fbpx

Bem vindo ao
Blog da FULL.

Aprenda, crie e cresça seu negócio na internet.

Encontre conteúdos, dicas, tutoriais e novidades sobre as principais ferramentas Wordpress

Siga a FULL.

Os 5 passos que tomei para recuperar meu blog hackeado

Você está em:

  1. Os 5 passos que tomei para recuperar meu blog hackeado

Meu blog, Deixando o trabalho para trás, foi hackeado em abril. É algo sobre o qual você lê com bastante frequência, mas nunca espera que aconteça com você até que seja tarde demais. Para ser honesto, eu não me via como um candidato principal – escrevi sobre segurança do WordPress com frequência suficiente para ter muitas medidas preventivas em vigor. No entanto, essas medidas claramente não eram suficientemente abrangentes.

Ser hackeado é algo que eu não quero passar novamente. Existem muitas razões pelas quais o tempo de inatividade do site é ruim para o seu blog/negócio: embora a perda de tráfego e a receita potencial sejam as duas mais óbvias, não posso subestimar a quantidade de tempo que perdi na restauração do site e a quantidade de estresse me causou.

Neste post, quero revelar o que aconteceu com meu site e informar o que tenho feito para aumentar a segurança do meu site desde então.

Ser hackeado: minha história

Acordei na quinta-feira, 18 de abril, e descobri que meu site estava fora do ar há algumas horas. Imediatamente entrei em contato com meu provedor de hospedagem, Westhost, que me informou que seu firewall ModSecurity havia detectado atividades incomuns em meu site e o desligou imediatamente por precaução. Ao executar uma restauração inicial no site, pude ver imediatamente que ele havia sido hackeado. Embora as mudanças fossem relativamente sutis, estava claro o suficiente que alguns tipos sem escrúpulos estavam bisbilhotando.

Acontece que um grande número de sites WordPress também foi hackeado, e o Westhost teve seu trabalho cortado. Felizmente eles fazem backups diários do site e na tarde seguinte eu estava novamente online com uma versão do meu site que era o mais próximo possível da atual.

Aqui está o efeito que o hack teve no meu tráfego:

Estatísticas de cliques

Para colocar o gráfico acima em perspectiva, o tráfego daquela semana caiu cerca de 30% em comparação com a semana anterior. Isso teoricamente significava uma queda de 30% na renda.

É justo dizer que eu estava ansioso para garantir (com o melhor de minhas habilidades) que tal hack não pudesse ser repetido. Eu agi imediatamente.

Meus passos imediatos

A primeira coisa que fiz foi verificar se estava seguindo as etapas descritas em meu post recente sobre como proteger seu site WordPress .

Esses foram os fundamentos absolutos: atualizar meus temas e plugins, garantir que eu tivesse um backup recente, garantir que meu perfil padrão não fosse chamado de “admin”, alterar minha senha e verificar se há plugins de segurança no meu site. Com esses itens no lugar, era hora de seguir em frente.

Não tenho ilusões de que meu site agora é 100% seguro – afinal, não existe um site 100% seguro. Dito isso, sei que é muito mais seguro do que era antes e continuarei pesquisando as medidas de segurança do site agora e no futuro. Até agora, isso é o que eu tenho feito.

1. Instalei o VaultPress

Para quem não sabe, o VaultPress é uma solução de backup e segurança totalmente automatizada para WordPress. É propriedade da Automattic , os “proprietários” de fato do WordPress.

Tendo usado o VaultPress há alguns dias, não posso acreditar que fui tão barato para não ter comprado o serviço de antemão. O pacote básico deles começa em $ 15 por mês – eu pago isso para ficar tranquilo em qualquer dia da semana.

Na verdade, optei pelo pacote Premium (US$ 40 por mês), que inclui:

  • Backup em tempo real
  • Restauração automatizada de sites com um clique
  • Arquivos, estatísticas e registro de atividades
  • Recuperação de desastres prioritária
  • Suporte prioritário de “concierge”
  • Verificação de segurança diária
  • Notificações de segurança
  • Corretores de um clique para ameaças de segurança
  • Assistência de migração de sites

Basicamente, eles te cobrem.

Embora o VaultPress não possa garantir a segurança do seu site contra hackers, ele  pode garantir que seu site possa ser restaurado com relativa facilidade. Há algo muito calmante em ver instantâneos de hora em hora de seus sites armazenados nos servidores do VaultPress:

Backups do VaultPress

Embora existam muitas soluções de backup gratuitas por aí, acho que nada supera a relativa paz de espírito que recebo do VaultPress. Eles têm 90 instantâneos do meu site disponíveis para restauração agora, dos quais o mais recente tem apenas vinte minutos. Eu sei que meu site está seguro em suas mãos.

2. Gerenciei meus perfis

Um hacker pode acessar seu site a partir de qualquer um dos perfis de administrador no back-end do WordPress – não apenas aquele  que você usa. Quando carreguei meus perfis, pude ver que tinha três outros perfis – um perfil de pôster convidado e dois outros perfis para pessoas (confiáveis) que dei acesso ao meu site.

Comecei fechando esses dois perfis e alterando a função do perfil do pôster convidado para Autor. Isso é algo que eu aconselho você a fazer – crie apenas quantos perfis de administrador forem absolutamente necessários. Além disso, é claro que você deve garantir que cada conta tenha uma senha aleatória e exclusiva e que essas senhas sejam alteradas regularmente.

Há momentos em que você precisará permitir que pessoas (como seu web designer) acessem seu site. Em tais situações, aconselho que você crie um perfil para eles com uma nova senha e exclua esse perfil assim que sua necessidade chegar ao fim.

Sempre pense nos pontos de entrada do seu site e se eles são estritamente necessários.

3. Mudei minhas senhas

Você pode pensar que isso foi uma jogada óbvia, mas na verdade não estou falando sobre minhas senhas do WordPress. Embora eu as tenha alterado, também tive a certeza de alterar todas as senhas para contas particularmente confidenciais, ou seja:

  • Gmail
  • o Facebook
  • Twitter
  • Minha conta de hospedagem
  • Associados da Amazon
  • etc.

Se você está se perguntando por que fiz esse movimento, considere a história de Mat Honan, cuja vida digital inteira foi destruída por hackers que originalmente invadiram sua conta da Amazon. Se você se sente de alguma forma blasé sobre segurança online, o artigo acima é uma leitura obrigatória.

Considere esta cadeia simples: um hacker obtém acesso à sua conta de e-mail da qual você enviou recentemente um e-mail ao seu web designer com os detalhes de login do seu site WordPress. Isso é tudo que eles precisam para ter acesso ao seu site e fazer o que quiserem. Hacking pode ser tão elementar.

4. Atualizei para SFTP

Aqui está algo que você pode não saber: todos os dados que você transfere via FTP (incluindo seu nome de usuário e senha) são completamente descriptografados. Portanto, qualquer pessoa que consiga interceptar com sucesso as transferências FTP poderá obter seus detalhes de login e obter acesso à sua conta.

Isso não apenas permite que eles adicionem e removam arquivos como acharem melhor, mas também podem obter acesso ao seu banco de dados do WordPress via phpMyAdmin e, finalmente, fazer login no seu site.

Simplificando, não importa o quão seguro é o acesso direto ao seu site WordPress se os hackers puderem entrar via FTP. Como tal, recomendo fortemente que você desabilite o acesso FTP ao seu site e transfira arquivos usando o protocolo SFTP alternativo, que  criptografa os dados. Qualquer bom provedor de hospedagem deve ser capaz de ajudá-lo com isso.

Falando em provedores de hospedagem…

5. Considere a adequação da sua solução de hospedagem

Estou feliz por estar com a Westhost. Foi o firewall ModSecurity deles que detectou o hack em primeiro lugar e desligou meu site antes que danos sérios pudessem ser causados. Eles também realizam backups diários automáticos (que foram usados para restaurar o site) e têm suporte ao cliente para inicializar.

Você pode dizer o mesmo para o seu provedor de hospedagem? Existem tantas ótimas opções por aí que você ficaria louco em ficar com um provedor com o qual está insatisfeito. Você pode considerar mudar para uma das soluções de hospedagem gerenciada (como WPEngine ) como o WPExplorer fez recentemente.

Seja qual for sua escolha, certifique-se de perguntar sobre as medidas de segurança que eles adotam. Considere as medidas que tomei acima e assegure-se de que sejam compatíveis com sua solução de hospedagem.


A moral da história é esta: não comprometa a segurança. Em última análise, manter seu site seguro é mais importante do que  qualquer outra coisa . Não adianta ter um ótimo conteúdo ou um novo design brilhante se ninguém puder vê-lo porque seu site foi destruído por hackers cruéis.

Tipos nefastos que não têm nada melhor para fazer com suas vidas do que hackear sites de pessoas não vão desaparecer tão cedo. Quanto mais cedo você aceitar isso e tomar medidas razoáveis para proteger seu site contra ataques, melhor para a segurança de longo prazo de seus ativos online.

Gostaria de saber o que você pensa sobre as medidas que tomei. Há alguma recomendação adicional que você faria? Deixe-nos saber na seção de comentários!

Aprenda com a FULL.

Junte-se a mais de 50 mil pessoas que recebem em primeira mão as principais ferramentas e tecnologia para desenvolvimento web

Meu carrinho
🎁 Faltam R$300,00 para liberar o Cupom Secreto
Seu carrinho está vazio.

Parece que você não adicionou nada ao seu carrinho =(