Perdeu! Seu site foi hackeado…Dicas de segurança para seu site!

Certo, e agora seu site foi hackeado! Como aumentar a segurança do meu site feito em WordPress?

Com a grande quantidade de dados disponíveis na internet, é fundamental aumentar a precaução em relação à segurança.

Cometer o equívoco de pensar que apenas grandes empresas estão sujeitas a ataques cibernéticos é um erro. A segurança da informação deve ser uma preocupação constante para todos os participantes do ecossistema digital, incluindo provedores de hospedagem, desenvolvedores de sites e aplicativos, bem como os próprios usuários.

Para compreender melhor o conceito de segurança da informação e sua importância para a sua empresa, a CityPubli elaborou um conteúdo abrangente. Continue lendo para saber mais.

Importância do processo de segurança

Você já ouviu falar sobre indivíduos mal-intencionados que acessam informações sigilosas de empresas e as expõem publicamente? Ou talvez sobre ataques em grande escala, nos quais até mesmo governos e grandes redes sociais são vítimas de ataques conhecidos, como Ransomware, WannaCry e Bad Rabbit?

Portanto, é crucial estabelecer medidas de segurança da informação para proteger sistemas e computadores contra acessos não autorizados. De acordo com um levantamento realizado pela empresa de segurança cibernética Kaspersky, entre fevereiro e abril de 2020, houve um aumento de 330% nos ataques remotos no Brasil.

Diante desse cenário, é essencial implementar uma política de segurança da informação, independentemente do tamanho do site ou da empresa, para garantir que esses dados sejam acessados apenas por pessoas autorizadas.

Atualmente, existem inúmeras ameaças que podem afetar sua presença online, desde ataques massivos a servidores até hackers menores capazes de roubar informações de cartões de crédito.

Ameaças à segurança

De acordo com o relatório “The Rise of the Business-Aligned Security Executive”, da Forrester Consulting, divulgado em agosto de 2020, 96% das empresas brasileiras admitiram ter sofrido algum tipo de ataque cibernético nos últimos 12 meses. Os tipos mais comuns de ataques incluem:

• Violação de contas: ocorre quando um sistema de segurança é comprometido, expondo informações de cartões de crédito e contas bancárias, que podem ser utilizadas para cometer fraudes financeiras;
• Botnets: são redes de computadores infectados por malware, permitindo o acesso a informações sem o conhecimento do usuário;
• Teste de cartão bancário: consiste em testar a compra com um cartão de crédito ou débito roubado para verificar se o proprietário bloqueou o cartão;
• Phishing: trata-se de páginas falsas que possuem características muito semelhantes a sites legítimos, com o intuito de confundir o usuário e fazê-lo acreditar que está em um site seguro e conhecido.

Outras ameaças

As ameaças à segurança da informação não se limitam apenas a malwares ou sistemas maliciosos. Existem diversos problemas ou situações que podem representar perigos para o banco de dados. Veja alguns exemplos:

• Infraestrutura do servidor que hospeda o seu site;
• Erros humanos, como inserção de informações incorretas;
• Falhas técnicas, como atualização do sistema incompatível, o que pode resultar na perda de informações.

Como garantir a segurança do meu site?

Existem várias recomendações que podem auxiliar os gestores na proteção dos dados da empresa, inclusive a compreensão da norma ISO relacionada à segurança da informação.

A norma ISO/IEC 27001 fornece orientações sobre a implementação de um sistema seguro e certificado de forma independente, permitindo demonstrar compromisso com as normas internacionais. Confira outras medidas que podem fortalecer a segurança:

• Utilize um certificado de segurança SSL;
• O protocolo HTTPS é a forma mais fácil e segura de proteger o seu site e evitar violações, garantindo que as informações pessoais dos clientes não sejam expostas;
• A criptografia proporcionada pelo Certificado SSL dificulta o acesso não autorizado. Além disso, é importante mencionar que o Google notifica os usuários sobre sites que não possuem certificados;
• Faça backups regulares do seu site, preferencialmente em uma versão online e automática, para não se preocupar constantemente com a salvaguarda das informações e estar preparado para qualquer tipo de ameaça.

Como proteger e reforçar a segurança do WordPress Confira neste material algumas práticas que contribuirão para a segurança da sua conta WordPress:

1. Medidas de segurança na conexão

• Faça uma conexão segura:
  • Evite acessar sua conta WordPress em redes Wi-Fi abertas ou públicas. Em vez disso, prefira se conectar pelo 3G/4G do seu celular.
  • Dê preferência a uma conexão via cabo.
  • Se utilizar Wi-Fi, utilize protocolos de segurança como WPA-2, WPA ou WEP.
  • Sempre altere a senha padrão do roteador por uma senha complexa e segura.
  • Desative a função WPS se estiver habilitada em sua conexão Wi-Fi.
• Evite navegar por meio de um proxy gratuito ou pago:
  • O tráfego passa por um servidor desconhecido e alguns proxies são usados para espionar dados privados.
• Mantenha seu computador e sistemas seguros:
  • Utilize um antivírus em seu computador e tenha um firewall atualizado.
  • Faça varreduras completas semanais em sua máquina.
  • Mantenha o sistema operacional atualizado.
  • Não instale aplicativos de origem suspeita, como softwares gratuitos ou piratas. Verifique as recomendações e avaliações das ferramentas.
  • Não abra anexos de e-mails de remetentes desconhecidos.
• Utilize SSL para criptografar dados:
  • Instale um certificado SSL em seu domínio para criptografar os dados ao acessar o seu site.

2. Medidas de proteção para o login no WordPress

• Não use o usuário “admin” para acessar o WordPress:
  • A instalação padrão do WordPress inclui o usuário “admin”. Evite usá-lo, pois isso torna o seu site vulnerável a ataques de hackers.
• Altere o link da página de login do WordPress e use uma senha segura:
  • Personalize a URL padrão da página de login “/wp-admin” para aumentar a segurança do seu site WordPress.
  • Use uma senha segura com letras maiúsculas, minúsculas, números e caracteres especiais. Recomenda-se um comprimento de 12 caracteres ou mais.
  • Altere sua senha a cada 30 dias e utilize o plugin Expire Passwords.
  • Evite utilizar variações do seu nome, nome da empresa ou do seu site.
• Oculte mensagens de erro de acesso no login:
  • Mensagens de erro de login podem ajudar hackers a identificar nomes de usuário corretos/errados, facilitando invasões.
  • Para ocultar as mensagens de erro de login, adicione o seguinte código ao arquivo “functions.php”:

add_filter( ‘login_errors’, ‘__return_false’ );

• Limite as tentativas de acesso:
  • Instale o plugin Loginizer para evitar tentativas massivas de acesso.
  • Use um Captcha para impedir o acesso de máquinas automáticas. Você pode utilizar o reCaptcha do Google ou o plugin All In One WP Security & Firewall.

3. Medidas de segurança em pastas e arquivos

• Mantenha o diretório “wp-admin” protegido:
  • Proteja a pasta “wp-admin” com um usuário e senha para adicionar uma camada extra de proteção.
  • Você pode utilizar o plugin HTTP Auth do WordPress ou, se tiver acesso ao cPanel, seguir o procedimento de proteção de diretórios com senhas.
• Proteja os arquivos e pastas do seu WordPress:
  • Evite expor os diretórios e arquivos, tornando-os acessíveis ao público e vulneráveis a invasões.
  • Verifique se os diretórios estão protegidos digitando a seguinte URL no seu navegador (substitua “seudominio.com.br” pelo seu próprio domínio):

http://www.seudominio.com.br/wp-includes/

• • Se o link direcionar para uma página em branco ou para a página inicial do site, significa que seu site está seguro. Caso direcione para uma página diferente, seu site pode estar vulnerável.
• Desative o XMLRPC:
  • O XMLRPC no WordPress é um ponto comum de entrada para ataques e deve ser desabilitado caso seu site não precise dele.
  • Você pode restringir o acesso ao XMLRPC a determinados IPs usando as configurações do Apache ou Nginx.

Você pode restringir o terminal XMLRPC a determinados IPs, caso seja necessário, use as instruções de como desativar como segue abaixo:

Apache

<Files xmlrpc.php> order deny,allow allow from 192.0.64.0/18 deny from all </Files>

Nginx

location = /xmlrpc.php { allow 192.0.64.0/18; deny all; access_log off; }

4. Medidas de segurança ao usar plugins

• Use plugins e temas oficiais (wordpress.org):
  • Evite utilizar plugins e temas de fontes duvidosas, como redes P2P ou eMule, gerenciadores de download, etc., pois podem conter vírus e malwares.
• Mantenha os plugins e temas atualizados:
  • O WordPress notifica sobre atualizações, mas, caso um plugin não esteja no diretório oficial, as atualizações podem não ser identificadas automaticamente.
  • Desinstale plugins e temas que não esteja usando e prefira utilizar plugins e temas mais recentes.
• Instale plugins de segurança:
  • Utilize plugins como WordFence, iThemes Security e BulletProof Security para verificar arquivos, corrigir falhas comuns, fortalecer credenciais de usuário e detectar malwares.

5. Medidas extras de segurança

• Evite o cadastro de usuários:
  • Desative a opção “Qualquer um pode se registrar” nas configurações gerais do seu WordPress.
  • Caso precise permitir o registro de usuários, utilize plugins como WangGuard para detectar e eliminar ameaças de spam e malwares.
• Não use o prefixo “wp_” para o banco de dados:
  • O prefixo padrão “wp_” facilita ataques em massa. Se você já tiver instalado dessa forma, utilize o plugin Change DB Prefix para alterá-lo (faça um backup do banco de dados antes de fazer qualquer alteração).
• Adicione cabeçalhos de segurança HTTP:
  • Adicionar cabeçalhos de segurança HTTP proporciona uma camada extra de segurança ao seu site, ajudando a reduzir ataques.
  • Adicione os cabeçalhos x-content-type-options, x-frame-options e x-xss-protection.
• Faça backups periódicos e automáticos:
  • Mantenha cópias de segurança regulares do seu site WordPress para prevenir perda de arquivos em caso de invasões.