Como ter certeza absoluta de que seu site WordPress é seguro?

Publicados: 2022-03-08

Duas ou algumas décadas atrás, o roubo se restringia a arrombar para roubar a renda ou objetos de valor de alguém. Os malfeitores e ladrões de agora, entram no tipo de hackers. Todos que encontram e exploram vulnerabilidades de programas de software para fins pessoais ou políticos.

Pouco antes de começar, você deve saber que este post não entra no âmago da segurança do WP, mas discute os gatilhos para as vulnerabilidades do WordPress. Se não é isso que você está procurando, eu recomendo que você estude – “Beefing Up WordPress Security – A Full Information To Securing WordPress Web pages“. No entanto, devo dizer que entender a natureza mãe das vulnerabilidades do WP no passado fornece uma boa percepção sobre como você pode garantir os protocolos de proteção do seu site.

Por que as pessoas se dividem em sites e centros de conhecimento? Invadir sites da Internet que contêm dados de clientes, IDs de e-mail, números de cartão de crédito, etc. é muito mais recompensador do que roubar um credor. Se você administra um site razoavelmente próspero, tenho certeza que centenas, se não inúmeras tentativas de acessar os dados do seu site já foram feitas.

Mais recentemente, AshleyMadison.com foi hackeado e os detalhes de 37 milhões de compradores foram roubados. Os hackers exigiram que o site fosse encerrado, caso contrário divulgariam os detalhes das informações roubadas do usuário, que incluem fantasias sexuais. Isso apresenta um estilo do tipo de destruição que um hacker pode induzir simplesmente acessando os fatos.

A segurança da Internet é um tema extremamente importante e cada vez mais aplicável, devido ao número de sites que surgem para obter informações pessoais e dados de seus usuários.

Até 65% da rede é executado com o WordPress como o processo de gerenciamento de conteúdo escrito, então hoje vou discutir a estabilidade do WordPress e como os sites WP foram qualificados ou invadidos no passado.

Por que se comprometer com excelentes táticas de segurança?

  • Você deve a seus compradores e clientes que confiam em você informações e fatos individuais confidenciais para mantê-los seguros.
  • Seu site é hackeado – Você perde dinheiro.
  • Seu site é hackeado – Seus rankings do mecanismo de pesquisa apenas levam uma viagem de ida para o inferno.

Sites de internet WordPress são invadidos por milhares, se não centenas de centenas. Nem todos os estudos de página da web que foram invadidos no anterior. Não é um grande endosso para sua marca, como você pode imaginar.

Eu gostaria de esclarecer um pouco sobre o requisito para este post sobre segurança do WordPress.

De acordo com uma pesquisa, compartilhada por Sandro Gucci (fundador da proteção de permissões).

  • 73,2% das instalações mais populares do WordPress são vulneráveis ​​a vulnerabilidades que podem ser detectadas aplicando recursos automáticos gratuitos.
  • Apenas 7.814 sites (18,55%) atualizaram para o WordPress 3.6.1, esta foi a última variação do WP quando o teste foi realizado.
  • 13.034 sites (30,95%) continuaram gerenciando uma versão suscetível do WordPress, edição 3.6. O WordPress 3.6 tinha 5 vulnerabilidades reconhecidas na época.

E se você estiver pensando, muito bem, isso é apenas uma caracterização generalizada injusta de sites desconhecidos compactos em algum lugar do site obscuro, você estaria enganado. Os dados foram fabricados com base em uma revisão de cerca de 42.000 sites WordPress nos sites Best A single Million da Alexa. Essa é uma grande variedade de sites suscetíveis para supostamente os sites de internet mais visitados na rede mundial de computadores. Esses sites acumulam uma grande quantidade de informações sobre seus visitantes e assinantes.

Os dados estavam corretos como em setembro de 2013, não acredito que teria se desviado muito, já que então e mesmo que tenha, as estatísticas exibidas neste artigo exibem a escala das dificuldades de segurança que afligem o WordPress.

Se você quiser evidências extras que comprovem que o WordPress pode ser comprometido. Refiro-me a um exame da Netcraft,

  • Em fevereiro de 2014, havia 12.000 blogs do WordPress que serviam como plataformas para páginas de phishing.
  • Muito mais de 8% de todos os URLs de malware bloqueados pela Netcraft para distribuir malware hospedado na World Wide Web acabaram em blogs do WordPress.

Eu preciso dizer que não apenas um dos blogs estavam sendo executados em Automattic wordpress.com. Isso deve realmente ilustrar claramente que mesmo o WordPress pode ser vulnerável se não for usado com cautela e alguma compreensão da proteção WP. Um motivo adicional para isso pode estar associado ao simples fato de que todos os blogs hospedados no wordpress.com estão atualizados assim que as atualizações do WordPress são lançadas. Considerando isso, é preciso mencionar que as atualizações automáticas do WordPress foram lançadas no modelo WP 3.7 para defender sites de explorações de dia zero.

E mesmo depois disso, houve uma série de preocupações de segurança que atormentaram o WordPress. Veja este registro de vulnerabilidades do WordPress em diferentes versões da plataforma.

Agora não há absolutamente nada que você possa fazer para impedir que isso aconteça, novas vulnerabilidades geralmente serão descobertas. O grupo principal do WP levou a estabilidade muito a sério e tornou o WordPress muito mais seguro.

Mas, como acontece com outros softwares populares, a exploração de vulnerabilidades resulta em uma recompensa extra quando mais pessoas começam a usá-los.

Não acredita em mim? Se você acha que, de alguma forma, o WordPress se tornará abruptamente livre de todas as vulnerabilidades, examine este gráfico!

vulnerabilidades do wordpress ao longo dos anos

Mesmo que a quantidade de vulnerabilidades tenha diminuído ao longo do tempo de seus picos em 2007 e 2014, o incentivo para descobrir novas vulnerabilidades e explorar não tem fim, oferecendo o aumento da lucratividade devido à crescente reputação do WordPress.

O WordPress pode talvez ser seguro fora da caixa, mas imediatamente após incorporar tantos plugins/temas e código personalizado, muitas vulnerabilidades começam a aumentar com grande pressa.

Dito isto, podemos fazer pequenas melhorias no seu WordPress, para torná-lo muito mais protegido. Primeiro, precisamos ter um conhecimento completo da segurança do WordPress, o que é bastante útil para descobrir as causas da falha na segurança.

Você pode ficar surpreso ao descobrir que raramente é o caso em que o sistema principal do WP está com defeito nas instâncias de uma violação de estabilidade. É muito mais provável que algo que você tenha extra no seu WP gere uma vulnerabilidade que os hackers possam explorar.

Como os sites do WordPress são comprometidos?

O problema em garantir uma segurança abrangente é que não existe isso.

Supondo que seu WordPress esteja completamente protegido, você continua tendo seu Apache, cliente FTP, MySQL e qualquer aplicativo que opere em seu servidor com o qual você precise se preocupar. Seu site é tão livre de riscos quanto seu URL mais fraco. E isso envolve a qualidade do pacote de software do seu host, os temas e plugins nos quais seus sites são executados.

Eu quero ter muito mais estatísticas mais recentes que eu possa encenar você também. No entanto, esta revisão oferecida como um infográfico no blog do WpWhiteSecurity fornece uma excelente visão sobre como os sites da Internet do WordPress são invadidos e o que pode torná-los suscetíveis.

A pesquisa foi realizada com base em informações de 170.000 sites que estavam sendo hackeados em 2012. Houve um aumento de 18% na variedade de hacks do ano anterior (2012), o detalhe engraçado é que a variedade de vulnerabilidades não aumentou exatamente na mesma proporção. Mas mesmo um pequeno aumento nas vulnerabilidades afeta muito mais sites, devido ao aumento do uso de WordPress e produtos centrados no WordPress.

  • 41% dos WordPress hackeados foram hackeados por uma vulnerabilidade de segurança em seu sistema de hospedagem.
  • 29% foram hackeados por causa de um problema de estabilidade no tema WordPress que eles usaram.
  • 22% estavam sendo hackeados por um problema de proteção nos plugins do WordPress que eles usavam.
  • 8% acabaram invadidos principalmente porque tinham uma senha fraca.
  • A partir do mencionado anteriormente, podemos concluir que muito mais de 51% dos sites hackeados do WordPress foram invadidos por meio de uma vulnerabilidade nos temas ou plugins do WordPress com os quais estavam trabalhando.

Uma parte frustrante dos hacks surgiu devido à instalação de software no tipo de plugins, temas e simplesmente porque os provedores de serviços de hospedagem na web não conseguiram reforçar suficientemente a segurança do servidor.

Não há nenhum nível em discutir os passos para proteger seu site, antes de abordar as ótimas opções que você tem em condições de proteção quando se trata de hospedagem na web, temas e plugins. E vou falar sobre como você pode obter um excelente software de terceira ocasião e hospedagem segura para o seu site antes de começar a recomendar algumas etapas de estabilidade para reforçar a segurança do WP.

Conclusão

Sites WordPress raramente são vulneráveis ​​devido a erros no código central da técnica de gerenciamento de informações. Mas um site não funciona totalmente baseado na técnica de gerenciamento de conteúdo escrito, ele requer um host de internet para hospedar o CMS na rede mundial, temas para torná-lo sofisticado e plugins para inserir as funções necessárias. Incluir várias camadas de software de terceiros para sua configuração do WordPress pode tornar sua estabilidade um pouco porosa, se não for realizada adequadamente.

Seu WordPress principal, os plugins e temas e o host da rede precisarão se conectar para manter a operação da página da Web do WordPress. Essa conversa às vezes tem falhas e torna os sites suscetíveis.

Positivo 8% dos sites podem ser comprometidos devido a senhas fracas. Continuando, um enorme volume de evidências indica que a introdução de plugins/temas terrivelmente escritos ou um host de internet que roda em um programa de software desatualizado é o principal resultado de uma grande parte de todos os sites do WordPress invadidos ou desligados.

Agora que reconhecemos alguma clareza sobre as causas das vulnerabilidades do WordPress, como parte da próxima publicação da série WP Stability, vou me concentrar nas medidas que você precisa ter para aumentar a segurança do WordPress.

Por favor, compartilhe os detalhes se você já experimentou seu site WordPress comprometido por um hack ou vítima de um ataque DDOS. Possivelmente Aigars ou eu tentaremos remediar o problema se estiver apenas dentro de nossos poderes. Felicidades