X

Como Corrigir e Prevenir Ataques XSS no WordPress

Last updated on by Alvin Collin
LinkedInPinShares0
Como corrigir e prevenir ataques xss

Você está preocupado com hackers atacando seu site?

Cross-site scripting, também chamado de XSS, é um dos ataques mais comuns em sites WordPress. Hackers encontram vulnerabilidades em seu site e as usam para roubar informações e fazer mau uso do seu site.

Pior ainda é que, se você não corrigir imediatamente, esses hacks podem levar a danos mais graves – do tipo que é realmente difícil de recuperar.

Você pode prevenir esses hacks instalando um firewall no seu site WordPress.

Se o seu site já estiver sob ataque, mostraremos como corrigi-lo imediatamente em linguagem simples e amigável para iniciantes. Manteremos o jargão de cibersegurança no mínimo neste tutorial. Também mostraremos como prevenir ataques futuros.

Primeiro, vamos entender rapidamente o que acontece em um ataque XSS para que você esteja mais preparado para lidar com ele.

O que é um Ataque XSS no WordPress?

XSS significa Cross Site Scripting, que é um tipo de ataque de injeção onde hackers injetam scripts maliciosos em um site.

Esses scripts são disfarçados como código bom em um site confiável. Em seguida, quando um usuário acessa este site, o navegador dele executa todo o código, incluindo o script malicioso, porque pensa que são todas instruções confiáveis.

Em termos mais simples, imagine que você é um espião e acabou de receber um e-mail oficial do governo sobre uma missão ultrassecreta. Ele contém todas as instruções que você precisa seguir à risca.

O que você não sabe é que alguém interceptou esse e-mail e adicionou algumas instruções extras próprias. O governo não tem ideia disso e você não se incomoda em verificar duas vezes porque confia na fonte.

Algumas delas não fazem sentido, mas você é treinado para obedecer a todas as ordens para atingir sua missão.

Neste cenário, o governo é o seu site e o espião é o navegador do usuário. O navegador segue as instruções do seu site e não consegue diferenciar entre scripts bons e ruins.

Esses scripts geralmente são em Javascript, uma das linguagens de programação mais populares e amplamente utilizadas. Embora esses ataques possam ocorrer usando qualquer linguagem do lado do cliente.

Agora existem muitas maneiras de realizar um ataque XSS. Uma maneira é enviar um link para usuários desavisados para que eles cliquem nele. Uma vez que eles clicam nele, o ataque pode possivelmente fazer uma ou mais das seguintes ações:

  • Redirecionar usuários para um site malicioso
  • Capturar as teclas digitadas pelo usuário
  • Executar exploits baseados em navegador da web
  • Roubar informações de cookies do usuário logado em uma conta

Se o hacker conseguir roubar informações de cookies, ele poderá comprometer completamente a conta do usuário. Por exemplo, se você estiver logado no painel wp-admin do seu site, o hacker poderá roubar suas credenciais e fazer login no seu site.

O que você precisa fazer para prevenir esses ataques é garantir que todos os dados do usuário sejam validados e higienizados adequadamente antes de entrarem no seu site. Dessa forma, nenhuma entrada do usuário pode ser código Javascript malicioso. Além disso, você precisa garantir que não haja vulnerabilidades XSS em seu site que possam permitir que um hacker ataque.

Mal arranhamos a superfície dos ataques XSS, mas esperamos que você tenha uma compreensão decente de como funciona um ataque XSS no WordPress. Agora, se você suspeitar que seu site foi hackeado, siga nosso tutorial fácil passo a passo abaixo.

Como Encontrar e Corrigir um Ataque XSS no WordPress

Para encontrar qualquer tipo de malware ou hacks em seu site, você precisará executar uma varredura profunda em todo o seu site, incluindo seus arquivos e banco de dados.

Usaremos o Sucuri para escanear e limpar seu site hackeado. O Sucuri oferece uma configuração de segurança robusta, incluindo um firewall, scanner de malware e limpador de malware.

sucuri-security-plugin

A Sucuri oferece um scanner gratuito de malware para sites que você pode instalar em seu site WordPress navegando até a guia Plugins » Adicionar Novo.

Recomendamos o uso do scanner premium do lado do servidor. Isso irá vasculhar seu site para encontrar qualquer vestígio de malware.

Além disso, aqui estão alguns de seus destaques:

  • Monitora spam e scripts maliciosos
  • Verifica backdoors ocultos criados por hackers
  • Detecta alterações feitas no DNS (sistema de nomes de domínio) e SSL
  • Verifica listas negras de mecanismos de busca e outras autoridades
  • Monitora o tempo de atividade do site
  • Alertas instantâneos via e-mail, SMS, Slack e RSS

Para mais detalhes, leia nossa Análise da Sucuri.

O Sucuri tem um preço de US$ 199,99 por ano. Se isso estiver fora do seu orçamento, você pode experimentar outros plugins de segurança. Veja nossa lista: 9 Melhores Plugins de Segurança WordPress Comparados.

Ao selecionar um plugin de segurança, certifique-se de que ele oferece todos os recursos de cibersegurança necessários para encontrar e corrigir infecções por malware e proteger seu site.

Passo 1: Escaneando seu site

Para começar, você precisará assinar um plano com o Sucuri. Em seguida, faça login no painel do Sucuri, onde você pode adicionar seu site.

Adicionar site no Sucuri

Aqui, você precisará conectar seu site inserindo suas credenciais de FTP. Se você não souber suas credenciais de FTP, poderá obtê-las com seu provedor de hospedagem.

Conectar site ao Sucuri

Quando seu site estiver conectado, o Sucuri executará automaticamente uma varredura completa do seu site. Assim que terminar, ele mostrará um relatório detalhado na aba ‘Meus Sites’.

Site infectado no painel Sucuri

Agora você pode clicar no botão ‘Detalhes’ ao lado da mensagem de aviso. Isso abrirá a página Monitoramento, onde você poderá ver os detalhes do ataque ou infecção.

Etapa 2: Solicitar uma Limpeza de Malware

Na página Monitoramento, você pode ver que tipo de malware infectou seu site. O Sucuri adiciona uma classificação para indicar o nível de risco. Portanto, se for um risco crítico ou alto, você saberá que precisa corrigi-lo imediatamente. Além disso, ele também mostrará se o seu site foi bloqueado por algum mecanismo de busca.

Limpar site com Sucuri

Agora que você sabe que seu site está infectado, precisa limpá-lo e o Sucuri torna isso muito fácil para você. Para começar o processo, clique no botão ‘Limpar Meu Site’.

Solicitação de remoção de malware no Sucuri

Na página seguinte, clique no botão Nova Solicitação de Remoção de Malware e um formulário aparecerá onde você poderá inserir os detalhes do seu site.

Formulário de solicitação de remoção de malware no Sucuri

Simplesmente preencha o formulário e envie-o. Assim que terminar, os especialistas em segurança do Sucuri limparão seu site para você. Caso você não saiba nenhum dos detalhes necessários para o formulário, pode perguntar ao seu provedor de hospedagem.

Agora você pode estar se perguntando quanto tempo levará para seu site ser limpo.

A Sucuri dá preferência aos usuários do plano Business. Eles garantem um tempo de resposta de 6 horas. Para outros planos, depende da complexidade da infecção do seu site e do volume de solicitações em fila.

Imediatamente após um ataque, recomendamos fortemente desconectar todos os usuários do seu site e alterar suas credenciais de login para garantir a segurança.

Como Prevenir Ataques XSS no Seu Site WordPress

É sempre melhor proteger seu site e prevenir esses tipos de ataques de malware no seu site. É muito mais fácil e barato do que tentar consertar um site invadido. Aqui estão nossas principais etapas recomendadas para prevenir ataques XSS no seu site.

1. Habilite um Firewall de Aplicação Web (WAF)

A Sucuri tem um dos melhores firewalls para sites WordPress. Ele não apenas bloqueia ataques XSS, mas todos os tipos de outros ataques de malware, como DDoS, Brute Force, Phishing e injeções de SQL.

O firewall ficará na frente do seu site e escaneará todos os usuários que chegam. Ele identificará e bloqueará bots maliciosos antes que eles cheguem ao seu site.

Para habilitar o firewall Sucuri, navegue até a aba Firewall no seu painel Sucuri.

Selecione seu site e você verá as instruções de configuração que pode seguir. A Sucuri oferece 2 opções para configurar o firewall:

1. Integração Automática: Simplesmente insira suas credenciais de hospedagem usando cPanel ou Plesk. Este método exige que você conceda à Sucuri acesso ao servidor do seu site para configurar automaticamente o firewall no seu site.

firewall waf sucuri

2. Integração Manual: Você pode configurar o firewall por conta própria sem conceder acesso interno à Sucuri. Para começar, clique no link do domínio interno e certifique-se de que ele carrega.

verificar link interno de domínio

Em seguida, você pode configurar seu DNS para direcionar o tráfego da web para o firewall Sucuri. Para isso, você precisará acessar os registros DNS em sua conta de hospedagem. Aqui, você pode alterar o registro 'A' do seu site e inserir os endereços IP que a Sucuri fornece.

endereços ip dns sucuri

Se você está estressado que tudo isso é muito complicado, pode pedir ajuda ao seu provedor de hospedagem e eles o guiarão pelo processo. Além disso, você também pode abrir um ticket de suporte com a Sucuri e a equipe de suporte deles o ajudará a alterar os registros DNS.

Para abrir um ticket, você encontrará um link nas instruções do manual na mesma página.

abrir um ticket sucuri

Assim que você terminar de configurar o firewall, geralmente leva algumas horas para que as alterações sejam refletidas. Você pode esperar um tempo máximo de espera de 48 horas.

Quando você ativa o firewall, ele adicionará automaticamente cabeçalhos de segurança ao seu site para protegê-lo contra ataques XSS.

Se houver uma tentativa de ataque XSS, o Sucuri o bloqueará e o informará na aba Relatórios.

Agora, o que amamos sobre o firewall Sucuri é que ele é muito fácil de usar para qualquer pessoa, incluindo iniciantes. Você não precisa ser um especialista em segurança cibernética ou saber programar.

Você pode ativar todos os tipos de recursos de proteção com apenas um clique na aba Configurações » Segurança.

Assim, por exemplo, você pode ativar a proteção DDoS e o geoblocking para dificultar que hackers ataquem seu site.

Proteção ddos de emergência

Para ativar um recurso de segurança aqui, tudo o que você precisa fazer é marcar a caixa e salvar suas configurações. Quando precisar desativá-lo, basta desmarcar a caixa.

Além disso, o plugin Sucuri irá:

  • Regularmente verificar e monitorar spam e código malicioso
  • Alertá-lo sobre qualquer vulnerabilidade de cross-site scripting
  • Bloquear bots maliciosos e hackers
  • Verifique listas negras com motores de busca e outras autoridades
  • Monitore o tempo de atividade do site
  • Detecta alterações feitas no DNS (sistema de nomes de domínio) e SSL
  • Envie alertas de segurança instantâneos por e-mail, SMS, Slack e RSS

Assim, seu site estará protegido o tempo todo.

2. Use Formulários Seguros

Em um site vulnerável, formulários são um dos alvos mais comuns para hackers. Se o seu formulário estiver inseguro, isso significa que qualquer pessoa pode simplesmente inserir código malicioso nos campos do seu formulário.

Nossa recomendação para proteger os formulários do seu site é o WPForms. É o construtor de formulários WordPress número 1 que possui segurança integrada para que seus formulários sejam protegidos desde o início.

proteção anti-spam no WPForms

Por padrão, os formulários têm proteção anti-spam ativada. Além disso, você pode até adicionar CAPTCHA aos seus formulários para bloquear bots de spam.

Advanced noCaptcha and Invisible Captcha

Você pode habilitar um captcha invisível ou o tipo em que um usuário terá que resolver um pequeno quebra-cabeça ou marcar uma caixa para provar que é humano.

3. Definir Permissões de Papel do Usuário

Quando você tem várias pessoas trabalhando em seu site, não é sensato dar acesso de administrador a todos. É melhor atribuir-lhes papéis com base nas permissões de que precisam.

O WordPress permite que você crie papéis para:

  • Super Administrador
  • Administrador
  • Editor
  • Author
  • Colaborador
  • Assinante

Agora, se um hacker obtiver controle sobre a conta de um usuário, ele será limitado no que poderá fazer em seu site.

4. Deslogar Usuários Inativos Automaticamente

Hackers podem obter acesso a contas de usuários sequestrando suas sessões de navegador e roubando cookies.

Você pode minimizar esse risco deslogando usuários inativos do WordPress.

Muitos plugins de segurança têm um recurso de deslogar sessão inativa ou você pode usar o plugin Inactive Logout.

5. Atualize Seu Site Regularmente

Plugins, temas e até mesmo sua instalação do WordPress recebem atualizações regularmente. Você as verá dentro do seu painel do WordPress quando estiverem disponíveis:

atualizações no wordpress

Muitos proprietários de sites ignoram as atualizações por muito tempo, mas isso pode expor seu site a hackers. As atualizações geralmente trazem correções de bugs, novos recursos e melhorias no software. Elas também podem ter patches de segurança. Você pode ver se uma atualização traz um patch de segurança visualizando os detalhes da atualização.

ver detalhes da versão da atualização

Isso significa que uma vulnerabilidade foi encontrada no software que hackers podem usar para atacar seu site. Quando os desenvolvedores encontram problemas de segurança, eles os corrigem e lançam uma nova versão do software.

Tudo o que você precisa fazer é atualizar o software em seu site.

Portanto, se você vir que é um patch de segurança, atualize-o imediatamente para evitar qualquer risco de ser hackeado.

atualização de segurança

Uma das principais razões pelas quais os proprietários de sites ignoram as atualizações é que elas às vezes podem quebrar seu site ou causar problemas de incompatibilidade. Recomendamos que você teste a atualização em um site de staging e, em seguida, execute-a em seu site ativo.

Com isso, você aprendeu como corrigir e prevenir ataques XSS em seu site WordPress.

Antes de terminarmos, daremos mais uma dica de segurança. Sempre faça backups regulares do seu site.

Mesmo com as medidas de segurança mais fortes em seu site, há muitas coisas que podem dar errado. Por exemplo, um usuário pode cometer um simples erro humano que derruba seu site.

Você pode configurar backups automatizados usando um plugin de backup como o UpdraftPlus. Para mais opções, veja nossa lista dos melhores plugins de backup do WordPress.

Perguntas Frequentes

1. O WordPress é vulnerável a ataques de cross-site scripting?

O software principal do WordPress é desenvolvido e mantido por alguns dos melhores especialistas do mundo. O software deles é bastante sólido, mas lembre-se de que nenhum software está livre de vulnerabilidades.

A razão pela qual os sites WordPress são atacados com frequência é que a plataforma é muito popular. E a maioria dos usuários instala toneladas de temas e plugins de terceiros. Vulnerabilidades podem se desenvolver em qualquer um desses elementos e hackers podem explorá-los para hackear seu site.

2. Existem diferentes tipos de ataques de cross-site scripting?

Sim. Existem 3 tipos principais de ataques XSS:

  • XSS Armazenado (também conhecido como XSS persistente): Atacantes armazenam sua carga útil em um servidor comprometido, fazendo com que o site entregue código malicioso a outros visitantes.
  • XSS Refletido: A carga útil é armazenada nos dados enviados do navegador para o servidor.
  • XSS DOM: Aqui, o próprio servidor não é o vulnerável ao XSS, mas sim o JavaScript na página.
  • Cross-site scripting auto-referenciado: Atacantes podem explorar uma vulnerabilidade que necessita de contexto muito específico e alterações manuais. A vítima aqui pode ser apenas você.
  • Cross-site scripting cego: Nesses ataques, a vulnerabilidade geralmente reside em uma página à qual apenas usuários autorizados podem acessar. O atacante não consegue ver o resultado de um ataque.

3. Como posso garantir que não há outros problemas de segurança no meu site?

Certifique-se de ter sempre um plugin de segurança instalado no seu site. Isso é essencial para todos os tipos de sites, incluindo WooCommerce, blogs e sites de pequenas empresas. Recomendamos a Sucuri, mas você também pode conferir Wordfence, MalCare e SiteLock. Veja mais de nossas principais recomendações aqui: 9 Melhores Plugins de Segurança WordPress Comparados.

4. O WordPress protege contra XSS?

O WordPress possui várias medidas de segurança para ajudar a proteger contra ataques de Cross-Site Scripting (XSS), mas a eficácia dessas medidas depende de como o site é configurado, dos temas e plugins utilizados, e de quão bem ele é mantido. Você deve tomar suas próprias medidas para proteger seu site contra tais ataques.

5. O CSP do WordPress é eficaz contra ataques XSS?

O WordPress introduziu cabeçalhos de Content Security Policy (CSP) em versões recentes. Um CSP bem configurado pode ser eficaz na prevenção de ataques XSS, especificando quais fontes de conteúdo podem ser executadas em uma página da web. Imagine que seu site é um castelo e você quer mantê-lo seguro de coisas ruins. CSP é como um conjunto de regras que dizem aos guardas (seu navegador web) quais pessoas (scripts) podem entrar no castelo (seu site).

É tudo o que temos para você hoje. Esperamos que este post tenha fornecido tudo o que você precisa para proteger seu site.

Para mais informações sobre segurança de sites, consulte nossos recursos sobre:

Estas postagens lhe darão mais maneiras de selar vulnerabilidades e proteger seu site de todos os riscos.

LinkedInPinShares0

Comentários   Deixe uma Resposta

Adicionar um comentário

Ficamos felizes que você escolheu deixar um comentário. Por favor, tenha em mente que todos os comentários são moderados de acordo com nossa política de privacidade, e todos os links são nofollow. NÃO use palavras-chave no campo do nome. Vamos ter uma conversa pessoal e significativa.

Checklist de Lançamento WordPress

O Checklist Definitivo para Lançamento de WordPress

Compilamos todos os itens essenciais da lista de verificação para o lançamento do seu próximo site WordPress em um e-book prático.
Sim, envie-me o eBook Gratuito!
Copyright © 2015 - 2025 WPBeginner LLC. All Rights Reserved. Managed by Awesome Motive Inc.

NOTA EDITORIAL: As opiniões expressas aqui são exclusivas do autor, não das empresas de hospedagem, provedores de plugins, empresas de temas, Syed Balkhi ou da Fundação WordPress, e não foram revisadas, aprovadas ou endossadas por nenhuma dessas entidades.

AVISO LEGAL: Fazemos grandes esforços para manter dados confiáveis em todas as ofertas apresentadas. No entanto, esses dados são fornecidos sem garantia. Os usuários devem sempre verificar o site oficial do provedor para obter os termos e detalhes atuais. As ofertas de produtos que aparecem no site são das respectivas empresas de hospedagem, empresas de plugins e empresas de temas das quais a IsItWP recebe compensação. Essa compensação pode impactar como e onde os produtos aparecem neste site (incluindo, por exemplo, a ordem em que aparecem). Este site não inclui todos os produtos WordPress ou todas as ofertas de produtos disponíveis.