5 Ameaças Mais Comuns a Sites WordPress
A INTERNET está cheia de pragas e perigos. Não é um ambiente cem por cento seguro. Contudo, existem aquelas ameaças que são constantes e recorrentes a Sites em WordPress. Perigos e ameaças que não devemos neglicenciar, se precisamos manter qualquer site seguro. Principalmente se temos um site ou blog em WordPress que represente, ou que seja, o nosso próprio negócio.
São destas ameaças que abordo neste artigo; os tipos de ataques mais comuns a sites em WordPress. Diariamente, milhares de sites em WordPress são atacados e hackeados de diversas maneiras.
Para a segurança dos nossos sites em WordPress, é fundamentar saber como combater estes ataques. Não saberemos combater, sem primeiro aprender a identificar e saber como funcionam. Existem varias ameças a sites em WordPress. Dentre as mais usuais, descrevo 5 abaixo:
1 – Ataques de Força Bruta
2 – Ataques DDoS
3 – Injeção SQL
4 – Malwares
5 – Infeção nos Plugins
Agora que aprendemos quais são, vamos saber como cada uma delas funciona para sabermos como as identificar quando temos o nosso site debaixo de um ataque.
ATAQUE DE FORÇA BRUTA
O que é ataque de força bruta?
Um ataque de força bruta é quando uma pessoa ou software, tenta várias vezes repetidas, adivinhar a senha e o nome de usuário de um sistema, para poder acessá-lo. No contexto deste artigo, o sistema é um site em WordPress Em regra geral, ataques de força bruta são efetuados por robots que tentam usar milhares de combinações de senhas e nomes de usuários para acessar sistemas. O ataque de força bruta é a forma de invasão mais utilizada na internet.
Como Pessoas podem fazer ataques de força bruta?
Se alguém quer acessar o seu site, por exemplo, essa pessoa, pacientemente vai tentar adivinhar o seu nome de usuário e senha até conseguir e usá-los para invadir o site.
Ataques de Força Bruta, feitos por humanos são geralmente efetuados por pessoas próximas que conhecem detalhes da vida pessoal do administrador ou de qualquer usuário do site.
Podem também ser feitos, por hackers que talvez tenham obtido alguma informação pessoal de um dos usuários ou administrador do sistema através de engenharia social. Que também não deixa de ser uma forma de ataque.
Estatisticamente falando, ataques de força bruta, feito por humanos têm poucas chances de sucesso.
Ataques de força bruta geralmente têm sucesso se o usuário abrir brechas, criando uma senha fraca, e por algum motivo, deixar vazar ou revelar o seu nome de usuário.
Um exemplo de senha fraca muito comum, é a famosa e mais usada senha, que é a sequência crescente de números de 1 a 8. (ex: senha: 12345678)
Uma conta com esta senha e que o nome de usuário seja exposto, aí podemos crer que, as chances de sucesso de uma tentativa de invasão serão maiores.
Use senhas complexas e que são difíceis de adivinhar para se defender de ataques de força bruta
Para poder colmatar este problema o usuário, pode optar, por usar um gerador de nome de usuário, para gerar um nome de usuário mais complexo e difícil de adivinhar.
Quando o usuário opta por usar um gerador de senhas automático, é bom que este gerador tenha a opção de guardar senhas e credenciais de logins.
Porque criar vários nomes de usuários complexos para diversas contas a tarefa de memorização destas senhas é cada vez mais árdua. Se o gerador de senhas não tem esta função convém procurar uma ferramenta para guardar as senhas e logins, a não ser que a pessoa possua uma memória de elefante.
ATAQUES DDoS
O que é um ataque DDoS.
DDoS é a sigla de Distributed Denial of Service. Traduzindo para português, significa; ataque distribuído de negação de Serviço.
ATAQUES DDoS, são ataques muito comuns na internet.
O Ataque DDoS é um dos meios mais usados por hackers, e criminosos cibernéticos para destruir e tirar sites fora do ar.
Por palavras mais simples; Para fazer ataques DDoS, hackers usam vários servidores (ou redes de servidores, chamadas de botnets) de modo a gerar tráfego através de maus robots, com a finalidade de sobrecarregam o site alvo com enorme tráfego, mas do que o servidor do site possa suportar.
Esta sobrecarga de tráfego faz com que os limites de largura de banda do servidor onde se encontra hospedado o site alvo do ataque, sejam atingidos, colocando o site fora do ar e em alguns casos, até mesmo o servidor e outros sites que se encontram no mesmo servidor.
Quando o ataque é longo e brutal pode até causar alguns danos no sistema do servidor do site alvo.
Existem várias maneiras de se proteger contra ataques DDoS. Isto vou abordar futuramente neste site.
INJEÇÃO SQL
O que é Injeção SQL?
Injeção SQL é uma maneira de ataque ou invasão onde o hacker procura acesso ao banco de dados do site através de injeção de códigos SQL em formulários, onde o código inserido não é higienizado.
O WordPress usa base de dados SQL, quando o hacker encontra um site com formulários sem sanitização, ele procura introduzir comandos (SQL) nos campos do formulário. No entanto, estes comandos são recebidos pelo banco de dados, muitas vezes dando o retorno desejado pelo hacker.
Encontrada a vulnerabilidade e conseguindo acessar o banco de dados, o invasor pode extrair dados preciosos do site, tais com informações sobre o administrador do site, senhas, nomes de usuários, informações pessoais, informação financeira, manipular totalmente o banco de dados, fazer uma cópia da mesma ou apagá-la completamente.
Há casos em que o invasor impersonaliza o administrador do site e toma de assalto todo site. Fazendo com que os proprietários percam acesso temporário ou total do site.
Para entender melhor esta explicação você precisa saber o que é sanitização ou higienização do código introduzido no formulário
Segue uma explicação simples sobre Injeção SQL
Você tem um formulário que tem um campo onde é solicitada a inserção de número de telefone. Se o desenvolvedor não programar de maneiras que esse campo aceita apenas números, qualquer usuário poderá inserir palavras, sinais e códigos.
Quando o usuário submeter o formulário, o banco de dados vai receber e registrar estas palavras e sinais. Que são totalmente irrelevantes, uma vez que é um campo para colher a informação de números de telefones apenas.
Encontrando uma brecha, um hacker pode inserir comandos SQL neste campo, que vão manipular a base de dados SQL. Sanitização é a forma de programar de maneiras que este campo crie filtros e aceita apenas a submissão do tipo de inputs relacionados a informação que se pretende colher, no caso do nosso exemplo, estes inputs são apenas números.
MALWARES
O que são malwares?
A palavra Malware é a junção das palavras, malicious e software, que em português, significa software malicioso.
Malwares são códigos ou programas criados para causar danos e prejuízos diversos a qualquer sistema informático.
Enquadrando no contexto deste artigo, estes malwares são malwares que atacam sites em WordPress.
Existem vários tipos de malwares, dentre os quais os mais conhecidos são: Vírus, spywares, adwares, trojans (cavalos de tróia), ransomware e outros
Todos estes tipos de malwares, quando designados para atacar sites em WordPress, podem causar danos a qualquer site WordPress que apresente alguma vulnerabilidade de segurança.
Por isso, para manter qualquer site seguro, livre destes malwares, há a necessidade de se fazer um bom gerenciamento de segurança do seu site, implementado as medidas de segurança necessárias e blindar-se contras os ataques dos mesmos.
PLUGINS INFETADOS
Plugins infectados não são propriamente uma forma de ataque ou ameaça, mas uma vulnerabilidade, o repositório do WordPress tem atualmente mais de 50 mil plugins.
Muitos desenvolvedores destes plugins, não fazem manutenção do código dos seus plugins e assim como também não desenvolvem atualizações de segurança.
Plugins do Repositório de Plugins do WordPress também podem ter falhas de segurança.
Se, por exemplo, nesta multidão de plugins, alguém da comunidade WordPress ou algum desenvolvedor de empresas focadas no desenvolvimento de solução de segurança para WordPress, de repente descobrir uma vulnerabilidade neste plugin, é preciso que o desenvolvedor do mesmo aja rápido, lançando uma atualização com patches de segurança, de modo a extinguir tal vulnerabilidade.
Caso isto não aconteça, todos os sites que têm este plugin instalado poderão estar expostos e sofrerem ataques por meio da brecha de segurança criada pelo plugin que apresenta a vulnerabilidade.
Outro ponto não menos nocivo, é de plugins com códigos muito pobres. Apesar de todos os plugins passarem por um processo de avaliação, aquando da submissão ao repositório de plugins do WordPress, mesmo assim, existem coisas passam pela avaliação sem serem notadas.
E, obviamente, podemos instalar sem saber, a partir do repositório de plugins do próprio WordPress, plugins com códigos que apresentam brechas de segurança.
Por esses motivos, é preciso ter cuidado antes de instalar qualquer plugin, mesmo que esteja, dentro do repositório de plugins do WordPress.
Futuramente falarei dos cuidados que devemos ter com plugins, como identificar plugins vulneráveis, e que tipo de plugins devemos evitar se queremos manter o nosso site seguro.
As 5 ameaças apresentadas neste artigo, fazem parte das mais comuns em Sites em WordPress.
Se você quer manter o seu site blindado, procure por mais artigos sobre segurança em WordPress e se informe mais sobre o assunto na página de segurança do Codex WordPress.
Aprendendo a combater estas ameaças, estaremos aptos para garantir a segurança de qualquer site WordPress.
Assiste abaixo a aula sobre ameaças comuns para sites WordPress do meu Curso de Segurança WordPress na Udemy.