Segurança em Sites WordPress: 7 possíveis ataques e como defender-se

Quais são os riscos e possíveis atividades maliciosas a que o WordPress está exposto? A que consequências podem conduzir?

Sendo um CMS de código aberto, o WordPress oferece tanto vantagens como desvantagens em termos de segurança: o código fonte é constantemente controlado por uma comunidade muito ativa de programadores, mas o código em si é, pela sua própria natureza, acessível a pessoas maliciosas que o podem estudar com o intuito de explorar as suas fraquezas.

Isto não significa que o WordPress não seja fiável, mas, como qualquer outro CMS, é vulnerável a operações maliciosas destinadas a roubar dados, distribuir malware ou direcionar visitantes do website para páginas de terceiros.

Quais são os riscos e possíveis atividades maliciosas a que o WordPress está exposto? A que consequências podem conduzir? Vamos descobrir juntos.

As principais ameaças a que o WordPress está exposto

A gestão cuidadosa das questões de segurança no WordPress é uma ferramenta indispensável para proteger o seu site, o valor dos serviços que fornece, as informações que contém e a fiabilidade percebida pelos utilizadores finais face às muitas ameaças a que está exposto.

Estas ameaças são frequentemente ignoradas por aqueles que têm a prioridade compreensível de gerir os seus negócios antes das questões de segurança e são invisíveis até manifestarem os seus efeitos prejudiciais nos seus negócios.

Aqui estão os 7 tipos mais comuns de ataques a sites WordPress:

  1. DDoS
  2. Malware / Backdoor
  3. Ataque de Brute Force
  4. SQL Injecção
  5. Cross Site Scripting
  6. Pharma Hack
  7. Clickjacking

Vamos entrar em detalhes e ver as características de cada possível ameaça e como estes ataques podem explorar as vulnerabilidades do WordPress.

1. DDoS

DDoS significa Distributed Denial of Service e é um ataque informático lançado por vários computadores ao mesmo tempo com o objetivo de interromper a entrega de um serviço de rede.

Esta vaga de pedidos simultâneos, que satura a capacidade dos sistemas para assumir e satisfazer os pedidos individuais de acesso ao site é o princípio em que se baseia um ataque DDoS.

O termo distribuído refere-se ao facto de os inúmeros pedidos simultâneos virem de máquinas distribuídas em toda a rede, que quase sempre, fazem pedidos de acesso aos sites em segundo plano e, portanto, escondidos dos proprietários insuspeitos.

2. Malware / Backdoors

Malware ou “software malicioso” é um termo geral que descreve um programa/código malicioso que coloca um sistema em risco. Esta categoria inclui os tipos de ataques que utilizam várias técnicas para transmitir, injetar e executar código malicioso numa instalação WordPress.

São muitas vezes realizados por temas ou plugins infetados ou desatualizados e podem ser utilizados para piratear dados, modificar conteúdos ou torná-los indisponíveis, ou explorar vulnerabilidades na instalação do WordPress para conduzir atividades maliciosas no sistema que aloja o site. Um dos tipos mais comuns de malware utilizado para ataques a sites WordPress é um Backdoor.

Um Backdoor é um código malicioso que pode ser utilizado para contornar processos normais de autenticação e rastreio de actividade, permitindo o acesso remoto ao servidor, muitas vezes limitando ou inibindo a capacidade de detectar tal actividade.

3. Ataque Brute Force

Um ataque de Brute Force consiste numa série de tentativas repetidas por um ou mais bots para descobrir as credenciais de login para uma página de login.

Estes bots utilizam algoritmos e dicionários específicos para tentar milhares de combinações por segundo para encontrar o utilizador e a palavra-passe corretos.

O WordPress não tem funcionalidade nativa para bloquear tentativas repetidas de login, por isso, se as credenciais não forem devidamente seguras e robustas, estes bots podem tentar milhares de palavras-passe por segundo durante um longo período de tempo e espalhar o ataque por várias fases até serem encontradas.

 

4. Injecção SQL

Todo o conteúdo de um site WordPress é armazenado, organizado e indexado numa base de dados MySQL.

SQL significa Structured Query Language, uma linguagem de programação utilizada para criar estruturas de dados e relações entre eles dentro de uma base de dados.

A funcionalidade do CMS WordPress permite-lhe então criar conteúdos tais como artigos, comentários ou imagens, apresentá-los, organizá-los ou selecioná-los, definindo categorias ou listas, editá-los e gerir credenciais, armazenar ou alterar palavras-passe, através da interação com a base de dados.

Cada vez que um utilizador “chama” a sua página e solicita algum conteúdo, o WordPress extrai os dados da base de dados, junta-os ao PHP e cria um documento HTML que é depois transferido para o browser do utilizador. O utilizador não tem conhecimento de todos os processos que decorrem até esse momento.

Uma injecção SQL é um ataque efetuado a uma aplicação, geralmente uma aplicação web, que pode comprometer a base de dados através de instruções/instruções SQL maliciosas que exploram regras interpretativas ou restrições linguísticas para fins maliciosos.

5. Cross Site Scripting (XSS)

Um ataque XSS consiste em explorar vulnerabilidades num website, injetando código JavaScript não autorizado no código do website, que é depois executado no lado cliente do browser (modo applet) ou armazenado e executado no servidor (modo servlet).

O objetivo mais comum desta técnica, que lhe dá o nome, é o de redirecionar os browsers dos utilizadores para outro website, por vezes, muito semelhante ao original, inteligentemente configurado para os enganar, exigindo-lhes a introdução de credenciais ou detalhes de pagamento ou mesmo apenas detalhes de contacto para serem utilizados em tentativas subsequentes de “traçar o perfil” de fraude, geralmente através de phishing.

Alguns ataques, embora mais raros, podem também ter o único objetivo comercial de induzir os seus utilizadores a subscrever outros serviços ou a comprar produtos, aumentando a base de utilizadores, a visibilidade e a classificação dos motores de busca de outros websites.

Qualquer que seja o objetivo, para além dos danos particulares à reputação, os danos causados pelo redirecionamento do tráfego de utilizadores e a consequente indisponibilidade do serviço oferecido pelo seu site devem ser tidos em conta.

6. Pharma Hack

Este tipo de ataque explora vulnerabilidades em versões desatualizadas do WordPress ou dos seus plugins para inserir código corrompido que interage com os motores de busca para os levar a devolver anúncios de produtos, muitas vezes produtos farmacêuticos, em vez do endereço do site tacado.

A técnica utilizada chama-se Search Engine Poisoning e resulta em utilizadores do seu site serem direcionados para outros endereços web, na sua maioria anunciantes que, para além de obterem rankings nos motores de busca, lhes oferecem produtos ou serviços.

7. Clickjacking

O Clickjacking é uma técnica informática fraudulenta que utiliza Javascript malicioso ou código Iframe para criar páginas transparentes posicionadas visualmente acima da página real. O objetivo é permitir a um atacante redirecionar os cliques do utilizador para outros fins que não os apresentados na página.

De facto, o utilizador é redirecionado, sem o seu conhecimento, para outros objetos que activam descarregamentos de ficheiros, enviam informações, transações económicas ou outras atvidades indesejadas ou intercetam as teclas do utilizador, a fim de adquirir informações secretas, tais como credenciais ou dados de pagamento.

Como evitar estes ataques?

Aqui estão 6 regras básicas para evitar os principais ataques cibernéticos e assegurar um website construído com WordPress.

  1. 1. Atualizar o WordPress e os seus plugins
    2. Instalar apenas temas e plugins de fontes confiáveis
    3. Testar plugins e temas num ambiente de desenvolvimento separado do site
    4. Escolher um plano de alojamento seguro
    5. Ativar um certificado SSL
    6. Não alterar extensões de ficheiros php

 Leia também “4 passos para proteger o seu Site”.

A manutenção do seu website é uma atividade chave para garantir a segurança e protegê-lo de grandes ataques cibernéticos.