Você está preocupado com o ataque de hackers ao seu site?
O script entre sites, também chamado de XSS, é um dos ataques mais comuns a sites do WordPress. Os hackers encontram vulnerabilidades em seu site e as utilizam para roubar informações e fazer uso indevido do site.
O pior é que, se você não corrigir o problema imediatamente, esses hacks podem levar a danos mais graves, do tipo que é realmente difícil de recuperar.
Você pode evitar esses hacks instalando um firewall em seu site WordPress.
Se o seu site já estiver sendo atacado, mostraremos como corrigi-lo imediatamente em uma linguagem simples e amigável para iniciantes. Neste tutorial, reduziremos ao mínimo o jargão de segurança cibernética. Também mostraremos a você como evitar futuros ataques.
Primeiro, vamos entender rapidamente o que acontece em um ataque XSS para que você esteja mais bem preparado para lidar com ele.
O que é um ataque XSS no WordPress?
XSS significa Cross Site Scripting, que é um tipo de ataque de injeção em que os hackers injetam scripts maliciosos em um site.
Esses scripts são disfarçados de código bom em um site confiável. Em seguida, quando um usuário acessa esse site, o navegador executa todo o código, inclusive o script mal-intencionado, porque pensa que todas as instruções são confiáveis.
Em termos mais simples, imagine que você é um espião e acaba de receber um e-mail oficial do governo sobre uma missão ultrassecreta. Ele contém todas as instruções que você precisa seguir à risca.
O que você não sabe é que alguém interceptou esse e-mail e acrescentou mais algumas instruções próprias. O governo não tem nenhuma pista sobre isso e você não se dá ao trabalho de verificar porque confia na fonte.
Algumas coisas não fazem sentido, mas você é treinado para obedecer a todas as ordens para cumprir sua missão.
Nesse cenário, o governo é o seu site e o espião é o navegador do usuário. O navegador segue as instruções do seu site e não consegue diferenciar os scripts bons dos ruins.
Esses scripts geralmente estão em Javascript, uma das linguagens de programação mais populares e amplamente utilizadas. No entanto, esses ataques podem ocorrer usando qualquer linguagem do lado do cliente.
Agora, há muitas maneiras de realizar um ataque XSS. Uma delas é enviar um link a usuários desavisados para que eles cliquem nele. Depois que eles clicam no link, o ataque pode executar uma ou mais das seguintes ações:
- Redirecionar os usuários para um site malicioso
- Capturar as teclas digitadas pelo usuário
- Executar explorações baseadas no navegador da Web
- Roubar informações de cookie do usuário conectado a uma conta
Se o hacker conseguir roubar as informações do cookie, ele poderá comprometer completamente a conta do usuário. Por exemplo, se você estiver conectado ao painel wp-admin do seu site, o hacker poderá roubar suas credenciais e fazer login no seu site.
O que você precisa fazer para evitar esses ataques é garantir que todos os dados do usuário sejam validados e higienizados adequadamente antes de entrarem no seu site. Dessa forma, nenhuma entrada do usuário pode ser um código Javascript mal-intencionado. Além disso, você precisa garantir que não haja vulnerabilidades de XSS em seu site que possam permitir o ataque de um hacker.
Mal arranhamos a superfície dos ataques XSS, mas esperamos que você tenha uma boa compreensão de como funciona um ataque XSS ao WordPress. Agora, se você suspeitar que seu site foi invadido, siga nosso tutorial passo a passo abaixo.
Como localizar e corrigir um ataque de XSS no WordPress
Para encontrar qualquer tipo de malware ou hacks em seu site, você precisará executar uma varredura profunda em todo o site, incluindo os arquivos e o banco de dados.
Usaremos a Sucuri para verificar e limpar seu site invadido. A Sucuri oferece uma configuração de segurança robusta que inclui firewall, scanner de malware e limpador de malware.
A Sucuri oferece um scanner gratuito de malware para sites que você pode instalar em seu site WordPress navegando até Plugins ” Adicionar nova guia.
Recomendamos o uso do scanner premium no lado do servidor. Ele virará seu site do avesso para encontrar qualquer vestígio de malware.
Além disso, aqui estão alguns de seus destaques:
- Monitora spam e scripts maliciosos
- Verifica se há backdoors ocultos criados por hackers
- Detecta alterações feitas no DNS (sistema de nomes de domínio) e no SSL
- Verificações de listas negras com mecanismos de pesquisa e outras autoridades
- Monitora o tempo de atividade do site
- Alertas instantâneos por e-mail, SMS, Slack e RSS
Para obter mais detalhes, leia nossa análise da Sucuri.
O Sucuri tem um preço de US$ 199,99 por ano. Se isso estiver fora de seu orçamento, você pode tentar outros plug-ins de segurança. Veja nossa lista: 9 melhores plug-ins de segurança do WordPress comparados.
Ao selecionar um plug-in de segurança, verifique se ele oferece todos os recursos de segurança cibernética de que você precisa para localizar e corrigir infecções por malware e proteger seu site.
Etapa 1: Verificação de seu site
Para começar, você precisará se inscrever em um plano com a Sucuri. Em seguida, faça login no painel de controle da Sucuri, onde você poderá adicionar seu site.
Aqui, você precisará conectar seu website inserindo suas credenciais de FTP. Se você não souber suas credenciais de FTP, poderá obtê-las com seu host da Web.
Quando seu site estiver conectado, a Sucuri executará automaticamente uma verificação completa do seu site. Uma vez concluída, ela mostrará um relatório detalhado na guia “My Sites”.
Agora você pode clicar no botão “Details” (Detalhes ) ao lado da mensagem de aviso. Isso abrirá a página Monitoramento, na qual você poderá ver os detalhes do hack ou da infecção.
Etapa 2: Solicitação de uma limpeza de malware
Na página Monitoramento , você pode ver que tipo de malware infectou o seu site. A Sucuri adiciona uma classificação para indicar o nível de risco. Portanto, se for um risco crítico ou alto, você saberá que precisa corrigi-lo imediatamente. Além disso, ele também mostrará se o seu site foi colocado na lista negra por algum mecanismo de pesquisa.
Agora que você sabe que o seu site está infectado, precisa limpá-lo, e a Sucuri torna isso muito fácil para você. Para iniciar o processo, clique no botão “Clean Up My Site” (Limpar meu site ).
Na próxima página, clique no botão New Malware Removal Request (Nova solicitação de remoção de malware ) e será exibido um formulário no qual você poderá inserir os detalhes do seu site.
Basta preencher o formulário e enviá-lo. Uma vez concluído, os especialistas em segurança da Sucuri limparão seu site para você. Caso não saiba nenhum dos detalhes necessários para o formulário, você pode solicitá-los ao seu host da Web.
Agora você deve estar se perguntando quanto tempo levaria para limpar seu site.
A Sucuri dá preferência aos usuários do plano Business. Eles garantem um tempo de resposta de 6 horas. Para outros planos, isso depende da complexidade da infecção do seu site e do volume de solicitações na fila.
Imediatamente após um ataque, é altamente recomendável fazer o logout de todos os usuários do seu site e alterar as credenciais de login para garantir a segurança.
Como evitar ataques XSS em seu site WordPress
É sempre melhor proteger seu site e evitar esses tipos de ataques de malware em seu site. É muito mais fácil e barato do que tentar consertar um site invadido. Aqui estão nossas principais etapas recomendadas para evitar ataques de XSS em seu site.
1. Habilite um firewall de aplicativo da Web (WAF)
A Sucuri tem um dos melhores firewalls para sites WordPress. Ele não apenas bloqueia ataques XSS, mas também todos os tipos de outros ataques de malware, como DDoS, força bruta, phishing e injeções de SQL.
O firewall fica na frente do seu site e examina todos os usuários que passam por ele. Ele identificará e bloqueará os bots mal-intencionados antes que eles cheguem ao seu site.
Para ativar o firewall da Sucuri, navegue até a guia Firewall no painel da Sucuri.
Selecione seu site e você verá instruções de configuração que podem ser seguidas. A Sucuri lhe dá duas opções para configurar o firewall:
1. Integração automática: Basta inserir suas credenciais de hospedagem usando o cPanel ou o Plesk. Esse método exige que você conceda à Sucuri acesso ao servidor do seu site para configurar automaticamente o firewall em seu site.
2. Integração manual: Você pode configurar o firewall por conta própria sem conceder acesso interno à Sucuri. Para começar, clique no link do domínio interno e certifique-se de que ele seja carregado.
Em seguida, você pode configurar seu DNS para direcionar o tráfego da Web para o firewall da Sucuri. Para isso, você precisará acessar os registros DNS na sua conta de hospedagem. Aqui, você pode alterar o registro ‘A’ do seu site e inserir os endereços IP que a Sucuri fornece.
Se estiver estressado por achar que tudo isso é muito complicado, você pode pedir ajuda ao seu host da Web e ele o orientará durante o processo. Além disso, você também pode abrir um tíquete de suporte com a Sucuri e a equipe de suporte o ajudará a alterar os registros DNS.
Para abrir um tíquete, você encontrará um link dentro das instruções do manual na mesma página.
Depois que você terminar de configurar o firewall, geralmente leva algumas horas para que as alterações sejam refletidas. Você pode esperar um tempo de espera máximo de 48 horas.
Quando você ativar o firewall, ele adicionará automaticamente cabeçalhos de segurança ao seu site para protegê-lo contra ataques de XSS.
Se houver uma tentativa de ataque XSS, a Sucuri o bloqueará e o informará a você na guia Relatórios .
O que mais gostamos no firewall da Sucuri é que ele é muito fácil de ser usado por qualquer pessoa, inclusive por iniciantes. Não é necessário ser um especialista em segurança cibernética nem saber programar.
Você pode ativar todos os tipos de recursos de proteção com apenas um clique na guia Configurações ” Segurança.
Assim, por exemplo, você pode ativar a proteção contra DDoS e o bloqueio geográfico para dificultar o ataque dos hackers ao seu site.
Para ativar um recurso de segurança aqui, tudo o que você precisa fazer é marcar a caixa e salvar suas configurações. Quando precisar desativá-lo, basta desmarcar a caixa.
Além disso, o plug-in da Sucuri irá:
- Verificar e monitorar regularmente a existência de spam e códigos maliciosos
- Alertar você sobre qualquer vulnerabilidade de script entre sites
- Bloqueie bots e hackers mal-intencionados
- Verifique se há listas negras nos mecanismos de pesquisa e em outras autoridades
- Monitorar o tempo de atividade do site
- Detectar alterações feitas no DNS (sistema de nomes de domínio) e no SSL
- Envie alertas de segurança instantâneos por e-mail, SMS, Slack e RSS
Assim, seu site estará protegido o tempo todo.
2. Use formulários seguros
Em um site vulnerável, os formulários são um dos alvos mais comuns dos hackers. Se o formulário não for seguro, isso significa que qualquer pessoa pode simplesmente inserir códigos maliciosos nos campos do formulário.
Nossa recomendação para proteger os formulários de seu site é o WPForms. Ele é o criador de formulários nº 1 do WordPress que tem segurança integrada para que seus formulários estejam protegidos desde o início.
Por padrão, os formulários têm a proteção anti-spam ativada. Além disso, você pode até mesmo adicionar CAPTCHA aos seus formulários para bloquear bots de spam.
Você pode ativar um captcha invisível ou o tipo em que o usuário terá que resolver um pequeno quebra-cabeça ou marcar uma caixa para provar que é humano.
3. Definir permissões de função de usuário
Quando há várias pessoas trabalhando em seu site, não é aconselhável conceder acesso de administrador a todos. É melhor atribuir-lhes funções com base nas permissões de que precisam.
O WordPress permite que você crie funções para:
- Superadministrador
- Administrador
- Editor
- Autor
- Colaborador
- Assinante
Agora, se um hacker tiver controle sobre a conta de um usuário, ele ficará limitado ao que pode fazer no seu site.
4. Auto-logout de usuários inativos
Os hackers podem obter acesso às contas dos usuários sequestrando suas sessões de navegador e roubando cookies.
Você pode minimizar esse risco fazendo o logout de usuários inativos do WordPress.
Muitos plug-ins de segurança têm um recurso de logout de sessão ociosa ou você pode usar o plug-in Inactive Logout.
5. Atualize seu site regularmente
Os plug-ins, temas e até mesmo sua instalação do WordPress são atualizados regularmente. Você as verá no painel do WordPress quando estiverem disponíveis:
Muitos proprietários de sites ignoram as atualizações por muito tempo, mas isso pode expor seu site a hackers. As atualizações geralmente incluem correções de bugs, novos recursos e melhorias no software. Elas também podem conter patches de segurança. Você pode ver se uma atualização contém um patch de segurança visualizando os detalhes da atualização.
Isso significa que foi encontrada uma vulnerabilidade no software que os hackers podem usar para atacar seu site. Quando os desenvolvedores encontram problemas de segurança, eles os corrigem e lançam uma nova versão do software.
Tudo o que você precisa fazer é atualizar o software em seu site.
Portanto, se você vir que se trata de um patch de segurança, atualize-o imediatamente para evitar o risco de ser hackeado.
Um dos principais motivos pelos quais os proprietários de sites ignoram as atualizações é o fato de que, às vezes, elas podem danificar o site ou causar problemas de incompatibilidade. Recomendamos que você teste a atualização em um site de teste e, em seguida, execute-a em seu site ativo.
Com isso, você aprendeu como corrigir e evitar ataques XSS em seu site WordPress.
Antes de encerrarmos, vamos lhe dar mais uma dica de segurança. Sempre faça backups regulares de seu site.
Mesmo com as medidas de segurança mais rigorosas em seu site, há muitas coisas que podem dar errado. Por exemplo, um usuário pode cometer um erro humano simples que trava o seu site.
Você pode configurar backups automatizados usando um plug-in de backup como o UpdraftPlus. Para obter mais opções, consulte nossa lista dos principais plug-ins de backup do WordPress.
Perguntas frequentes
1. O WordPress é vulnerável a ataques de script entre sites?
O software principal do WordPress é desenvolvido e mantido por alguns dos melhores especialistas do mundo. Seu software é bastante sólido, mas lembre-se de que nenhum software está livre de vulnerabilidades.
O motivo pelo qual os sites WordPress são atacados com frequência é o fato de a plataforma ser muito popular. E a maioria dos usuários instala toneladas de temas e plugins de terceiros. É possível desenvolver vulnerabilidades em qualquer um desses elementos e os hackers podem explorá-las para invadir seu site.
2. Existem diferentes tipos de ataques de script entre sites?
Sim. Há três tipos principais de ataques XSS:
- XSS armazenado (também conhecido como XSS persistente): Os atacantes armazenam sua carga útil em um servidor comprometido, fazendo com que o site forneça códigos maliciosos a outros visitantes.
- XSS refletido: acarga útil é armazenada nos dados enviados do navegador para o servidor.
- DOM XSS: aqui, não é o servidor em si que está vulnerável ao XSS, mas sim o JavaScript na página.
- Scripting automático entre sites: Os invasores podem explorar uma vulnerabilidade que precisa de contexto realmente específico e alterações manuais. A vítima aqui só pode ser você mesmo.
- Scripting cego entre sites: Nesses ataques, a vulnerabilidade geralmente está em uma página que somente usuários autorizados podem acessar. O invasor não pode ver o resultado de um ataque.
3. Como posso ter certeza de que não há outros problemas de segurança em meu site?
Certifique-se de ter sempre um plugin de segurança instalado em seu site. Isso é obrigatório para todos os tipos de sites, inclusive WooCommerce, blogs e sites de pequenas empresas. Recomendamos o Sucuri, mas você também pode dar uma olhada no Wordfence, MalCare e SiteLock. Veja mais de nossas principais recomendações aqui: 9 melhores plug-ins de segurança para WordPress comparados.
4. O WordPress protege contra XSS?
O WordPress tem várias medidas de segurança para ajudar a proteger contra ataques de XSS (Cross-Site Scripting), mas a eficácia dessas medidas depende de como o site é configurado, dos temas e plug-ins usados e da manutenção. Certifique-se de tomar suas próprias medidas para proteger seu site contra esses ataques.
5. O WordPress CSP é eficaz contra ataques XSS?
O WordPress introduziu os cabeçalhos da Política de Segurança de Conteúdo (CSP) em versões recentes. Uma CSP bem configurada pode ser eficaz na prevenção de ataques XSS, especificando quais fontes de conteúdo podem ser executadas em uma página da Web. Imagine que seu site é um castelo e você quer mantê-lo protegido contra coisas ruins. A CSP é como um conjunto de regras que informa aos guardas (seu navegador da Web) quais pessoas (scripts) podem entrar no castelo (seu site).
Isso é tudo o que temos para você hoje. Esperamos que esta postagem tenha lhe dado tudo o que você precisa para proteger seu website.
Para saber mais sobre segurança de sites, consulte nossos recursos sobre:
- O guia completo de segurança do WordPress (para iniciantes)
- 5 melhores scanners de vulnerabilidade do WordPress para encontrar ameaças
- 9 melhores plug-ins de registro de atividades para rastrear e auditar seu site WordPress
Essas postagens lhe darão mais maneiras de vedar vulnerabilidades e proteger seu site de todos os riscos.
Comentários Deixe uma resposta