X

Como corrigir e evitar ataques de XSS no WordPress

Última atualização em por Editorial Team
LinkedInPinShares0
How to fix and prevent xss attacks

Você está preocupado com o ataque de hackers ao seu site?

O script entre sites, também chamado de XSS, é um dos ataques mais comuns a sites do WordPress. Os hackers encontram vulnerabilidades em seu site e as utilizam para roubar informações e fazer uso indevido do site.

O pior é que, se você não corrigir o problema imediatamente, esses hacks podem levar a danos mais graves, do tipo que é realmente difícil de recuperar.

Você pode evitar esses hacks instalando um firewall em seu site WordPress.

Se o seu site já estiver sendo atacado, mostraremos como corrigi-lo imediatamente em uma linguagem simples e amigável para iniciantes. Neste tutorial, reduziremos ao mínimo o jargão de segurança cibernética. Também mostraremos a você como evitar futuros ataques.

Primeiro, vamos entender rapidamente o que acontece em um ataque XSS para que você esteja mais bem preparado para lidar com ele.

O que é um ataque XSS no WordPress?

XSS significa Cross Site Scripting, que é um tipo de ataque de injeção em que os hackers injetam scripts maliciosos em um site.

Esses scripts são disfarçados de código bom em um site confiável. Em seguida, quando um usuário acessa esse site, o navegador executa todo o código, inclusive o script mal-intencionado, porque pensa que todas as instruções são confiáveis.

Em termos mais simples, imagine que você é um espião e acaba de receber um e-mail oficial do governo sobre uma missão ultrassecreta. Ele contém todas as instruções que você precisa seguir à risca.

O que você não sabe é que alguém interceptou esse e-mail e acrescentou mais algumas instruções próprias. O governo não tem nenhuma pista sobre isso e você não se dá ao trabalho de verificar porque confia na fonte.

Algumas coisas não fazem sentido, mas você é treinado para obedecer a todas as ordens para cumprir sua missão.

Nesse cenário, o governo é o seu site e o espião é o navegador do usuário. O navegador segue as instruções do seu site e não consegue diferenciar os scripts bons dos ruins.

Esses scripts geralmente estão em Javascript, uma das linguagens de programação mais populares e amplamente utilizadas. No entanto, esses ataques podem ocorrer usando qualquer linguagem do lado do cliente.

Agora, há muitas maneiras de realizar um ataque XSS. Uma delas é enviar um link a usuários desavisados para que eles cliquem nele. Depois que eles clicam no link, o ataque pode executar uma ou mais das seguintes ações:

  • Redirecionar os usuários para um site malicioso
  • Capturar as teclas digitadas pelo usuário
  • Executar explorações baseadas no navegador da Web
  • Roubar informações de cookie do usuário conectado a uma conta

Se o hacker conseguir roubar as informações do cookie, ele poderá comprometer completamente a conta do usuário. Por exemplo, se você estiver conectado ao painel wp-admin do seu site, o hacker poderá roubar suas credenciais e fazer login no seu site.

O que você precisa fazer para evitar esses ataques é garantir que todos os dados do usuário sejam validados e higienizados adequadamente antes de entrarem no seu site. Dessa forma, nenhuma entrada do usuário pode ser um código Javascript mal-intencionado. Além disso, você precisa garantir que não haja vulnerabilidades de XSS em seu site que possam permitir o ataque de um hacker.

Mal arranhamos a superfície dos ataques XSS, mas esperamos que você tenha uma boa compreensão de como funciona um ataque XSS ao WordPress. Agora, se você suspeitar que seu site foi invadido, siga nosso tutorial passo a passo abaixo.

Como localizar e corrigir um ataque de XSS no WordPress

Para encontrar qualquer tipo de malware ou hacks em seu site, você precisará executar uma varredura profunda em todo o site, incluindo os arquivos e o banco de dados.

Usaremos a Sucuri para verificar e limpar seu site invadido. A Sucuri oferece uma configuração de segurança robusta que inclui firewall, scanner de malware e limpador de malware.

sucuri-security-plugin

A Sucuri oferece um scanner gratuito de malware para sites que você pode instalar em seu site WordPress navegando até Plugins ” Adicionar nova guia.

Recomendamos o uso do scanner premium no lado do servidor. Ele virará seu site do avesso para encontrar qualquer vestígio de malware.

Além disso, aqui estão alguns de seus destaques:

  • Monitora spam e scripts maliciosos
  • Verifica se há backdoors ocultos criados por hackers
  • Detecta alterações feitas no DNS (sistema de nomes de domínio) e no SSL
  • Verificações de listas negras com mecanismos de pesquisa e outras autoridades
  • Monitora o tempo de atividade do site
  • Alertas instantâneos por e-mail, SMS, Slack e RSS

Para obter mais detalhes, leia nossa análise da Sucuri.

O Sucuri tem um preço de US$ 199,99 por ano. Se isso estiver fora de seu orçamento, você pode tentar outros plug-ins de segurança. Veja nossa lista: 9 melhores plug-ins de segurança do WordPress comparados.

Ao selecionar um plug-in de segurança, verifique se ele oferece todos os recursos de segurança cibernética de que você precisa para localizar e corrigir infecções por malware e proteger seu site.

Etapa 1: Verificação de seu site

Para começar, você precisará se inscrever em um plano com a Sucuri. Em seguida, faça login no painel de controle da Sucuri, onde você poderá adicionar seu site.

Add site in Sucuri

Aqui, você precisará conectar seu website inserindo suas credenciais de FTP. Se você não souber suas credenciais de FTP, poderá obtê-las com seu host da Web.

Connect site to Sucuri

Quando seu site estiver conectado, a Sucuri executará automaticamente uma verificação completa do seu site. Uma vez concluída, ela mostrará um relatório detalhado na guia “My Sites”.

Sucuri dashboard site infected

Agora você pode clicar no botão “Details” (Detalhes ) ao lado da mensagem de aviso. Isso abrirá a página Monitoramento, na qual você poderá ver os detalhes do hack ou da infecção.

Etapa 2: Solicitação de uma limpeza de malware

Na página Monitoramento , você pode ver que tipo de malware infectou o seu site. A Sucuri adiciona uma classificação para indicar o nível de risco. Portanto, se for um risco crítico ou alto, você saberá que precisa corrigi-lo imediatamente. Além disso, ele também mostrará se o seu site foi colocado na lista negra por algum mecanismo de pesquisa.

Clean up site with Sucuri

Agora que você sabe que o seu site está infectado, precisa limpá-lo, e a Sucuri torna isso muito fácil para você. Para iniciar o processo, clique no botão “Clean Up My Site” (Limpar meu site ).

Malware removal request in Sucuri

Na próxima página, clique no botão New Malware Removal Request (Nova solicitação de remoção de malware ) e será exibido um formulário no qual você poderá inserir os detalhes do seu site.

Malware removal request form in Sucuri

Basta preencher o formulário e enviá-lo. Uma vez concluído, os especialistas em segurança da Sucuri limparão seu site para você. Caso não saiba nenhum dos detalhes necessários para o formulário, você pode solicitá-los ao seu host da Web.

Agora você deve estar se perguntando quanto tempo levaria para limpar seu site.

A Sucuri dá preferência aos usuários do plano Business. Eles garantem um tempo de resposta de 6 horas. Para outros planos, isso depende da complexidade da infecção do seu site e do volume de solicitações na fila.

Imediatamente após um ataque, é altamente recomendável fazer o logout de todos os usuários do seu site e alterar as credenciais de login para garantir a segurança.

Como evitar ataques XSS em seu site WordPress

É sempre melhor proteger seu site e evitar esses tipos de ataques de malware em seu site. É muito mais fácil e barato do que tentar consertar um site invadido. Aqui estão nossas principais etapas recomendadas para evitar ataques de XSS em seu site.

1. Habilite um firewall de aplicativo da Web (WAF)

A Sucuri tem um dos melhores firewalls para sites WordPress. Ele não apenas bloqueia ataques XSS, mas também todos os tipos de outros ataques de malware, como DDoS, força bruta, phishing e injeções de SQL.

O firewall fica na frente do seu site e examina todos os usuários que passam por ele. Ele identificará e bloqueará os bots mal-intencionados antes que eles cheguem ao seu site.

Para ativar o firewall da Sucuri, navegue até a guia Firewall no painel da Sucuri.

Selecione seu site e você verá instruções de configuração que podem ser seguidas. A Sucuri lhe dá duas opções para configurar o firewall:

1. Integração automática: Basta inserir suas credenciais de hospedagem usando o cPanel ou o Plesk. Esse método exige que você conceda à Sucuri acesso ao servidor do seu site para configurar automaticamente o firewall em seu site.

Sucuri firewall waf

2. Integração manual: Você pode configurar o firewall por conta própria sem conceder acesso interno à Sucuri. Para começar, clique no link do domínio interno e certifique-se de que ele seja carregado.

check internal domain link

Em seguida, você pode configurar seu DNS para direcionar o tráfego da Web para o firewall da Sucuri. Para isso, você precisará acessar os registros DNS na sua conta de hospedagem. Aqui, você pode alterar o registro ‘A’ do seu site e inserir os endereços IP que a Sucuri fornece.

sucuri dns ip addresses

Se estiver estressado por achar que tudo isso é muito complicado, você pode pedir ajuda ao seu host da Web e ele o orientará durante o processo. Além disso, você também pode abrir um tíquete de suporte com a Sucuri e a equipe de suporte o ajudará a alterar os registros DNS.

Para abrir um tíquete, você encontrará um link dentro das instruções do manual na mesma página.

open a ticket sucuri

Depois que você terminar de configurar o firewall, geralmente leva algumas horas para que as alterações sejam refletidas. Você pode esperar um tempo de espera máximo de 48 horas.

Quando você ativar o firewall, ele adicionará automaticamente cabeçalhos de segurança ao seu site para protegê-lo contra ataques de XSS.

Se houver uma tentativa de ataque XSS, a Sucuri o bloqueará e o informará a você na guia Relatórios .

O que mais gostamos no firewall da Sucuri é que ele é muito fácil de ser usado por qualquer pessoa, inclusive por iniciantes. Não é necessário ser um especialista em segurança cibernética nem saber programar.

Você pode ativar todos os tipos de recursos de proteção com apenas um clique na guia Configurações ” Segurança.

Assim, por exemplo, você pode ativar a proteção contra DDoS e o bloqueio geográfico para dificultar o ataque dos hackers ao seu site.

Emergency ddos protection

Para ativar um recurso de segurança aqui, tudo o que você precisa fazer é marcar a caixa e salvar suas configurações. Quando precisar desativá-lo, basta desmarcar a caixa.

Além disso, o plug-in da Sucuri irá:

  • Verificar e monitorar regularmente a existência de spam e códigos maliciosos
  • Alertar você sobre qualquer vulnerabilidade de script entre sites
  • Bloqueie bots e hackers mal-intencionados
  • Verifique se há listas negras nos mecanismos de pesquisa e em outras autoridades
  • Monitorar o tempo de atividade do site
  • Detectar alterações feitas no DNS (sistema de nomes de domínio) e no SSL
  • Envie alertas de segurança instantâneos por e-mail, SMS, Slack e RSS

Assim, seu site estará protegido o tempo todo.

2. Use formulários seguros

Em um site vulnerável, os formulários são um dos alvos mais comuns dos hackers. Se o formulário não for seguro, isso significa que qualquer pessoa pode simplesmente inserir códigos maliciosos nos campos do formulário.

Nossa recomendação para proteger os formulários de seu site é o WPForms. Ele é o criador de formulários nº 1 do WordPress que tem segurança integrada para que seus formulários estejam protegidos desde o início.

anti spam protection in WPForms

Por padrão, os formulários têm a proteção anti-spam ativada. Além disso, você pode até mesmo adicionar CAPTCHA aos seus formulários para bloquear bots de spam.

Advanced noCaptcha and Invisible Captcha

Você pode ativar um captcha invisível ou o tipo em que o usuário terá que resolver um pequeno quebra-cabeça ou marcar uma caixa para provar que é humano.

3. Definir permissões de função de usuário

Quando há várias pessoas trabalhando em seu site, não é aconselhável conceder acesso de administrador a todos. É melhor atribuir-lhes funções com base nas permissões de que precisam.

O WordPress permite que você crie funções para:

  • Superadministrador
  • Administrador
  • Editor
  • Autor
  • Colaborador
  • Assinante

Agora, se um hacker tiver controle sobre a conta de um usuário, ele ficará limitado ao que pode fazer no seu site.

4. Auto-logout de usuários inativos

Os hackers podem obter acesso às contas dos usuários sequestrando suas sessões de navegador e roubando cookies.

Você pode minimizar esse risco fazendo o logout de usuários inativos do WordPress.

Muitos plug-ins de segurança têm um recurso de logout de sessão ociosa ou você pode usar o plug-in Inactive Logout.

5. Atualize seu site regularmente

Os plug-ins, temas e até mesmo sua instalação do WordPress são atualizados regularmente. Você as verá no painel do WordPress quando estiverem disponíveis:

updates in wordpress

Muitos proprietários de sites ignoram as atualizações por muito tempo, mas isso pode expor seu site a hackers. As atualizações geralmente incluem correções de bugs, novos recursos e melhorias no software. Elas também podem conter patches de segurança. Você pode ver se uma atualização contém um patch de segurança visualizando os detalhes da atualização.

view version details of update

Isso significa que foi encontrada uma vulnerabilidade no software que os hackers podem usar para atacar seu site. Quando os desenvolvedores encontram problemas de segurança, eles os corrigem e lançam uma nova versão do software.

Tudo o que você precisa fazer é atualizar o software em seu site.

Portanto, se você vir que se trata de um patch de segurança, atualize-o imediatamente para evitar o risco de ser hackeado.

security update

Um dos principais motivos pelos quais os proprietários de sites ignoram as atualizações é o fato de que, às vezes, elas podem danificar o site ou causar problemas de incompatibilidade. Recomendamos que você teste a atualização em um site de teste e, em seguida, execute-a em seu site ativo.

Com isso, você aprendeu como corrigir e evitar ataques XSS em seu site WordPress.

Antes de encerrarmos, vamos lhe dar mais uma dica de segurança. Sempre faça backups regulares de seu site.

Mesmo com as medidas de segurança mais rigorosas em seu site, há muitas coisas que podem dar errado. Por exemplo, um usuário pode cometer um erro humano simples que trava o seu site.

Você pode configurar backups automatizados usando um plug-in de backup como o UpdraftPlus. Para obter mais opções, consulte nossa lista dos principais plug-ins de backup do WordPress.

Perguntas frequentes

1. O WordPress é vulnerável a ataques de script entre sites?

O software principal do WordPress é desenvolvido e mantido por alguns dos melhores especialistas do mundo. Seu software é bastante sólido, mas lembre-se de que nenhum software está livre de vulnerabilidades.

O motivo pelo qual os sites WordPress são atacados com frequência é o fato de a plataforma ser muito popular. E a maioria dos usuários instala toneladas de temas e plugins de terceiros. É possível desenvolver vulnerabilidades em qualquer um desses elementos e os hackers podem explorá-las para invadir seu site.

2. Existem diferentes tipos de ataques de script entre sites?

Sim. Há três tipos principais de ataques XSS:

  • XSS armazenado (também conhecido como XSS persistente): Os atacantes armazenam sua carga útil em um servidor comprometido, fazendo com que o site forneça códigos maliciosos a outros visitantes.
  • XSS refletido: acarga útil é armazenada nos dados enviados do navegador para o servidor.
  • DOM XSS: aqui, não é o servidor em si que está vulnerável ao XSS, mas sim o JavaScript na página.
  • Scripting automático entre sites: Os invasores podem explorar uma vulnerabilidade que precisa de contexto realmente específico e alterações manuais. A vítima aqui só pode ser você mesmo.
  • Scripting cego entre sites: Nesses ataques, a vulnerabilidade geralmente está em uma página que somente usuários autorizados podem acessar. O invasor não pode ver o resultado de um ataque.

3. Como posso ter certeza de que não há outros problemas de segurança em meu site?

Certifique-se de ter sempre um plugin de segurança instalado em seu site. Isso é obrigatório para todos os tipos de sites, inclusive WooCommerce, blogs e sites de pequenas empresas. Recomendamos o Sucuri, mas você também pode dar uma olhada no Wordfence, MalCare e SiteLock. Veja mais de nossas principais recomendações aqui: 9 melhores plug-ins de segurança para WordPress comparados.

4. O WordPress protege contra XSS?

O WordPress tem várias medidas de segurança para ajudar a proteger contra ataques de XSS (Cross-Site Scripting), mas a eficácia dessas medidas depende de como o site é configurado, dos temas e plug-ins usados e da manutenção. Certifique-se de tomar suas próprias medidas para proteger seu site contra esses ataques.

5. O WordPress CSP é eficaz contra ataques XSS?

O WordPress introduziu os cabeçalhos da Política de Segurança de Conteúdo (CSP) em versões recentes. Uma CSP bem configurada pode ser eficaz na prevenção de ataques XSS, especificando quais fontes de conteúdo podem ser executadas em uma página da Web. Imagine que seu site é um castelo e você quer mantê-lo protegido contra coisas ruins. A CSP é como um conjunto de regras que informa aos guardas (seu navegador da Web) quais pessoas (scripts) podem entrar no castelo (seu site).

Isso é tudo o que temos para você hoje. Esperamos que esta postagem tenha lhe dado tudo o que você precisa para proteger seu website.

Para saber mais sobre segurança de sites, consulte nossos recursos sobre:

Essas postagens lhe darão mais maneiras de vedar vulnerabilidades e proteger seu site de todos os riscos.

LinkedInPinShares0

Comentários   Deixe uma resposta

Adicionar um comentário

Ficamos felizes por você ter optado por deixar um comentário. Lembre-se de que todos os comentários são moderados de acordo com nossa política de privacidade, e todos os links são nofollow. NÃO use palavras-chave no campo do nome. Vamos ter uma conversa pessoal e significativa.

WordPress Launch Checklist

A lista de verificação definitiva para o lançamento do WordPress

Compilamos todos os itens essenciais da lista de verificação para o lançamento de seu próximo site WordPress em um ebook prático.
Sim, envie-me o livro eletrônico gratuito grátis!
Copyright © 2015 - 2024 WPBeginner LLC. Todos os direitos reservados. Gerenciado por Awesome Motive Inc.

OBSERVAÇÃO EDITORIAL: as opiniões expressas aqui são exclusivamente do autor, e não de qualquer empresa de hospedagem, provedor de plug-ins, empresa de temas, Syed Balkhi ou WordPress Foundation, e não foram revisadas, aprovadas ou endossadas por nenhuma dessas entidades.

AVISO LEGAL: Fazemos grandes esforços para manter dados confiáveis sobre todas as ofertas apresentadas. No entanto, esses dados são fornecidos sem garantia. Os usuários devem sempre verificar o site oficial do provedor para obter os termos e detalhes atuais. As ofertas de produtos que aparecem no site são de respectivas empresas de hospedagem, empresas de plugins e empresas de temas das quais o IsItWP recebe remuneração. Essa remuneração pode afetar como e onde os produtos aparecem neste site (incluindo, por exemplo, a ordem em que aparecem). Este site não inclui todos os produtos WordPress ou todas as ofertas de produtos disponíveis.