Porque é que o teu site WordPress é hackeado (e como evitar)

Um cliente uma vez escreveu-me num domingo de manhã porque o site dele tinha sido substituído por um anúncio de relógios contrafeitos. Não tocava no WordPress há meses e não tinha ideia do que se passou nem porquê. A verdade era quase aborrecida: um plugin desatualizado com uma vulnerabilidade conhecida estava ali há mais de um ano.

É assim que a maioria dos ataques a WordPress acontece. Não através de algum ataque sofisticado e direcionado, mas através de bots automatizados a vasculhar milhões de sites à procura de fragilidades conhecidas, entrando por qualquer porta que esteja aberta.

Os pontos de entrada mais comuns

Software desatualizado é, de longe, o maior. O núcleo do WordPress, os temas e os plugins recebem correções de segurança quando vulnerabilidades são descobertas. O problema é que, depois de uma vulnerabilidade se tornar pública, torna-se um alvo conhecido. Os bots procuram especificamente sites a correr a versão vulnerável, e se não atualizaste, estás na lista.

Credenciais de login fracas são outro grande problema. “admin” como nome de utilizador com uma password simples ainda é surpreendentemente comum, e bots de força bruta tentam milhares de combinações por minuto contra a página de login padrão.

Plugins e temas pirateados merecem uma menção própria. Downloads gratuitos de plugins premium a partir de fontes não oficiais muitas vezes contêm código malicioso escondido diretamente nos ficheiros. As pessoas instalam isto para poupar dinheiro e, sem saber, entregam uma porta dos fundos para o seu site.

Permissões de ficheiros mal configuradas e versões desatualizadas do PHP completam a lista. Ambas facilitam a execução de código malicioso mesmo que ele consiga entrar no servidor de alguma forma.

O que realmente protege um site

Manter tudo atualizado é a coisa com maior impacto que podes fazer. O núcleo do WordPress, temas e plugins, tudo, regularmente. Se tens medo que atualizações quebrem algo, é para isso que servem os ambientes de staging. Testa primeiro ali, depois atualiza a produção.

Credenciais fortes e únicas importam mais do que as pessoas pensam. Usa um nome de utilizador real, não “admin”, e uma password verdadeiramente aleatória guardada num gestor de passwords. Adiciona autenticação de dois fatores por cima, que a maioria dos plugins de segurança suporta gratuitamente.

Um plugin de segurança como o Wordfence dá-te uma firewall e análise de malware que apanha a maioria dos padrões de ataque comuns antes de fazerem qualquer coisa. Também limita tentativas de login, o que elimina imediatamente a maioria dos ataques de força bruta.

Instala plugins e temas apenas de fontes oficiais: o repositório do WordPress, ou diretamente do site de um developer de confiança com uma licença legítima. Se algo premium está disponível gratuitamente onde não devia estar, isso não é um achado, é um risco.

Backups automáticos diários guardados fora do servidor principal são a tua rede de segurança. Se algo correr mal apesar de tudo o resto, queres conseguir restaurar para um estado limpo em minutos, não perder meses de conteúdo a reconstruir do zero.

Se achas que o teu site já foi comprometido

Os sinais incluem redirecionamentos inesperados, novos utilizadores admin estranhos, conteúdo que não adicionaste, ou o teu fornecedor de alojamento a sinalizar o site por malware. Se vires algo disto, coloca o site offline imediatamente para limitar danos, e depois ou restaura a partir de um backup limpo feito antes do comprometimento, ou pede a alguém para vasculhar o código e remover o código injetado. Tentar limpar um site hackeado sem saber exatamente o que procurar muitas vezes deixa passar portas dos fundos que permitem ao atacante voltar dentro de dias.

A perspetiva honesta

Nada disto é trabalho empolgante, e é exatamente por isso que é negligenciado. Segurança não é algo que notas quando está a funcionar. Só notas quando falha, e nessa altura o custo é muito maior do que a manutenção teria sido.

Se preferires não pensar em nada disto, é para isso que servem os planos de manutenção contínua. Alguém mantém tudo atualizado, monitoriza problemas, e trata dos backups, para que uma mensagem de domingo de manhã sobre relógios contrafeitos nunca aconteça. Entra em contacto se quiseres falar sobre como isso seria para o teu site.