É um golpe de sorte para os malfeitores na Internet se eles conseguirem encontrar uma maneira de prejudicar os sites do WordPress. Com apenas um truque na manga, eles podem dar uma chance em quase 30% dos sites na internet. Esse é o lado negativo do WordPress ser o CMS mais popular. Como proprietários de sites, da nossa parte, precisamos ser proativos e rever/atualizar as medidas de segurança regularmente para estarmos a salvo de hackers. Um passo importante e fácil de implementar em sua lista de verificação de segurança é verificar as vulnerabilidades do WordPress.
Por que você deve verificar as vulnerabilidades do WordPress
- Seu site WordPress pode ser o repositório de informações pessoais sensíveis enviadas pelos usuários. Eles confiam em você para evitar que essas informações caiam em mãos indesejadas.
- Outros podem colocar backlinks, redirecionamentos, anúncios ou banners de sites que eles querem promover no seu site.
- Os usuários com acesso não autorizado ao seu site podem estar consumindo sua largura de banda, mesmo sem você saber.
- Desde que não seja detectado, malware pode espreitar dentro do seu site e reunir informações. Ele pode enviar e-mails de spam para outras pessoas infectando-as também no processo. Isso pode levar o Google e outros serviços de segurança como o AVG ou Norton a colocar seu site na lista negra. Novamente, você pode nem mesmo saber sobre isso.
- As verificações regulares podem capturar algumas ameaças de segurança antecipadamente e evitar que seu site seja invadido.
Modos para verificar o WordPress
Executar uma verificação básica de vulnerabilidades em seu site WordPress não é difícil nem caro. Mas, como mais coisas na vida, você tem opções. Quando se trata de verificar vulnerabilidades no WordPress, existem dois métodos principais.
Remote scanners são ferramentas que podem fazer uma verificação preliminar e revelar uma série de falhas de segurança. Eles são uma espécie de verificação rápida em seu regime de segurança. A maioria dos scanners geralmente funciona da mesma maneira – basta digitar o URL do seu site em sua página web. Seu site, como visível no navegador, será escaneado em alguns momentos e um relatório será gerado. Muitas vulnerabilidades podem aparecer no relatório. Algumas ferramentas também irão sugerir ações corretivas que você pode realizar. Alguns scanners remotos são projetados especificamente para escanear sites WordPress, enquanto outros incluem uma varredura WordPress em sua lista de recursos.
Pelo contrário, quando você instala um plugin, ele acessa o servidor no ambiente de hospedagem que reside e faz uma varredura muito mais profunda. Um plugin oferece opções de configuração de regras de varredura, automatizações e varreduras completas que mergulham na sua base de dados para garantir a segurança.
A importante diferença entre os dois é que um scanner remoto só olha para a versão final renderizada do seu site, como aparece no seu navegador (uma espécie de bot de um motor de busca). Ao contrário dos plugins, uma varredura remota não pode examinar o seu servidor e, portanto, qualquer elemento malicioso no seu servidor pode permanecer sem ser detectado.
Existem muitos scanners remotos gratuitos e plugins gratuitos disponíveis que podem examinar o seu site em busca de software nocivo – vejamos alguns dos melhores.
MalCare
O primeiro da nossa lista é o MalCare, que oferece uma varredura gratuita baseada na nuvem através do seu plugin gratuito. Este verificador de site WordPress de alta tecnologia analisa todos os seus arquivos e toda a sua base de dados para encontrar até mesmo o malware mais complexo. E o melhor de tudo, porque ele usa os próprios servidores de nuvem do MalCare para procurar vulnerabilidades, ele não vai atrasar o seu site.
MalCare também oferece planos premium com ainda mais opções para detecção precoce, varredura automatizada & remoção de malware, s, bloqueio de IP, recomenda as configurações do WordPress (desabilita o editor de arquivos, faz upload de proteção de pastas, chaves de segurança, etc), plugins desativados, além de mais. E dependendo das suas necessidades, eles até oferecem uma solução com rótulo branco com relatórios personalizados para seus clientes.
Sucuri SiteCheck
Sucuri é um nome bem conhecido na segurança de sites e compila relatórios de vulnerabilidade regulares e abrangentes. O SiteCheck verificará todos os sites, incluindo sites WordPress e revelará malware conhecido, softwares desatualizados e erros de sites. Você também saberá o status da sua lista negra com serviços como Google, AVG Antivirus, McAfee e Norton.
>
>
O verificador compara todas as suas páginas com o banco de dados Sucuri e relata qualquer anomalia. O relatório também recomenda como você deve lidar com essas anomalias.
>
Varredura WP Sec
Se você estiver procurando por uma varredura específica do WordPress, a WP Sec caberá na conta. Na página deles, você tem uma escolha – envie o URL do seu site para uma verificação ou inscreva-se para a conta gratuita / premium.
Uma conta gratuita lhe dá direito a uma verificação semanal automática. Se você estiver gerenciando vários sites do WordPress, você pode acompanhar a segurança de todos os sites a partir de um único painel. Você também receberá alertas por e-mail se algum bug for encontrado ou se sua instalação do WordPress estiver prevista para uma atualização.
Um relatório básico pode listar algumas falhas de segurança, bem como dizer-lhe como proceder para configurá-lo corretamente. Você também pode acessar um registro dos seus relatórios de verificação para referência futura. O WPScans mantém uma vasta base de dados dos últimos bugs e ameaças de segurança, o que significa que as ameaças mais comuns podem ser detectadas com este scanner.
WordPress Security Scan
WordPress Security Scan também oferece duas opções – uma versão básica gratuita e uma versão avançada premium. Ele realiza verificações chamando um número de páginas através de solicitações regulares da Web e analisa a fonte HTML correspondente. Uma verificação revelará falhas óbvias de segurança do WordPress e recomendará melhorias na configuração relacionadas à segurança que podem aumentar a proteção contra ataques futuros.
A verificação gratuita verifica a versão do WordPress, a reputação do host, a geolocalização e a reputação do site do Google. Ele também verifica links externos, lista de plugins e indexação de diretórios em plugins. Ele lista os iframes presentes e o Javascript ligado, ambos podem ser usados para entregar código malicioso. Você pode então olhar para qualquer script que não lhe pareça familiar.
Primeiro Guia do Site
O primeiro scanner do Guia do Site funciona da mesma forma que outros scanners – digite o URL do seu site e pressione o botão Verificar. Ele testa se as informações sobre a versão do WordPress, nomes de usuário ou tentativas de login falhadas são detectáveis.
Ele também verifica se o arquivo readme.html, os arquivos install.php e upgrade.php estão acessíveis via HTTP e se a pasta uploads está navegável. Mas para uma verificação realmente significativa que cobre mais de 40 testes, eles aconselham a instalação do Security Ninja.
Wordfence
Wordfence é um plugin de segurança abrangente que varre qualquer coisa relacionada ao WordPress- no seu site, incluindo código fonte e arquivos de imagem. Se você ativar a opção, ele também escaneia arquivos não relacionados ao WordPress. Seu Threat Defense Feed é constantemente atualizado e o feed é usado por scanners para identificar softwares suspeitos.
Uma verificação procura por 44.000+ malware e backdoors conhecidos, bem como por URLs de phishing em todos os seus comentários, posts e arquivos. Não só isso, ele verifica os arquivos principais, temas e plugins e o compara com os arquivos do repositório WordPress.
Virus Total Scanner
Em vez de executar a URL do seu site através de vários scanners, você pode enviá-la no Virus Total, uma subsidiária do Google. Ele faz o trabalho de agregar os resultados de um scan de vários scanners como Avira, Comodo, Sucuri e Qettera.
A vantagem de tal método é que você pode detectar os falsos positivos dos scanners mais facilmente. Você saberá se algum recurso inofensivo está sendo classificado erroneamente como malware quando o URL for executado através de vários scanners. Esta ferramenta não é específica para WordPress e todos os tipos de sites podem usar o scanner. O Virus Total não é uma ferramenta abrangente de teste de vírus, mas um agregador de resultados de verificação de diferentes scanners.
Arquivos e URLs enviados no Virus Total serão compartilhados com empresas de segurança para seu uso na melhoria da segurança geral da web.
Quttera
Embora o Quttera ofereça uma varredura online com um clique, ele também é embalado em um scanner específico para WordPress, que requer que você baixe o plugin deles em seu site WordPress.
O plugin procura no seu site por scripts suspeitos, mídia maliciosa e ameaças ocultas e permite que você saiba se você está em alguma lista negra. Os servidores remotos do Quttera verificam os dados. Ao concluir uma verificação, você receberá um relatório de investigação detalhado, que recomendará uma ação corretiva. Estes relatórios são classificados como Limpo, Potencialmente Suspeito, Suspeito e Malicioso e estão disponíveis ao público para visualização.
Estes scanners e plugins online gratuitos fazem um trabalho básico de revelação de malware e vulnerabilidades. Para uma análise mais completa e recomendações spot-on para reduzir as vulnerabilidades, você precisará examinar os planos premium deles. Estes planos incluem serviços como monitoramento, limpeza e suporte prático quando confrontados com ameaças. E, como mencionei no início, a verificação do seu site é apenas o primeiro passo na segurança do WordPress.