S1:E1 – 3 razões pelas quais o WordPress é seguro, mas fácil de hackear

Publicados: 2022-01-26

Você deve ter ouvido isso muito tempo “Não vá com WordPress é fácil de hackear”. Mas a realidade é bem diferente e distante do que pensamos ou ouvimos.

Estamos fornecendo serviços de segurança e manutenção do WordPress nos últimos 5 anos. Ao longo desta jornada, concluímos que o WordPress é muito seguro por si só, mas devido a 3 principais razões, ele não ganha popularidade em segurança como outros CMS PHP como drupal ou Joomla.

Então, se você tiver uma pergunta semelhante em sua mente. Você vai obter sua resposta neste artigo.

Índice

3 razões pelas quais o WordPress é seguro, mas fácil de hackear?
- Razão 1. O público em massa não é técnico
  - 1.1 O que é um usuário não técnico?
  - 1.2 Que erro geralmente um usuário não técnico comete?
  - 1.3 E se o proprietário de um site WordPress não atualizar os patches de segurança em tempo hábil?
  - 1.4 E se o proprietário de um site WordPress instalar um tema nulo?
  - 1.5 Qual é o problema com plugin pago sem assinaturas?
  - 1.6 Permissões de arquivo soltas
  - 1.7 Qual é a solução?
- Razão 2. Muito Flexível
  - 2.1 O que quero dizer com muito flexível?
  - 2.2 Vamos fazer comparação de CMS em flexibilidade (Drupal, Magento, WordPress, Opencart)
  - Qual é a solução para isso?
- Motivo 3. Maior acionista do mercado ~ 36 – 40% do site está no wordPress.

3 razões pelas quais o WordPress é seguro, mas fácil de hackear?

O público de massa não é técnico
Muito flexível na modificação
Maiores acionistas do mercado ~ 36 – 40% dos sites estão no wordPress

Então, vamos discutir os três pontos acima um por um. Isso lhe dará uma compreensão profunda do que exatamente quero dizer com os pontos acima.

Razão 1. O público em massa não é técnico

Portanto, a primeira pergunta que deve surgir em suas mentes a quem estou me referindo não é técnica. Então aqui está uma lista de verificação rápida para analisar se você é técnico ou não técnico:

1.1 O que é um usuário não técnico?

Se você não sabe sobre a estrutura de diretórios do wordpress, por exemplo, como os arquivos são salvos pelo wordpress, onde os arquivos do tema são armazenados etc.
Você não conhece a arquitetura cliente-servidor.
Se você não sabe sobre grupo e permissão no sistema operacional.

Não há nada de ruim, mas alguém pertence de cima, comete erros com muita facilidade e os hackers se adiantam.

1.2 Que erro geralmente um usuário não técnico comete?

Não atualize os patches de segurança em tempo hábil.
Eles instalam o tema nulo.
Retransmitir em plugin pago sem assinaturas.
Permissões de arquivo soltas

Há muito mais que abordaremos neste curso de segurança do WordPress, um por um, com soluções. Mas acima são top uma vez.

1.3 E se o proprietário de um site WordPress não atualizar os patches de segurança em tempo hábil?

O WordPress e outras empresas de segurança continuam fazendo testes de penetração (encontrando brechas de segurança) e continuam liberando a versão segura de seu código base. 80% dos proprietários do WordPress não têm tempo para fazer este exercício regularmente. (pelo menos quinzenalmente).
Portanto, se você não atualizar os hackers, eles usarão essa brecha e assumirão o controle do seu site e o usarão da maneira que quiserem.
Agora você deve estar se perguntando por que eles hackearam seu site WordPress inútil? Eles pegam principalmente o suco de SEO do seu domínio. Abordarei este tópico em detalhes nas próximas sessões.

1.4 E se o proprietário de um site WordPress instalar um tema nulo?

temas nulos são basicamente versões gratuitas/crackeadas de temas pagos. Como você sabe, nada vem de graça. Quem investiu seu tempo em cracking, fazendo SEO para que seu tema nulo pudesse chegar até você. Eles devem ter que criar sua fonte de receita. Eles fazem isso adicionando alguns códigos adicionais (spams) a ele.
Caso você queira usá-lo, deve ser verificado com qualquer especialista do WordPress. Mas o custo de contratar um especialista em WordPress na Índia ou fora custará mais do que o tema. Então eu recomendo comprar um tema através do ThemeForest será uma boa escolha.

1.5 Qual é o problema com plugin pago sem assinaturas?

Assim como os patches de segurança do WordPress, os plugins pagos também liberam seus patches. E na maioria das vezes devido a sem assinatura. Os proprietários de sites WordPress não o atualizam. E torna-se um impasse. Hackers se antecipam a isso.

1.6 Permissões de arquivo soltas

Permissão de arquivo apertada pode salvá-lo na maioria dos casos. A maioria dos malwares ou spams afeta seu código, não o banco de dados. Então, removendo a permissão de gravação. malware ou spam não podem modificar seu arquivo existente ou criar um novo.

1.7 Qual é a solução?

Anote os erros acima ou você pode participar do nosso curso gratuito de segurança do wordpress, que lhe dará uma idéia sobre tópicos básicos e avançados.
Mantenha a permissão do seu servidor muito apertada.
Pare a execução na pasta wp-content.
E há muitos mais que discutiremos mais adiante neste curso.

Razão 2. Muito Flexível

O WordPress oferece flexibilidade infinita aos proprietários de sites e podemos fazer alterações no código sem realmente tocar nos códigos.

Muitos plugins estão lá no marketing para um recurso específico. Nós apenas os instalamos e as coisas começam a funcionar.

Então vamos fazer algumas perguntas frequentes rapidamente

2.1 O que quero dizer com muito flexível?

Flexibilidade no WordPress significa que você não precisa de habilidades especiais de codificação para fazer as alterações necessárias no site WordPress. Algo que seja fácil de entender.

2.2 Vamos fazer comparação de CMS em flexibilidade (Drupal, Magento, WordPress, Opencart)

Eu fiz 4 comparações de CMS com base em 3 pontos:

Nível de esforços que você precisa para fazer alterações na funcionalidade existente.
DevOps – Implantando o site no servidor e fazendo a operação relacionada para executá-lo sem problemas.
Habilidades de codificação requerem para começar a criar sites com o WordPress.

A comunidade do wordpress é muito grande. Então, se você acha que precisa de um recurso aleatório. Você receberá um plugin para isso. Tenho 99% de certeza disso. Caso você precise construir uma funcionalidade personalizada, é tão flexível em modularidade. Você pode adicionar essa funcionalidade sem tocar nos códigos reais. (através de ganchos)
No DevOps – O processo de instalação é bastante simples. Você não precisa de muitas extensões exclusivas para serem habilitadas no servidor, como precisamos em magneto ou drupal.

Um não-técnico não pode instalar magneto, drupal tão facilmente quanto ele pode fazer com wordpress.
Mas imagine se os plugins começarem a modificar os arquivos da maneira errada em vez da maneira certa? Seu site pode ser fodido nos próximos minutos.

Mesmo que você não monitore seu site – o SPAM lento e matador como o Japanise SEO SPAM pode destruir seus anos de trabalho de SEO.

Qual é a solução para isso?

Você pode superar esse problema sabendo duas coisas:

Estrutura de diretórios do WordPress
Permissão de arquivo correta e como aplicar.
e monitorando as atividades do seu site.

Estas são duas coisas que abordei nos próximos artigos. E um breve foi dado no vídeo – clique aqui para assistir

Motivo 3. Maior acionista do mercado ~ 36 – 40% do site está no wordPress.

Todo mundo quer resolver o problema onde o público é grande. Porque se eles resolverem um único problema que é sofrido pela massa. Eles podem ganhar mais lucro com os mesmos esforços. Hackers de fórmulas semelhantes também se aplicam! Eles sabem se encontram uma brecha em particular no WordPress ou seu famoso plugin instalado em milhões de sites. Eles obtêm acesso a milhões de sites de uma só vez. 💡 Dica profissional - compreensão mais importante e recomendada - cronologia de hackear sites sem valor. Clique aqui para assistir

Eu expliquei todos esses 3 tópicos em um vídeo de 40 minutos. Caso você tenha perdido esse vídeo. Você pode assistir a este vídeo e entender este tópico em profundidade. Se você tiver alguma dúvida em sua mente - você pode perguntar na seção de comentários no youtube.