Conheça mais sobre malwares e sete maneiras de evitar ser contaminado por eles. Veja também como escanear seu site!

Se você já teve problemas com malwares, pode ser que você tenha tido algumas dores de cabeça para tentar removê-los, são sempre difíceis de identificar, e só nos importamos quando eles já estão provocando muitos ruídos. Nesse artigo falarei sobre os malwares, quais seus tipos, e para os usuários de WordPress, tenho algumas dicas de como evitá-los e como lidar com eles. Vem comigo! :^)

Quais são os tipos de Malware

Primeiramente, precisamos entender e esclarecer qual o conceito de malware. Malware é basicamente, todo software ou código malicioso, que tenta conseguir informações sigilosas ou realizar ações que expõe vulnerabilidades para um usuário ou rede. Malware engloba vários tipos de programas maliciosos. Alguns deles são:

  • Vírus: Basicamente são programas que podem acabar infectando sistemas, geralmente surgem de instalações de programas que parecem legítimos. Um vírus pode realizar várias ações maliciosas, como excluir dados, modificar o sistema, disparar spam, etc.
  • Spyware: São programas que espionam o sistema de usuários, comuns em redes internet públicas, podem acabar expondo vulnerabilidades do sistema.
  • Ransomware: É um tipo de programa malicioso que criptografa dados e informações de um usuário e em seguida pede um valor de resgate para que a criptografia seja desfeita.
  • Worm: Um dos mais perigosos, ele cria cópias dele mesmo e se espalha para várias partes do sistema.
  • Backdoor: Esse é um tipo de Malware que gera vulnerabilidades, muitas vezes abrindo portas para que seja possivel o acesso de mais malwares.

Motivos para a entrada de um malware na hospedagem

A entrada de um malware costuma ser imprevisível, mas claro, existem os padrões mais recorrentes, saber deles é importante para buscarmos formas de vedar essas entradas, são eles:

  1. Invasão através de vulnerabilidades e aplicações desatualizadas;
  2. Roubo de credenciais através de vírus no computador que realiza acesso administrativo ao site;
  3. Bruteforce, golpe que usa diversas tentativas de acesso com uma sequência de senhas a fim de encontrar a correta;
  4. Instalar temas e plugins não originais, confira nosso artigo a respeito!

Comos saber se meu site tem malwares?

Para fazer a verificação de um site, existem diversas ferramentas que podem estar sendo utilizadas para escanear possíveis ameaças de um site para seus usuários. Para essa situação recomendo utilizar o site Sucuri SiteCheck, ele possibilita a realização de um diagnóstico do seu site de forma gratuita e rápida.

Para realizar o teste, basta inserir a URL do seu site e clica em Scan Website.


Boas práticas para evitar malwares em um WordPress

É bom frisar que malwares, por ter diversos categorias e tipos, acaba se tornando uma coisa bem genérica. Por esse motivo é bom esclarecer que não existe um método específico para o combate a malwares, tudo se trata de camadas de segurança, quanto mais camadas e mais complexas elas forem, melhor. Então não desanime se você realizou um método apenas e continuou tendo problemas, continue tentando criar mais e mais formas de impedir a infecção dos malwares adicionando mais complexidade as suas camadas de segurança.


1 – Realizando backup do site

Backups são nosso porto seguro, é sempre importante ter uma cópia do momento em que seu site está em funcionamento pleno, afinal, nunca se sabe quando um plugin ou tema se torna vulnerável a ataques. Por isso o backup é essencial, uma forma de se realizar um backup do seu site utilizando o plugin gratuito All-in-One WP Migration. O plugin é voltado pra migração de site, mas serve também para realização de backups. Confira como fazer a exportação do seu site.


2 – Tenha cuidado com as conexões de internet que você utiliza

Faça conexões a redes seguras apenas, evite o acesso a sua conta WordPress em wi-fi abertos ou públicos, pois, elas expõe a outro usuários e ao dono da rede muitas informações que podem ser coletadas. Nesses momentos ter um certificado SSL instalado no seu site vai auxiliar muito, já que todas as ações realizadas no site serão criptografadas. Dê preferência aos seguintes protocolos de segurança ao se conectar na internet:

  • WPA-2
  • WPA
  • WEP

Confira também se seu roteador pessoal está com a conexão WPS ativa, ela permite que outros usuários acessem sua rede sem a necessidade de senha, seria bom desativar essa funcionalidade para sua segurança.


3 – Protegendo o login do seu WordPress

Nesse ponto existem várias práticas interessantes a serem seguidas. O WordPress por padrão cria o usuário com nome admin para acessar o painel do WordPress. Manter esse nome é um erro muito comum, já que muitas pessoas mal intencionadas tem ciência dessa informação, fica muito mais fácil para um hacker realizar um ataque do tipo bruteforce para descobrir a senha do seu usuário WordPress.

Outra medida que pode auxiliar é alterar o link de acesso do painel WordPress, esse procedimento utiliza do plugin All In One WP Security & Firewall e já foi explicado em outro artigo. Certamente vai dar uma complexidade a mais a suas camadas de segurança.


4 – Escolhendo uma senha complexa

É muito comum ver hoje em dia pessoas que subestimam a complexidade de uma senha, mas mais do que nunca a utilização de uma senha forte é necessária. Veja uma tabela feita pelo site HiveSystems sobre quanto tempo em média um hacker leva pra quebrar uma senha dependendo de sua complexidade:

TEMPO QUE LEVA PARA UM HACKER QUEBRAR SUA SENHA

NÚMERO DE CARACTÉRESAPENAS NÚMEROSAPENAS LETRAS MINÚSCULASLETRAS MAIÚSCULAS E MINÚSCULAS
4InstantâneoInstantâneoInstantâneo
5InstantâneoInstantâneoInstantâneo
6InstantâneoInstantâneoInstantâneo
7InstantâneoInstantâneo25 segundos
8Instantâneo5 segundos22 minutos
9Instantâneo2 minutos19 horas
10Instantâneo58 minutos1 mês
112 segundos1 dia5 anos
1225 segundos3 semanas300 anos
134 minutos1 ano16 milênios
1441 minutos51 anos800 milênios
156 horas1 milênio43 milhões de anos
162 dias34 milênios2 bilhões de anos
174 semanas800 miênios100 bilhões de anos
189 meses23 milhões de anos6 trilhões de anos

É surpreendente como a complexidade escala rápido com uma senha longa, para gerar uma senha complexa tornando seu site mais seguro recomendo o gerador de senhas da HostGator, onde será criado randômicamente uma senha bem segura.


5 – Plugins de segurança no WordPress

Existem diversos plugins de segurança espalhados pelo WordPress, resolvi trazer os que na mais tem surtido efeito positivo na comunidade. Os plugins são:

  1. reCaptcha: adiciona um captcha na página de login, criando uma camada a mais de segurança no acesso à área administrativa do site. O plugin bloqueia IPs determinados após um determinado número de tentativas frustradas de login. O sistema também permite mudar o nome do usuário padrão do administrador, garantindo mais segurança para seu site ou blog.
  2. Wordfence Security: mostra se algum arquivo do blog foi alterado, além de enviar um e-mail quando algum plugin está com atualização pendente, ou há alguma tentativa de acesso a seu blog por pessoas não autorizadas. O plugin varre o conteúdo do WordPress, além dos temas e demais plugins, em busca de alguma adulteração ou bug, ajudando a manter o WordPress livre de ameaças. Possui versão gratuita, mas tem uma versão premium bem mais completa.
  3. All in One WP Security & Firewall: já mencinonei ele no artigo, ele tem diversas funcionalidades dentre elas alterar a url de login do wp-admin, proteção de arquivos, proteção de firewal, detector de edição de arquivos, prevenção de spam em comentários. Além disso, esse plugin é completamente gratuito, não possui nenhum versão premium ou algo do tipo, uma das escolhas mais populares por conta disso.

Nota: Os plugins mencionados devem ser utilizados com responsabilidade e atenção, se você fizer as configurações erradas pode acabar danificando seu site. Lembre-se de fazer um backup do site sempre antes de ativar um plugin novo, especialmente se você já tiver muitos outros plugins ativos.


6 – Utilizar um certificado SSL

O SSL é uma ferramenta que tem uma importância muito grande nas camadas de segurança, ele é responsável por fazer a criptografia das informações que o usuário passa pro servidor quando acessa seu site, de forma que ninguém consiga interceptar no meio do caminho, como exemplo de quem poderia interceptar, temos o spyware, que pode ficar numa rede pública de cafeteria e analisando tudo que é transmitido na rede. É muito importante que seu site possua um certificado SSL ativo, se você não tem certeza se seu certificado está ativo e funcional, confira o site WhyNoPadLock que dá um diagnóstico sobre o certificado de um domínio.


7 – Atualizar plugins e temas

O WordPress tem atualizações constantes, praticamente todo mês algum patch novo sai para alguma das versões do WordPress, da pra sempre conferir pelo site de releases do WordPress, é sempre bom manter sua versão de WordPress o mais atualizado possível, infelizmente as versões antigas deixam de receber patchs com atualizações e por isso possuem vulnerabilidades já mais conhecidas pelas pessoas má intencionadas e que irão utilizar disso para ações maliciosas como substituir sua página por uma página de phishing. Por esse motivo é muito importante manter seu WordPress sempre atualizado.

Outro ponto importantíssimo é tomar cuidado com plugins e temas piratas que existem por ai, é muito fácil encontrar temas super fantásticos que estão infestado de malwares. É mais recomendável a utilização apenas dos temas e plugins que tem na própria biblioteca do WordPress, e mesmo esses ainda tem seus riscos, certifique-se de que os plugins e temas que você utiliza tenham um bom número de avaliações e usuários ativos, estes são bons indicadores de confiabilidade muitas vezes.


Considerações Finais

Bom, espero que o artigo tenha esclarecido algumas coisas a respeito de malware e ajudado a construir camadas de complexidade a sua segurança no WordPress. Por segurança se tratar de um tema tão abrangente, tem alguns pontos que acabei não mencionando, mas você pode conferir mais a respeito de segurança nesses outros artigos:

Dúvidas ou sugestões, deixem ai nos comentários! Até a próxima :^)