Se você já teve problemas com malwares, pode ser que você tenha tido dores de cabeça para tentar removê-los, costumam ser difíceis de identificar e só nos importamos quando eles já estão provocando muitos ruídos. Nesse artigo você vai conhecer sobre o que são malwares e dicas para proteger seu site WordPress deles. Vamos lá?

Quais são os tipos de Malware

Malware é basicamente, todo software ou código malicioso, que tenta conseguir informações sigilosas ou realizar ações que expõe vulnerabilidades para um usuário ou rede. Malware engloba vários tipos de programas maliciosos. Alguns deles são:

• Vírus: Basicamente são programas que podem acabar infectando sistemas, geralmente surgem de instalações de programas que parecem legítimos. Um vírus pode realizar várias ações maliciosas, como excluir dados, modificar o sistema, disparar spam, etc.
• Spyware: São programas que espionam o sistema de usuários, geralmente presentes em redes de internet públicas, podem acabar expondo vulnerabilidades do sistema.
• Ransomware: É um tipo de programa malicioso que criptografa dados e informações de um usuário e em seguida pede um valor de resgate para que a criptografia seja desfeita.
• Worm: Um dos mais perigosos, ele cria cópias dele mesmo e se espalha para várias partes do sistema.
• Backdoor: Esse é um tipo de Malware que gera vulnerabilidades, muitas vezes abrindo portas para ser possível o acesso de mais malwares.

Formas de entrada de um malware na hospedagem

A entrada de um malware costuma ser imprevisível, mas claro, existem os padrões mais recorrentes, saber deles é importante para buscarmos formas de vedar essas entradas, são eles:

1. Invasão através de vulnerabilidades em aplicações desatualizadas.
2. Roubo de credenciais, geralmente coletadas por meio de sites que tiveram suas informações sigilosas vazadas.
3. Bruteforce, golpe que usa diversas tentativas de acesso com uma sequência de senhas a fim de encontrar a correta.
4. Instalar temas e plugins piratas, que em muitos casos acabam viabilizando a entrada de malwares no site.

Ficou interessado em saber mais sobre o assunto? Então confira o material que preparamos em áudio no Blog Express:

Como saber se meu site tem malwares?

Para fazer um escaneamento em um site você pode utilizar diversas ferramentas. Neste artigo, recomendo utilizar o site Sucuri SiteCheck, que realiza uma análise do seu site de forma gratuita e rápida.

Para realizar o teste, basta inserir a URL do seu site e clica em Scan Website.

Boas práticas para evitar malwares em um WordPress

É bom frisar que malwares, por ter diversos categorias e tipos, acaba se tornando uma coisa bem genérica. Por esse motivo é bom esclarecer que não existe um método específico para o combate a malwares, tudo se trata de camadas de segurança, quanto mais camadas houverem e mais complexas elas forem, melhor.

Não desanime se você realizou um método apenas e continuou tendo problemas, continue tentando criar mais e mais formas de impedir a infecção dos malwares adicionando mais complexidade as suas camadas de segurança.

1 – Realizando backup do site

Backups são nosso porto seguro, é sempre importante ter uma cópia do momento em que seu site está em funcionamento pleno, afinal, nunca se sabe quando um plugin ou tema se torna vulnerável a ataques.

Por isso o backup é essencial, uma forma de se realizar um backup gratuitamente do seu site é utilizar o plugin gratuito All-in-One WP Migration. O plugin é voltado para migração de site, mas serve também para realização de backups.

Além disso, a HostGator também oferece a ferramenta CodeGuard que permite automatizar uma rotina de backup do seu site, garantindo uma melhor otimização na hora de gerar seu backup.

2 – Tome cuidado com as conexões de internet que você utiliza

Faça conexões a redes seguras apenas, evite o acesso a sua conta WordPress em wi-fi abertos ou públicos, pois, outros usuários podem acabar coletando suas informações. Nesses momentos ter um certificado SSL instalado no seu site vai auxiliar muito, já que todas as ações realizadas no site serão criptografadas. Dê preferência aos seguintes protocolos de segurança ao se conectar na internet:

• WPA-2
• WPA
• WEP

Confira também se seu roteador pessoal está com a conexão WPS ativa, ela permite que outros usuários acessem sua rede sem a necessidade de senha, seria bom desativar essa funcionalidade para sua segurança.

3 – Protegendo o login do seu WordPress

Nesse ponto existem várias práticas interessantes a serem seguidas. O WordPress por padrão cria o usuário com nome admin para acessar o painel do WordPress. Manter esse nome é um erro muito comum, já que muitas pessoas mal intencionadas tem ciência dessa informação, fica muito mais fácil para um hacker realizar um ataque do tipo bruteforce para descobrir a senha do seu usuário WordPress.

Outra medida que pode auxiliar é alterar o link de acesso do painel WordPress. Para esse procedimento utiliza-se do plugin All In One WP Security & Firewall. Certamente vai dar uma complexidade a mais a suas camadas de segurança.

4 – Escolhendo uma senha complexa

É muito comum ver hoje em dia pessoas que subestimam a complexidade de uma senha, mas mais do que nunca a utilização de uma senha forte é necessária.

Veja abaixo uma tabela feita utilizando os dados do site HiveSystems sobre quanto tempo em média um hacker leva para quebrar uma senha dependendo de sua complexidade:

É surpreendente como escala rápido a dificuldade de quebrar uma senha quando se utiliza um maior número e variedade de caratecteres.

Para gerar uma senha complexa tornando seu site mais seguro recomendo o gerador de senhas da HostGator, onde será criado randomicamente uma senha bem segura.

5 – Plugins de segurança no WordPress

Existem diversos plugins de segurança espalhados pelo WordPress, resolvi trazer os que na mais tem surtido efeito positivo na comunidade. Os plugins são:

• CAPTCHA 4WP: permite adicionar um captcha nas páginas do seus site, como login, formulários, página de recuperação de acesso. O plugin bloqueia IPs determinados após um determinado número de tentativas frustradas de login. O sistema também permite mudar o nome do usuário padrão do administrador, garantindo mais segurança para seu site ou blog. Confira o artigo Como configurar o Captcha no WordPress.
• All in One WP Security & Firewall: tem diversas funcionalidades, dentre elas alterar a url de login do wp-admin, proteção de arquivos, proteção de firewall, detector de edição de arquivos, prevenção de spam em comentários. Além disso, esse plugin é completamente gratuito e não possui nenhuma versão premium ou algo do tipo, é uma das escolhas mais populares por conta disso e por ser altamente confiável.
• Wordfence Security: ele mostra se algum arquivo do blog foi alterado, além de enviar um e-mail quando algum plugin está com atualização pendente, ou há alguma tentativa de acesso a seu blog por pessoas não autorizadas. O plugin varre o conteúdo do WordPress, além dos temas e demais plugins, em busca de alguma adulteração ou bug, ajudando a manter o WordPress livre de ameaças. Possui versão gratuita, mas tem uma versão premium bem mais completa.

6 – Utilizar um certificado SSL

O SSL é uma ferramenta com uma importância muito grande nas camadas de segurança, responsável por fazer a criptografia das informações que o usuário passa pro servidor quando acessa seu site, de forma que ninguém consiga interceptar no meio do caminho.

Em uma situação em que acessamos uma rede de internet pública, por exemplo, podemos encontrar spywares que analisam tudo que está sendo transmitido na rede. É muito importante que seu site possua um certificado SSL ativo e se você não tem certeza se seu certificado está ativo e funcional, confira o site WhyNoPadLock que dá um diagnóstico sobre o certificado SSL de um domínio.

7 – Atualizar plugins e temas

O WordPress tem atualizações constantes, praticamente todo mês algum patch novo sai para alguma das versões do WordPress e você pode conferir pelo site de releases do WordPress.

É importante manter sua versão de WordPress o mais atualizado possível, infelizmente as versões antigas deixam de receber patches com atualizações e por isso possuem vulnerabilidades mais conhecidas pelas pessoas mal-intencionadas que utilizam disso para ações maliciosas como substituir sua página por uma página de phishing, por exemplo.

Outro ponto importantíssimo é tomar cuidado com plugins e temas piratas que existem por aí. É muito tentador usar um tema ou plugin super fantástico pago obtido através de origens questionáveis, mas o barato pode sair caro quando eles estão infestados de malwares.

O mais recomendável é a utilização apenas dos temas e plugins que tem na própria biblioteca do WordPress, e mesmo esses ainda tem seus riscos, certifique-se de que os plugins e temas que você utiliza tenham um bom número de avaliações e usuários ativos, estes costumam ser bons indicadores de confiabilidade.

Considerações Finais

Nesse artigo você conheceu algumas dicas para proteger seu site WordPress de malwares e agora basta aplicar essas dicas para aperfeiçoar suas camadas de segurança.

Se você sentiu alguma dificuldade ou então tem alguma sugestão de algo que não foi mencionado, basta deixar aí nos comentários que no futuro podemos trazer atualizações para este artigo. Também indico esses outros materiais relacionados com este assunto:

• Como proteger e aumentar a segurança do WordPress?
• Mantenha seu WordPress seguro e proteja as informações do seu site

Até a próxima! :^)