torna uma ferramenta que os hackers atacam frequentemente.
Embora não existam sistemas informáticos, websites ou qualquer sistema que seja infalível (basta perguntar aos bancos e às grandes empresas), na realidade o WordPress é bastante seguro se seguir várias regras que o ajudam a manter os ataques sob controlo.
Contents
Razões pelas quais alguém quereria atacar o nosso website
Existem várias razões para alguém querer obter acesso ao ambiente de trabalho ou servidor em que um website está a funcionar, mas há três razões principais para os ataques:
Para obter dinheiro
Por exemplo, alterando os endereços de login ou API’s que utilizamos para rentabilizar o nosso website.
Podemos aperceber-nos que algo não está certo quando, após vários dias sem receber rendimentos, descobrimos que o API, o utilizador ou a conta de rendimentos correntes do nosso sistema de monetização foi alterado.
Se for um e-commerce que vende online e numa quebra de segurança conseguirem roubar os números de cartão de crédito dos seus clientes, por exemplo, perderá credibilidade e a confiança dos utilizadores no seu website. Se a fuga de dados for grande e/ou muito sensível, poderá mesmo ter problemas legais.
Para obter dados
Os dados de registo do utilizador, no caso, por exemplo, de websites que rentabilizam as suas newsletters e necessitam que o utilizador se registe para as enviar (nomes, dados pessoais, língua, endereço electrónico…) são um pedaço muito valioso sob a forma de uma base de dados que vale a pena o esforço.
Para eliminar a concorrência
O Google penaliza os websites que não funcionam corretamente ou que violam as diretrizes de conteúdo e qualidade estabelecidas pela empresa.
Fazer jogo sujo contra um concorrente obtendo acesso ao seu website de forma fraudulenta para “maltratá-lo” adicionando links de spam, criando páginas de baixa qualidade ou excluindo URLs de forma massiva que acabarão inundando o website com erros 404 com a estratégia de fazer o Google acreditar que é um website de baixa qualidade.
Se a confusão não for resolvida a tempo, o Google penalizará o website, o website cairá no SERPS, perderá visibilidade e a empresa atacante terá um concorrente a menos.
Proteger o seu WordPress de ataques
Embora o WordPress faça o seu melhor para evitar que o nosso website seja enviado para o cemitério, também podemos fazer a nossa parte para dificultar quem o deseja fazer.
Se quiser evitar desgostos e sobressaltos de ter o seu WordPress pirateado, comece a trabalhar nas seguintes tarefas que menciono abaixo.
Escolher uma boa palavra-passe
Uma palavra-passe não é segura por ser mais longa ou ter mais ou menos caracteres, mas devido a uma combinação de ambos.
Dado a capacidade de processamento dos computadores atuais (cerca de 8.000 milhões de cálculos por segundo) uma palavra-passe só pode ser considerada segura contra ataques de força bruta se tiver mais de 20 caracteres e incluir minúsculas, maiúsculas, números, símbolos especiais e se estes forem combinados de forma aleatória.
Neste artigo explico como conceber palavras-passe fortes e seguras e como gerir um grande número de palavras-passe incontestáveis sem enlouquecer ou ter de as escrever numa folha de excel.
Exato: Passar tempo a gerar boas palavras-passe e depois colá-las numa folha de excel? Não me parece uma muito boa ideia.
Manter o website actualizado
As atualizações não são meros caprichos concebidos para acrescentar mais funcionalidade a um theme ou plugin. Também corrigem buracos de segurança que podem comprometer a estabilidade de um website.
Ter o nosso WordPress, theme e plugins desactualizados significa ganhar números para ter um website instável e mais propenso a ataques.
Altere o seu endereço de início de sessão WordPress
O endereço de login padrão para todo o WordPress a nível mundial é nomedowebsite.com/wp-admin o /wp-login. Assim, se sabe que um website é um WordPress, pode verificar se os administradores alteraram esse endereço de acesso adicionando /wp-admin o /wp-login a la URL inicial*.
*Pode verificar se um website funciona com WordPress em menos de um minuto, analisando o seu código fonte ou passando o URL por uma ferramenta tipo WhatCMS).
A propósito: como podem ver, o endereço de acesso ao meu sítio web não é spagenciaseo.com/wp-admin, mas outro. 😉
Ao alterar o endereço de acesso por defeito do nosso WordPress, evitamos de forma directa os chamados ataques de força bruta (testes de palavras-passe aleatórias), como veremos na secção seguinte.
Para alterar o endereço de login do WordPress de forma rápida e simples, utilizo um plugin muito leve e eficaz: WPS Hide Login.
Para alterar o endereço de início de sessão predefinido, utilizando WPS Hide Login basta introduzir o URL que pretende utilizar como endereço de início de sessão e dizer ao plugin o que pretende que aconteça quando alguém quiser aceder ao endereço de início de sessão predefinido.
Se se esquecer do endereço de login definido, terá de desativar o plugin através dos ficheiros do servidor e o endereço de login predefinido do WordPress será definido novamente.
Evite os ataques de força bruta
Os ataques de força bruta são realizados mediante o método de tentativa e erro: experiências aleatórias de palavras-passe até que uma delas esteja correta. Se a senha for fraca, estamos a ganhar pontos para que os atacantes tenham acesso ao nosso website.
Se não tivermos alterado o endereço padrão de acesso do nosso WordPress, como foi explicado na secção anterior, os atacantes apenas têm de apontar os seus robots para a página de acesso do WordPress e programá-los para testar as palavras-passe de forma aleatória e ininterrupta.
Mas existem formas de evitar que alguém experimente palavras-passe sem pausas: os sistemas de anti brute force
Plugins para evitar os ataques de força bruta
Existem plugins leves e eficazes que bloqueiam um endereço ip quando este excede o número de tentativas de acesso que tenhamos especificado.
Eu, tanto utilizo Loginizer como o WPS Limit Login (mesmos desenvolvedores que a WPS Hide Login).
Instale um destes sistemas, programe-o correctamente e está feito.
Como se pode ver na imagem anterior, em média há uma ou duas tentativas de login usando uma palavra-passe aleatória a aproximadamente cada 10 minutos (e já vi websites com registos muito piores do que este). Os bots atacam os URLs de login padrão do WordPress (e também sabem qual é o utilizador administrativo, fácil de passar pelo id do autor), o que significa que se o alterarmos, evitaremos estes ataques.
Na minha experiência, todos os WordPress com quem trabalhei (TODOS) são atacados por sistemas de força bruta. Por outras palavras: sempre que coloquei um sistema de registo de ataques por força bruta, acabei sempre por obter dados instantâneos. Portanto, com efeito: o seu WordPress também está provavelmente a sofrer de um sistema automatizado que está a testar as palavras-passe neste preciso momento.
Implementar um sistema de autenticação em duas etapas
Se quiser ir a algo mais profissional e ter um WordPress à prova de bombas, pode combinar tudo o que foi dito acima com um sistema de autenticação de dois fatores ou Two Factor Authentication (2FA).
Um sistema 2FA é o mesmo que o banco faz para confirmar uma transferência: pede-lhe o número do cartão de coordenadas e pede-lhe também o código que acabou de lhe ser enviado por SMS.
Um resumo do que NÃO deve fazer
Para colocar tudo no seu lugar e resumindo, os ingredientes para um website inseguro são os seguintes:
Usar uma palavra-passe fraca, ou pior, usar a mesma palavra-passe fraca para tudo.
Não ter o nosso WordPress, themes e plugins devidamente atualizados para a versão mais recente
Não alterar o endereço de início de sessão por defeito do WordPress
Não possuir um sistema de rejeição de ataques por força bruta
Resolver um desastre
Se o nosso website foi pirateado e nos apercebemos disso, temos de desfazer todas as alterações que os atacantes fizeram aos sistemas. Contudo, isto pode ser um trabalho árduo e muitas vezes impossível. Por isso que é extremamente importante trabalhar com fornecedores de alojamento competentes que possam dar uma mão quando a situação se torna difícil.
Trabalho principalmente com Loading.es, pela simples razão de que oferece um sistema de serviço ao cliente eficiente e muito rápido, um ambiente de gestão de servidores de fácil utilização e uma política de cópias de segurança de alta qualidade.
Loading.es oferece instalação WordPress com dois cliques, SSL grátis e alojamento rápido SSD desde 47€ mais IVA ao ano. Clique no banner para mais informações
As cópias de segurança
Dispor de backups diários é crucial para poder desfazer um desastre sob a forma de vírus, malware ou hacking do nosso website. Se soubermos a data em que o website foi pirateado, podemos simplesmente restaurar uma cópia de segurança dos ficheiros e bases de dados para uma data anterior ao ataque.
No entanto, se não fizermos mais nada, é provável que o website seja atacado outra vez da mesma forma: teremos de trabalhar para implementar as medidas de segurança necessárias para evitar que o website seja atacado de novo.
