WordPress Segurança: O seu site também é interessante para hackers

Tobias Schüring Actualizado em 23.01.2020
5 min.
Ataques de hackers ao WordPress: O teu site também é interessante para os hackers

28,4 por cento dos maiores sites do mundo geridos sob WordPress . Esta alta distribuição faz dos sites WP um alvo popular para os hackers. Especialmente os operadores de sites pequenos muitas vezes pensam que são seguros, porque quem hackearia um blog com um intervalo baixo ou sem dados sensíveis? Hoje vou mostrar-vos porque é que isto é uma falácia perigosa quando se trata de WordPress segurança.

WordPress é particularmente interessante para os atacantes porque usar tantas páginas. Para muitas formas de ataque não depende da "qualidade" dos alvos hackeados, mas simplesmente da capacidade de infiltração automática do maior número possível de sites. Como pode parecer quando uma vulnerabilidade é sistematicamente explorada é mostrado no exemplo do Vulnerabilidade na segurança Na WordPress 4.7.1. Inúmeras páginas foram desfiguradas na página inicial com a nota "hacked by".

A empresa de segurança Sucuri tinha encontrado a fraqueza e passou-a para WordPress E embora a questão tenha sido abordada em WordPress 4.7.2, após a exploração ter sido tornada pública Milhões de páginas invadidas nos chamados ataques de desfaçatez.

O exemplo deixa claro que realmente cada WordPress página é interessante para os atacantes. Na maioria dos casos, os ataques são completamente automáticos. Hoje vou mostrar-vos, como pode ser um tal ataque, qual é o alvo dos hackers e que consequências isso pode ter para si e para os seus sitesassim que o seu site tenha sido pirateado com sucesso.

Hackers querem seqüestrar seus WordPress - sites

Como eu disse: Na maioria das vezes, não se trata de saber qual é o tamanho do site ou o que está disponível lá. Muitos sites que não colmataram certas falhas de segurança são simplesmente atacados automaticamente. Uma vez infectado, o site pode, por exemplo, ser mal utilizado para enviar spam ou mesmo distribuir malware - ou seja, software malicioso - para os visitantes do site.

Desta forma, os hackers criam uma rede de fornecedores de malware ou uma botnet que podem utilizar mais tarde para o DDoS ou Brute Force Ataques pode abusar. A página individual, portanto, muitas vezes só é interessante como parte de um todo maior. E quanto mais páginas um atacante seqüestra ou infecta, mais valiosa se torna a sua máquina malware.

O número de ataques WordPress está a aumentar

O número de ataques a sites na Internet tende actualmente a aumentar. De acordo com o Google 2016 Mais 32 por cento de páginas hackeadas do que em 2015. Um dos tipos de ataque mais comuns foi o chamado Brute Force Ataques. Esta é uma tentativa de inserir a combinação correta de login e senha através de uma simples adivinhação. Ou os atacantes já têm listas de senhas que estão a tentar adivinhar.

Isto também é sublinhado pelos números do fornecedor Wordfencede segurança . Há meses que o norte-americano um aumento WordPress constante destes ataques.

Ataques WordPress de hackers : Brute Force e ataques complexos a WordPress sites de dezembro de 2016 a janeiro de 2017.
Ao contrário dos Ataques Complexos, o número de Brute Force ataques está constantemente a aumentar. Isto porque estes últimos não dependem da existência de lacunas de segurança específicas.

Reach é a capital dos hackers

Isto pode ser muito bem ilustrado usando o exemplo de uma botnet. Uma botnet é uma rede de sites sequestrados (que também podem ser dispositivos finais ou roteadores habilitados para Internet) que é usada para lançar ataques DDoS contra sites ou servidores, por exemplo. Os elementos da botnet são ativados e bombardeiam o alvo sob comando com tantos pedidos que o site colapsa ou o servidor fica sobrecarregado.

Quanto mais websites um hacker pode adicionar à sua botnet, mais poderoso e, portanto, valioso se torna. Mas isto também significa que a captura das WordPress instalações é muitas vezes apenas o primeiro passo para os hackers. O segundo passo é criar algo que possa ser monetizado.

Os três Is: Informar, identificar, infiltrar-se

Grosso modo, os hacks não específicos WordPress podem ser divididos em três fases:

Ataques WordPress de hackers : 3 fases de um ataque de protótipo ao WP
Assim que um atacante sabe de uma falha de segurança, o verdadeiro trabalho começa: ele tem de escrever um programa que possa descobrir se a vulnerabilidade existe e depois explorá-la automaticamente.

Fase 1: Obtenção de informações

No primeiro passo, o atacante procura conhecimento de vulnerabilidades conhecidas ou desconhecidas em WordPress . Isto é possível, por exemplo, através de plataformas como a WPScan Vulnerability Database possível.

Com os ataques de desfaçatez, que mencionei no início deste post, um simples olhar sobre WordPress .org foi o suficiente.

Fase 2: Identificar vetores de ataque

Agora um atacante sabe por onde começar e na fase 2 ele tem que escrever um roteiro que lhe permita escolher na massa de páginas aquelas que têm a fraqueza. Com os ataques de desfaçatez no WordPress 4.7. e 4.7.1 isto foi feito facilmente através da leitura da WordPress versão.

Fase 3: Ataques automatizados

Uma vez encontrado, o atacante pode - novamente automaticamente - hackear a página e fazer as (des)mudanças desejadas. Alguns exemplos típicos são:

  • Roubo de dados: Um atacante tenta roubar dados sensíveis do seu site ou dos visitantes do seu site. Isto pode ser endereços de e-mail ou detalhes bancários - mas em princípio qualquer coisa que possa ser vendida ou reutilizada é interessante. Por exemplo, um hacker pode colocar um formulário falso no seu site que rouba todos os dados que você digita. E tudo isso em um ambiente totalmente confiável e também criptografado por SSL.
  • Sequestrar o local: Um atacante pode incorporar seu WordPress site em um botnet. Isso permite que o hacker assuma o controle do seu site e lance ataques DoS ou DDoS sob comando.
  • Imitar código malicioso: Aqui o código malicioso é colocado na sua página. Um atacante pode, por exemplo, abusar do seu espaço publicitário para os seus próprios fins ou colocar formulários no seu site que roubam os dados pessoais dos seus utilizadores.

Na maioria dos casos, os WordPress hacks custam tempo e dinheiro.

Não é possível dizer em termos gerais quais são os custos incorridos pelos WordPress hackers e quais as consequências directas ou indirectas que um ataque pode ter. Mas os operadores de sites hackeados devem estar sempre preparados para estas três consequências:

1) Custo da restauração

Milhões de ataques a WordPress websites acontecem todos os dias. Só Wordfence o Pluginfabricante mede uma média de 35 milhões Brute Force Ataques e 4,8 milhões de ataques de exploração diariamente. Em outras palavras, não há certeza absoluta. Tudo o que você pode fazer é minimizar a chance de ser hackeado e criar mecanismos que lhe permitirão restaurar seu site rapidamente, se necessário.

Na melhor das hipóteses, você tem um Backup da página e você pode simplesmente importá-la novamente. Se os backups também estiverem infectados ou se não for possível uma restauração, será mais complicado. Neste caso, o tempo e os custos para a remoção manual do malware serão incorridos.

2) Perda das vendas

Dependendo do tipo de código malicioso que foi introduzido e quanto tempo o seu site precisa de ser mantido, você também pode incorrer em custos na forma de perda de receitas de publicidade e vendas.

3) Perda de confiança

O Google vê tudo: uma página hackeada muitas vezes contém código malicioso que espalha malware. Se o Google detectar isso - e você não fizer nada a respeito - sua página acabará em uma lista negra. Quando o site é chamado, um aviso de segurança aparece para o visitante com um aviso contra malware ou phishing. Isto também pode fazer com que a sua Posição no Ranking do Motor de Busca (SERP) sofra e você pode perder muito alcance.

Conclusão: Ataques em - WordPress sites são bastante normais

É claro que este artigo não pretende criar pânico infundado. Mas o que se pretende ilustrar: Só porque você tem um site "pequeno" não significa que você não deve abordar ativamente a questão da segurança do site.

Por exemplo, é importante saber que a maioria das vulnerabilidades são causadas por actualização periódica pode ser eliminada. E que um Certificado SSL não protege o seu site de ataques de hackers.

No início eu mencionei que o tamanho do WordPress CMS faz de cada página um alvo potencial. Mas este tamanho também traz consigo uma vantagem crucial: uma comunidade mundial de voluntários e funcionários da WordPress empresa trabalha 24 horas por dia para torná-la mais WordPress segura. Mais cedo ou mais tarde, haverá uma solução adequada para cada vulnerabilidade e cada problema.

Como administrador do sistema, Tobias zela pela nossa infraestrutura e faz os ajustes necessários para otimizar o desempenho dos nossos servidores. Devido ao seu esforço incansável, ele pode ser frequentemente encontrado na Slack, a nossa "sala de chat da empresa".

Artigos relacionados

Comentários sobre este artigo

Escreve um comentário

O teu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados com * .